Die Cyber-Bedrohungslage nimmt weiter zu. Fast die Hälfte der deutschen Unternehmen wurde im letzten Jahr Opfer einer Cyber-Attacke – der wirtschaftliche Schaden ist immens. Mit dem russischen Angriffskrieg auf die Ukraine sind Unternehmen verstärkt den Gefahren einer hybriden Kriegsführung ausgesetzt. Cyber-Schutz besitzt für die Resilienz des Unternehmens eine große strategische Bedeutung – und sollte in der Prioritätenliste von CEOs ganz oben stehen. In einer Civey-Umfrage haben wir Angestellten sowie Geschäftsführer:innen und Selbstständigen drei Fragen gestellt, wie es um den Cyber-Schutz in ihrem Unternehmen bestellt ist. Gibt es ein ausreichendes Bewusstsein für das Thema? Wie sieht es in der Praxis aus? Und wer ist der Treiber?
Bewusstsein für Cyber-Sicherheit
Cyber-Schutz braucht ein umfassendes und gemeinsames Verständnis für Cyber-Bedrohungen und ihre Konsequenzen für das Unternehmen. Nur so lassen sich Präventionsmaßnahmen mit der notwendigen Dringlichkeit und Verbindlichkeit umsetzen.
Angestellte adressieren einen deutlichen Nachholbedarf bei der Verankerung des Themas in der Unternehmenskultur.
Nur jeder dritte Angestellte sieht ein Bewusstsein für Cyber-Schutz im Unternehmen fest verankert. Weitere 27 % beobachten zwar erste Ansätze; für eine tragfähige Sicherheitskultur reichen diese ihrer Meinung nach aber noch nicht aus. Fast jeder Fünfte kann sich kein Urteil über das Thema machen.
Bei Unternehmenslenker:innen fällt das Bild noch deutlicher aus.
Über die Hälfte verneint ein Bewusstsein für Cyber-Schutz im Unternehmen oder hat keinen Standpunkt. Dagegen bestätigt nur jeder fünfte Unternehmenslenker, dass im Unternehmen eine nachhaltige Sicherheitskultur vorhanden ist.
Cyber-Sicherheit in der Praxis
Ein allgemeines Verständnis für Cyber-Risiken und -Sicherheit ist das eine. Wirkungsvolle Maßnahmen im Alltag des Unternehmens etwas ganz anderes. Wir haben nachgefragt: Wie sieht es mit der Simulation von Cyber-Angriffen aus? Sie sind die „Feueralarm-Übung“ im virtuellen Zeitalter. Mit ihnen lassen sich Sicherheitslücken in Prozessen und Strukturen erkennen und Cyber-Schutz im Unternehmen konkret einüben.
Die Rückmeldungen werfen ein Schlaglicht auf eine unzureichende Praxis beim Cyber-Schutz.
Die Simulation von Cyber-Angriffen durch das Unternehmen selbst ist für nur 15 % der Angestellten gelebte Praxis. Fast die Hälfte von ihnen kann zu diesem Thema gar keine Angaben machen. Und jeder Fünfte ist der Meinung, dass Simulationen auch in Zukunft für das Unternehmen keine Rolle spielen.
Bei Geschäftsführer:innen und Selbstständigen fällt eine indifferente Haltung auf. Sie signalisiert eine fehlende Priorisierung von Simulationsmaßnahmen.
Über 75 % haben über die Simulation von Cyber-Attacken keine Information oder halten diese für nicht relevant. Nur 8 % geben an, dass Cyber-Attacken im Rahmen interner Übungen simuliert werden. Auf Schulungen als Ersatz verweist ein äußerst geringer Anteil von 4 %.
Treiber von Cyber-Sicherheit
Cyber-Sicherheit ist für die Resilienz von Unternehmen von hoher strategischer Relevanz – und damit ein Thema, das von der obersten Führungsebene im Unternehmen vorangetrieben werden sollte. Das schafft Verbindlichkeit für einen kulturellen Wandel und die zügige Umsetzung von Maßnahmen im Unternehmensalltag.
Die Realität sieht anders aus – das verdeutlichen die Ergebnisse unserer Umfrage.
„Tone from the top“? Fehlanzeige. Nur gut 15 % der Angestellten erleben die Geschäftsführung als Treiber von Cyber-Sicherheit. Stattdessen verorten fast die Hälfte von ihnen das Thema in der Fachabteilung beim IT-Sicherheitsbeauftragten. Und mehr als jeder Dritte kann gar keinen Treiber benennen.
Die Antworten von Geschäftsführern und Selbständigen bestätigen diesen Befund. Mehr noch: Sie zeigen, dass Cyber-Sicherheit nur bedingt in ihrer Führungs- und Kommunikationsagenda angekommen ist. Nur jeder Dritte versteht sich selbst als Treiber für dieses Thema. Was aber vor allem erschreckt: Fast 60 % von ihnen sehen niemanden in der Verantwortung oder können keinen Treiber benennen.
Cyber-Sicherheit in der Unternehmenskultur verankern
Auch wenn das Thema Cyber-Sicherheit in aller Munde ist: Unternehmen sind gegen Cyber-Risiken nur unzureichend gewappnet. Die Ergebnisse unserer Civey-Umfrage offenbaren schlaglichtartig große Lücken. Weder auf der Geschäftsführungsebene noch unter den Angestellten ist ein notwendiges Verständnis für das Thema vorhanden.
Was notwendig ist, um diese Lücken zu schließen: Cyber-Sicherheit muss selbstverständlicher Teil der Unternehmenskultur werden. So wie das Compliance-Thema vor einigen Jahren. Das verlangt eine systematische Kommunikation und intensive Auseinandersetzung im Unternehmen. Cyber-Schutz ist kein Nerd-Thema, sondern eine elementare Herausforderung, die alle im Unternehmen betrifft. Dafür braucht es eine Unternehmensführung, die als Treiber des Themas vorangeht und präsent ist. Nur dann lässt sich die „Sicherheitswende“ in Unternehmen erfolgreich gestalten.
Civey hat für H/Advisors Deekeling Arndt vom 01.03.2023 online 1.000 Angestellte ab 18 Jahren und 1.000 Geschäftsführer:innen und Selbstständige ab 18 Jahren befragt. Die Ergebnisse sind aufgrund von Quotierungen und Gewichtungen repräsentativ unter Berücksichtigung des statistischen Fehlers von 5,6 %. Weitere Informationen zur Methodik finden Sie hier.
Foto: iStock.com/AndreyPopov