Nur 2% der deutschen Firmen auf Cyberbedrohungen vorbereitet {ARCHIV}

Der Index ist aktuell eine der umfassendsten Untersuchungen zum Cyberreifegrad der weltweiten Privatwirtschaft. Ein zentrales Ergebnis: Fasst man die beiden höchsten von vier Reifegradkategorien Mature und Progressive zusammen, belegt Deutschland Platz zwei in Europa hinter Großbritannien. Stärken zeigen deutsche Firmen bei KI-basierter Sicherheit, Luft nach oben besteht in den Bereichen Identity und Cloud.

In den letzten 12 Monaten hat sich die Cyberlandschaft deutlich verändert, insbesondere durch KI. Sie kommt nun sowohl bei Angriffen als auch Schutzlösungen zum Einsatz. Daher müssen Unternehmen auch ihre Sicherheitsstrategien und -architekturen anpassen. Mit dieser Geschwindigkeit scheinen deutsche Firmen überfordert zu sein. Denn ihre Fähigkeit, auf neue Cyberbedrohungen zu reagieren, hat im Vergleich zum vergangenen Jahr deutlich abgenommen. Nur noch 1,65 Prozent sind bestmöglich auf aktuelle Gefahren vorbereitet. Im höchsten Reifegrad „Mature“ bedeutet das im europäischen Vergleich Platz 4 hinter den Niederlanden (3,27 %), Spanien (1,96 %) und der Schweiz (1,95 %). Die USA liegen auch vor Deutschland mit 3,00 %. Eine genaue Erklärung der Methodik und Reifegrade finden Sie am Ende der Meldung.

Bei der summierten Betrachtung der beiden höchsten Reifegrade „Mature“ und „Progressive“ sieht es etwas besser aus. Nach Großbritannien (27,6 %) gewinnt Deutschland die Silber-Medaille (25,1 %) in Europa. Das heißt, ein Viertel der deutschen Unternehmen hat ein gutes Schutzniveau gegen Cyberangriffe. Der deutliche Abstand aller europäischen Länder zu den USA (34,1%) zeigt aber, dass noch ein deutlich besserer Schutz vor den aktuellen Gefahren möglich – und nötig ist. In Deutschland sind 67 Prozent der Unternehmen in der Gruppe „Formative“ und 8 Prozent „Beginner“.

„Ein ermutigendes Zeichen für Deutschland bildet der hohe Einsatz von KI bei der Cyberabwehr“, erklärt Michael von der Horst, Managing Director Cybersecurity bei Cisco Deutschland. „Schon mehr als 40 Prozent nutzen darauf basierende Systeme mit dem höchsten oder zweithöchsten Reifegrad. Der Schutz von Netzwerken und Geräten ist mit 35 und 25 Prozent zufriedenstellend gut. Großer Nachholbedarf besteht jedoch in den Bereichen Identity und Cloud. Hier haben nur jeweils 15 Prozent der deutschen Firmen ein ausreichendes Schutzniveau.“

Ein Grund für die negative Einschätzung in diesen Feldern liegt in der unterdurchschnittlichen Implementierung wesentlicher Schutzmaßnahmen durch deutsche Unternehmen. Ein Beispiel: Gerade einmal 27 Prozent der Unternehmen in Deutschland nutzen im Bereich „Identity“ eine spezifische Form der Identitätssicherung. Bei dieser dient die erste Authentifizierung als passwortlose Identifizierung für den Rest einer Sitzung. In den USA kommt diese Methode in 39 Prozent der Unternehmen zum Einsatz. Im Bereich „Cloud“ haben nur 23 Prozent der deutschen Unternehmen die Fähigkeit, Security-Policies über mehrere Clouds konsistent einzusetzen und auszuführen – in UK sind es 31 Prozent, in den USA 37 Prozent.

