:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
KPMG-Studie zur Cyber Security 2023 Security-Maßnahmen erzeugen trügerisches Sicherheitsgefühl
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Die Cyberbedrohungslage verschärft sich, doch deutsche Unternehmen sehen sich gut gewappnet. Das zeigt die aktuelle Cyber-Security-Studie von KPMG und Lünendonk. KPMG-Partner Christian Nern erklärt, inwiefern Finanzdienstleister besser aufgestellt sind als andere Unternehmen und warum auch sie noch Nachholbedarf haben.
Unsere Umfrageergebnisse bestätigen einen Trend, den wir in der Beratungspraxis schon länger beobachten: Cyberbedrohungen nehmen zu, verstärkt durch die fortschreitende Digitalisierung, aber auch durch externe Faktoren wie die angespannte geopolitische Lage. 84 Prozent der im DACH-Raum befragten Unternehmen sehen einen leichten oder starken Anstieg der Bedrohungslage im Hinblick auf Cyberangriffe seit Anfang 2022.
Dabei spielt der Risikofaktor Mensch eine entscheidende Rolle, denn vor allem Ransomware und Phishing-E-Mails bereiten den Unternehmen Sorge. 68 Prozent der Unternehmen befürchten, in den kommenden zwei Jahren Opfer eines solchen Angriffs zu werden. 65 Prozent rechnen mit einem Angriff bedingt durch die Nutzung unautorisierter Devices. Diese Ergebnisse zeigen erneut, dass Cyber Security nicht aus einer rein technischen oder regulatorischen Perspektive betrachtet werden kann.
Eine besondere Entwicklung sehen wir außerdem bei der Angst vor DDoS-Attacken (Distributed Denial of Service) – dieser Wert stieg von 58 Prozent im Vorjahr auf 67 Prozent, unter Finanzdienstleistern stieg er sogar auf 71 Prozent. DDoS-Angriffe kommen zwar im Vergleich zu Phishing-Attacken seltener vor, dennoch ist der durch sie verursachte Schaden deutlich größer, wie einige Fälle in den letzten Jahren gezeigt haben. Bei einem DDoS-Angriff wird ein Online-Dienst mit großen Mengen an Daten geflutet und somit gestört, sodass kein Benutzerzugriff mehr möglich ist. Dabei werden in der Regel mehrere Rechner beziehungsweise IT-Systeme infiltriert und mit Malware infiziert, sodass gesamte Prozessketten lahmgelegt werden.
Unternehmen wiegen sich in falscher Sicherheit
Trotz dieser verschärften Bedrohungslage sind neun von zehn Unternehmen überzeugt, dass sie Cyberangriffe frühzeitig erkennen und abwehren können. Zahlreiche organisatorische, technologische und prozessuale Maßnahmen wie 2-Faktor-Identifizierung, Aufbau von Security Operation Centers oder die Einführung einer Cloud Security Governance erzeugen eine gefühlte und damit trügerische Sicherheit.
Doch diese Maßnahmen reichen in einer digitalisierten und global vernetzten Welt nicht mehr aus, denn Cyber-Gefahren kommen von immer mehr Seiten — von innen wie auch von außen — und die Angriffe verfolgen sehr unterschiedliche Ziele. Große Unternehmen werden immer häufiger Opfer des sogenannten Big Game Hunting, also der Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten.
Nachholbedarf bei Identitätsmanagement
Da es nahezu unmöglich ist, Cyberangriffe vollkommen zu verhindern, sollten Unternehmen auf ein starkes Identity & Access Management (IAM) setzen, denn Identitäten sind derzeit aus Security-Gesichtspunkten der Schwerpunkt der Cyberangriffe. Zahlreiche Cyberattacken waren deshalb erfolgreich, weil Beschäftigte mit privilegierten Zugriffsrechten ausgespäht und durch Phishing-Kampagnen digitale Identitäten gestohlen wurden. Doch genau an dieser Stelle haben viele Unternehmen eine kritische Sicherheitslücke: Nur jedes vierte Unternehmen hat ein sogenanntes Privileged Access Management (PAM). Als Teilbereich des IAM dient es dazu, hoch privilegierte Benutzerkonten, wie beispielsweise Systemadministratoren, und die damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten.
Dabei erreichen die Finanzdienstleister ein deutlich höheres Schutzniveau als die Industrieunternehmen. Das ist nicht überraschend, denn die aktuelle Regulatorik wie die BAIT, VAIT, oder ZAIT (Bankaufsichtliche, Versicherungsaufsichtliche oder Zahlungsdiensteaufsichtliche Anforderungen an die IT), die neuen Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die letzten europäischen Rechtsakte – etwa der Digital Operational Resilience Act (DORA) und die Cyber-Security-Richtlinie Network and Information Security 2 (NIS-2) – enthalten klare Vorgaben für die Finanzbranche. Unter Finanzdienstleistern haben 38 Prozent ein PAM etabliert, während der Anteil in der Industrie bei 14 Prozent liegt. Der Lichtblick: Branchenübergreifend haben 69 Prozent der Unternehmen die Einführung eines PAM geplant oder bereits mit der Operationalisierung begonnen.
