Zu den wesentlichen Ergebnissen der Cyber-Risiko-Umfrage von Bluevoyant zählte die Erkenntnis, dass trotz hoher Vorfallzahlen Unternehmen in Deutschland, Österreich und der Schweiz in Bezug auf das Cyber-Risikomanagement in der Lieferkette uneinheitlich vorgehen. Bewusstsein, Priorisierung und Überwachung sind ungenügend ausgeprägt.
Die Ergebnisse für die DACH-Region rütteln auf: steigende Angriffszahlen, mangelhafte Zulieferer-Transparenz und fehlende Einblicke in die Cyber-Sicherheit bei Drittanbietern machen die Beherrschung der Schwachstellen schwer. 99 Prozent der befragten Unternehmen mit Sitz in der DACH-Region sind eigenen Angaben zufolge im vergangenen Jahr einem direkten Angriff aufgrund von Schwachstellen bei der Cyber-Sicherheit von Drittanbietern zum Opfer gefallen. Dieser Wert ist höher als der Durchschnitt von 93 Prozent bei den 2021 befragten Unternehmen.
Die durchschnittliche Anzahl von Sicherheitsverletzungen mit Ursprung in der Lieferkette ist mit 3,57 pro Unternehmen relativ hoch. 54 Prozent meldeten zwischen zwei und fünf Cyber-Angriffe. Bei 21 Prozent waren es sogar zwischen sechs und zehn Angriffe, was etwas über den durchschnittlichen Wert von 19 Prozent im Jahr 2021 liegt.
Im Vergleich mit Unternehmen in anderen Regionen räumen Umfrageteilnehmer in der DACH-Region ein, dass Cyber-Risiken bei Drittanbietern für sie kein Thema sind. Der Anteil liegt mit 35,5 Prozent höher als der Gesamtdurchschnitt bei allen Regionen (29 Prozent). 43 Prozent gaben an, die Verwaltung von Cyber-Risiken bei Drittanbietern habe für ihr Unternehmen höchste Priorität, und 22 Prozent überwachen alle ihre externen Zulieferer auf potenzielle Probleme bei der Cyber-Sicherheit.
Der Anteil von Unternehmen, deren Lieferkette zwischen 1.001 und 10.000 Zulieferer umfasst, liegt bei 42 Prozent. Bei 33 Prozent beträgt die Lieferkettengröße 501–1.000 Zulieferer. Im Durchschnitt umfassen Lieferketten in der DACH-Region 5.481 Drittanbieter.
Angesichts steigender Anbieterzahlen wird deutlich, wie sehr es Unternehmen in der DACH-Region an Einblick in die Cyber-Sicherheitsstrategien ihrer Zulieferer mangelt. Der Anteil von Umfrageteilnehmern, die einräumen, von Problemen bei Sicherheitsanbietern nichts zu erfahren, liegt bei 40 Prozent. Nur solche Unternehmen in dieser Region, die sich dieser höchst komplexen Herausforderung stellen, werden in der Lage sein, dem wachsenden organisatorischen Risiko aufgrund von steigenden Angriffszahlen etwas entgegenzusetzen.
„Die Ergebnisse zeigen, dass die befragten Unternehmen in Deutschland, Österreich und der Schweiz trotz der hohen Zahl an kritischen Vorfällen, die das Cyber-Risikomanagement in der Lieferkette betreffen, uneinheitlich vorgehen. Ein gemeinsames Bewusstsein für die Schwere der Bedrohungslage, die Priorisierung und die Überwachung von Drittanbieter-Cyber-Risiken lassen zu wünschen übrig“, erklärt Markus Auer, Sales Director DACH bei Bluevoyant. „Es ist wichtig, dass die Unternehmen die Integration von kontinuierlicher Lieferkettenüberwachung vorantreiben und hierbei die Transparenz deutlich verbessern. Zudem sind für die Gewährleistung von effektiver Cyber-Sicherheit eindeutige Zuständigkeiten für Cyber-Risiken bei Drittanbietern, sowie eine umfassende Schulung der Zulieferer, entscheidend.“
Befragt wurden 1.200 CIOs, CISOs und CPOs (Chief Procurement Officers) mit Verantwortung in den Bereichen Lieferkette und Cyber-Risikomanagement in Unternehmen mit mindestens 1.000 Mitarbeitern. Zu den abgedeckten Branchen zählten Business Services, Finanzdienstleistungen, Gesundheitswesen, Pharmaindustrie, Fertigung, Versorgungsbetriebe und Verteidigung. Zur Berücksichtigung der globalen Perspektive wurde die Studie in folgenden Ländern durchgeführt: USA, Kanada, Deutschland, Niederlande, Großbritannien und Singapur. In Folge wurden zwei weitere europäische Berichte in Auftrag gegeben. Dazu wurden im Januar 2022 450 Personen in ganz Europa befragt, sodass sich die Anzahl der Umfrageteilnehmer auf 1.650 Personen erhöhte. (rhh)