Weitere Ergebnisse

Die Befragten Cybersecurity-Entscheider erkennen dabei selbst, dass ihre Schutzmaßnahmen derzeit nicht ausreichen – nicht zuletzt aus der eigenen Erfahrung heraus: 55 Prozent der Befragten in Deutschland verzeichneten in den letzten 12 Monaten einen Cybervorfall. 73 Prozent sind der Überzeugung, dass ein solcher Vorfall ihr Geschäft auch in den nächsten 12 bis 24 Monaten wahrscheinlich oder sehr wahrscheinlich beeinträchtigen wird. Entsprechend sehen sie sich auch vor komplexe Aufgaben gestellt, wenn es um den Schutz vor Angriffen geht. Die Absicherung von Unternehmensidentitäten (37 %) und des Netzwerks (35 %) zählen dabei zu den Top-Herausforderungen deutscher Firmen.

Wenig überraschend: Phishing-Angriffe (54 %) stellen für sie aktuell die größten Bedrohungen dar. Deutlich aufschlussreicher ist dagegen die Sichtweise auf neue Bedrohungsfaktoren oder Vektoren, die außerhalb des eigenen Unternehmens liegen. Gerade einmal 1 % der Befragten hierzulande sieht in neuen, KI-gestützten Angriffen die derzeit stärkste Bedrohung. Selbst Supply-Chain-Attacken, die im letzten Jahr für wesentliche Schäden in Unternehmen verantwortlich waren, sind kaum in ihrem Blickfeld (8 % der Nennungen).

Insgesamt zeigt die Cisco Studie, dass deutsche Unternehmen nicht nur unzureichend vorbereitet sind, sondern auch zu selbstsicher, um ihre Infrastrukturen in der heutigen Cybersecurity-Landschaft sorgfältig zu schützen.

82 Prozent der Befragten in Deutschland sind gut oder sehr gut von der eigenen Widerstandsfähigkeit überzeugt. Nachdenklich macht dabei auch eine andere Zahl. Im Vergleich zum letzten Jahr ist 10 Prozent mehr Unternehmen ein Schaden über 100.000$ durch Cyberangriffe entstanden (2024: 78% / 2023: 68%). Dabei ist vor allem die „Eintrittsgröße“ gestiegen: Es gibt immer weniger Cybervorfälle, die nur Schäden im 5-stelligen Bereich verursachen. Schäden über 300.000 $ hat in diesem Jahr – wie auch in 2023 – jedes zweite Unternehmen (jeweils 49%) in Deutschland gemeldet.

Über die Studie

Der Cisco Cybersecurity Readiness Index 2024 basiert auf einer Doppelblind-Umfrage unter mehr als 8.000 Führungskräften in 30 Ländern, darunter 303 aus Deutschland. Die Befragten sind in ihren Unternehmen für Business und Cybersicherheit verantwortlich und gaben Selbsteinschätzungen zum Status der Abwehrfähigkeit und eingesetzten Technologie in ihrem Unternehmen. Aufgrund dieser Selbsteinschätzung ist ein Vergleich zwischen verschiedenen Ländern nur innerhalb ähnlicher Kulturräume sinnvoll. Aus diesem Grund konzentriert sich die deutsche Auswertung auf den Vergleich von Deutschland mit UK, FRA, ITA, POL, SPA, NL, CH, SWE und den USA.

Die Umfrage wurde im Januar und Februar 2024 mittels Online-Interviews durchgeführt.

Für die Studie wurde jeweils der Einsatz von 31 verschiedenen Security-Anwendungen in den Unternehmen abgefragt. Die Ergebnisse wurden gewichtet und addiert, sodass ein Wert zwischen 1 und 100 für die Cyberabwehrkraft pro Unternehmen entsteht. Zur besseren Übersichtlichkeit wurden die Unternehmen dann anhand des Wertes in Gruppen zugeteilt: Beginner (0-10 Punkte), Formative (11-40), Progressive (41-69), Mature (70-100). So entsteht die Übersicht, dass z.B. in Deutschland weniger als 2 Prozent der Unternehmen in der Gruppe „Mature“ sind – also den bestmöglichen Reifegrad für Cyberabwehrfähigkeit haben.