Cyber Security liegt noch zu selten in der Verantwortung des Top-Managements
Mit Blick auf die wachsende Bedrohung könnte man annehmen, dass Unternehmen die Relevanz einer umfassenden Cyber-Security-Strategie erkannt haben. Allerdings ist branchenübergreifend in jedem vierten Unternehmen ausschließlich die IT-Abteilung für die Entwicklung einer Cyber-Security-Strategie zuständig. Das Top-Management wird nur in 14 Prozent der Unternehmen eingebunden.
Auch die Umsetzung der Cyber-Security-Strategie erfolgt häufig isoliert: In 36 Prozent der Unternehmen sind die einzelnen Unternehmensbereiche für die Umsetzung der Strategie verantwortlich. Dabei kann eine Cyber-Security-Strategie für das gesamte Unternehmen nur dann volle Wirkung entfalten, wenn sie auch im gesamten Unternehmen operationalisiert und gelebt wird.
End-to-End-Ansätze und zentrale Monitorings fehlen häufig noch
Einen konsequenten End-to-End-Ansatz zur Umsetzung der Cyber-Security-Strategie verfolgen 32 Prozent der befragten Unternehmen, wobei die Finanzbranche erneut mit einem besonders hohen Anteil von rund 42 Prozent hervorsticht. Auch hier ist der Vorsprung gegenüber anderen Branchen eine unmittelbare Folge der strengen regulatorischen Anforderungen an die IT-Sicherheit im Sinne der BAIT und der VAIT.
Dieses Muster zeigt sich auch beim Monitoring: Nur 36 Prozent der Unternehmen haben ein zentrales Security Monitoring etabliert. In der Finanzbranche liegt der Wert mit 38 Prozent etwas höher, doch noch immer weit vom Optimum entfernt. Denn künftig sollten alle Systeme und Applikationen im Unternehmen in die Log-Management-Infrastruktur eingebunden werden. Das heißt unter anderem, dass Informationen an zentraler Stelle gesammelt und nach Use Cases ausgewertet werden.
Um der wachsenden Bedrohung und der zunehmenden strategischen Relevanz von Cyber Security gerecht zu werden, sollte die IT-Sicherheit in allen Unternehmen Priorität genießen und auf Führungsebene verankert sein. Cyber Security muss künftig im Top-Management die gleiche Aufmerksamkeit erhalten wie wirtschaftliche Kennzahlen – und darf nicht erst ins Blickfeld rücken, wenn ein Angriff passiert ist.
Unternehmen investieren weiter in Cyber Security und setzen neue Schwerpunkte
Branchenübergreifend wollen die befragten Unternehmen ihre Investitionsschwerpunkte von 2022 auch in den nächsten zwei Jahren fortsetzen. Gleichzeitig planen sie insbesondere in den Bereichen Cloud Security, Vulnerability Management und Kl-gestützte Cyber-Abwehr, ihre Investitionen zu intensivieren.
Die Finanzdienstleister legen dabei besonderen Wert auf Cloud Security — was in engem Zusammenhang mit den strengen regulatorischen Anforderungen an die Cloud-Nutzung steht. 86 Prozent wollen 2023 und 2024 einen Investitionsschwerpunkt auf Cloud Security legen (2022: 65 Prozent).
Insgesamt zeigen unsere Studienergebnisse, dass Banken, Versicherer und Asset Manager bei Cyber Security oftmals Vorreiter sind – nicht selten angetrieben durch die hohen regulatorischen Anforderungen der Branche. Um der wachsenden Bedrohung entgegenzutreten, sind auch bei ihnen weitere Investitionen dringend notwendig und geplant.
Über die Studie
Gemeinsam mit Lünendonk & Hossenfelder hat KPMG 100 Verantwortliche für IT-Security mittelständischer sowie großer Unternehmen in den Branchen Financial Services, Automotive, Industrie, Pharma, Energie, FMCG, Retail und Telekommunikation aus der DACH-Region befragt. Die Befragung fand im Januar und Februar 2023 statt. Die gesamte Studie können steht bei KPMG zum Download zur Verfügung.
Über den Autor: Christian Nern hat vor seiner Tätigkeit bei KPMG in verschiedenen Führungs- und General-Management-Positionen von Software-Herstellern, meist mit internationaler Verantwortung in der IT, Cloud und IT-Security gearbeitet. Heute berät er zusammen mit seinem Team Bank- und Versicherungskunden zu technischen und regulatorischen IT-Security-Themen.
(ID:49668803)
:quality(80)/p7i.vogel.de/wcms/bb/31/bb31c7cc224e7b8371a26120809d71fe/0109273817.jpeg "IDC-Studie: 60 Prozent der deutschen Organisationen haben oder
erwarten einen akuten Security-Fachkräftemangel. Dies ist eine der Herausforderungen für Unternehmen in puncto Cybersicherheit in 2022 und darüber hinaus. (Bild: Artur - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/76/5376cf2f948ad016b8f3227dc189840a/0105996122.jpeg "In Zeiten großer Cloud-Transformationsinitiativen kommt man mit herkömmlichem Privileged Access Management nicht mehr aus. Hier braucht es spezielle Lösungen, sagt Andreas Müller von Delinea. (Bild: Delinea)")