Eine neue Studie von Trellix zeigt eine Diskrepanz zwischen Cyber-Sicherheitsexperten und der Unternehmensführung. Obwohl ein Bewusstsein auf Vorstandsebene für Cyber-Risiken besteht, ist mehr als jeder Zweite (54 %) der deutschen Cyber-Sicherheitsexperten der Meinung, dass die Geschäftsleitung der digitalen Sicherheit nicht genügend Aufmerksamkeit schenkt.
In Deutschland ist eine große Mehrheit der Fachleute für Cyber-Sicherheit (95 %) überzeugt, dass die Verantwortung für Cyber-Risiken auf Vorstands- und Managementebene klar definiert ist, unabhängig davon, ob sie bei einer Person (48 %) oder einem Gremium (47 %) liegt.
28 % betonten jedoch, dass Cyber-Sicherheit auf Vorstands- und Geschäftsführungsebene nicht als Priorität angesehen wird, was zu einer großen Herausforderung für das Unternehmen geworden ist. Da Verantwortungsbewusstsein nicht gleichbedeutend ist mit Prioritätensetzung im Cyber-Bereich, überrascht es nicht, dass 36 % die fehlende Wertschätzung durch ihre Chefs als eine ihrer größten Frustrationen nennen.
„Verantwortungsbewusstsein ist nicht genug, wenn es nicht in Taten umgesetzt wird. Die Schaffung einer Kultur der Cyber-Sicherheit im gesamten Unternehmen muss heute eine hohe Priorität auf der Tagesordnung des Vorstands einnehmen. Wie wichtig IT-Sicherheit heutzutage ist, zeigt auch die steigende Anzahl an Cyber-Angriffen, die auch Deutschland in Atem halten", erklärt Andreas Groß, Senior Manager Presales bei Trellix.
„Daher müssen der Vorstand und die Cyber-Sicherheitsexperten eine gemeinsame Sprache finden, um Cyber-Risiken zu verstehen und diskutieren, wie sie zu handhaben sind und welche Rolle der Vorstand bei der Priorisierung eines hohen Sicherheitsniveaus im gesamten Unternehmen spielt.“
Die gute Nachricht: Cyber-Sicherheit ist in deutschen Unternehmen durchaus ein Thema. Knapp drei Viertel (72 %) bestätigen, dass regelmäßige Diskussionen über Cyber-Sicherheit und Compliance mit der Geschäftsleitung und dem Führungsteam stattfinden.
Die Widerstandsfähigkeit gegenüber Cyber-Angriffen beruht auf Zusammenarbeit und Kommunikation, welche sich jedoch von Unternehmen zu Unternehmen unterscheiden, wenn es zu einem bedeutenden Cyber-Vorfall oder Cyber-Angriff kommt.
Während beispielsweise knapp ein Viertel (21 %) der deutschen Cyber-Sicherheitsexperten bestätigt, dass ein Angriff in der Regel innerhalb einer Stunde an den Vorstand gemeldet wird, gibt gleichzeitig ein nicht zu verachtender Anteil von 33 % zu, dass es mindestens ein paar Tage oder länger dauert, bis ein Vorfall an die Geschäftsleitung gemeldet wird.
Diese Verzögerung kann den Unterschied zwischen der erfolgreichen Abwehr eines Angriffs und schwerwiegenden Folgen ausmachen.
„CISOs, CIOs oder CTOs müssen klar darlegen, was die größten Cyber-Sicherheitsrisiken für das Unternehmen sind. In diesem Zuge müssen sie auch deutlich machen, welche Auswirkungen diese Gefahren auf das Geschäft haben, wenn die Cyber-Sicherheitsarchitektur nicht geeignet ist, um sich gegen die immer komplexer werdenden und dynamischen Angriffe von heute zu verteidigen", so Groß weiter.
„Klare Kommunikation sowie eine vernetzte XDR-Architektur sind entscheidend für die Schaffung einer widerstandsfähigen Organisation mit moderner Sicherheit, die dem Vorstand - und dem gesamten Unternehmen - Vertrauen geben kann.“