40 Prozent der Unternehmen haben bereits einen Cybersecurity-Vorfall erlitten, 48 Prozent davon jedoch nicht den zuständigen Behörden gemeldet. Diese Ergebnisse stammen aus der Studie „Cybersecurity-Katastrophen: Incident Reporting & Disclosure“.
Die Ergebnisse der Untersuchung „Cybersecurity-Katastrophen: Incident Reporting & Disclosure“ verdeutlichen, dass bei der Meldung von Cybersecurity-Angriffen und -Verletzungen, sowohl an interne Führungskräfte als auch an externe Behörden, Defizite weit verbreitet sind. Die Studie von Keeper zeigt zudem, dass es trotz der wachsenden Bedrohung durch Cyberattacken an Richtlinien für die Meldung von Cybervorfällen mangelt.
74 Prozent der Befragten gaben an, dass sie sich Sorgen machen, dass ihr Unternehmen von einer Cybersecurity-Katastrophe betroffen werden könnte. 40 Prozent der Befragten sagten, dass ihr Unternehmen schon einmal eine Cyber-Katastrophe erlebt hat. Trotz dieser Erfahrung sowie zahlreicher Bedenken wird die Meldung von Sicherheitsverletzungen an das Unternehmensleitung und an die zuständigen Behörden häufig unterlassen.
Unternehmenskulturen räumen Cybersicherheit keine Priorität ein
Trotz potenzieller, finanzieller und rufschädigender Langzeitfolgen überwiegen unzureichende Offenlegungs- und Transparenzpraktiken. Das Versäumnis, Meldung zu machen, beruht größtenteils auf der Angst vor den kurzfristigen negativen Folgen für den Ruf des Unternehmens (43 Prozent) sowie vor finanziellen Auswirkungen (40 Prozent).
Die Befragten wiesen zudem darauf hin, dass die Unternehmensleitung ein starkes Interesse an der Cyberlage zeigen und ihnen ausreichend IT- und Sicherheitsfachleute bereitstellen müsse, damit die Meldung von Angriffen sowie eine adäquate Reaktion auf dieselben möglich ist.
- Insgesamt 48 Prozent der Befragten sind der Meinung, dass sich die Führungsebene weder für einen Cyberangriff interessiert (25 Prozent) noch darauf reagieren würde (23 Prozent).
- Fast ein Viertel aller Befragten (22 Prozent) gab an, dass ihr Unternehmen „kein System“ habe, um Verstöße an die Unternehmensleitung zu melden.
„Die Zahlen verdeutlichen, dass die Unternehmen ihre Kultur in Bezug auf die Cybersicherheit signifikant ändern müssen, schließlich geht es um eine gemeinsame Verantwortung“, so Darren Guccione, CEO und Mitbegründer von Keeper Security. „Die Verantwortung beginnt an der Spitze, und die Führungskräfte müssen eine Unternehmenskultur schaffen, die der Meldung von Cybersecurity-Vorfällen Priorität einräumt. Andernfalls setzen sie sich selbst rechtlichen Verpflichtungen und kostspieligen finanziellen Strafen aus und gefährden Mitarbeiter, Kunden, Stakeholder und Partner.“
In einer Zeit großer Sicherheitsrisiken ist es entscheidend, bei der Dokumentation von Cyber-Katastrophen auf Transparenz und Ehrlichkeit zu setzen sowie Best Practices, Guidelines und Prozesse für den Schutz vor laufenden Bedrohungen einzuführen. Eine der wirksamsten Methoden zur Verhinderung von Cyber-Katastrophen, ist etwa die Verwaltung von Passwörtern und privilegierten Zugängen. Sie ist einfach, bietet den Unternehmen zugleich aber einen elementaren Schutz.
Methodik der Studie
Keeper beauftragte ein unabhängiges Marktforschungsunternehmen mit der Befragung von 400 IT- und Sicherheitsverantwortlichen in Nordamerika und Europa, um deren Erfahrungen mit Cybersecurity-Vorfällen, der Dokumentation sowie der Datenwiederherstellung zu gewinnen. Ein unabhängiges Forschungsunternehmen führte die Umfrage im Jahr 2023 durch. Keeper definiert „Cybersecurity-Katastrophen“ als jedes Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit eines Informationssystems ernsthaft beeinträchtigt. (rhh)
