- Deutschland in Europa dennoch auf Platz zwei, aber großer Abstand zu den USA
- Deutsche Unternehmen stark bei Künstlicher Intelligenz (KI), mäßig bei Identity und Cloud
- Vergangenes Jahr noch 11 Prozent optimal auf Angriffe vorbereitet, Anforderungen haben sich seitdem aber erhöht
- 55 % der deutschen Unternehmen hatten in den letzten 12 Monaten einen Cybervorfall
- Dabei immer mehr Schäden über 100.000$ – „Wenn es rumst, dann richtig.“
- Studie unter 8.000 IT-EntscheiderInnen weltweit, 303 aus Deutschland
Garching, 3. April 2024 – Während 2023 noch jedes zehnte Unternehmen in Deutschland optimal vor modernen Sicherheitsrisiken geschützt war, sind es heute nicht mal 2 Prozent. Das zeigt der Cisco Cybersecurity Readiness Index 2024. Der Index ist aktuell eine der umfassendsten Untersuchungen zum Cyberreifegrad der weltweiten Privatwirtschaft. Ein zentrales Ergebnis: Fasst man die beiden höchsten von vier Reifegradkategorien Mature und Progressive zusammen, belegt Deutschland Platz zwei in Europa hinter Großbritannien. Stärken zeigen deutsche Firmen bei KI-basierter Sicherheit, Luft nach oben besteht in den Bereichen Identity und Cloud.
In den letzten 12 Monaten hat sich die Cyberlandschaft deutlich verändert, insbesondere durch KI. Sie kommt nun sowohl bei Angriffen als auch Schutzlösungen zum Einsatz. Daher müssen Unternehmen auch ihre Sicherheitsstrategien und -architekturen anpassen. Mit dieser Geschwindigkeit scheinen deutsche Firmen überfordert zu sein. Denn ihre Fähigkeit, auf neue Cyberbedrohungen zu reagieren, hat im Vergleich zum vergangenen Jahr deutlich abgenommen. Nur noch 1,65 Prozent sind bestmöglich auf aktuelle Gefahren vorbereitet. Im höchsten Reifegrad „Mature“ bedeutet das im europäischen Vergleich Platz 4 hinter den Niederlanden (3,27 %), Spanien (1,96 %) und der Schweiz (1,95 %). Die USA liegen auch vor Deutschland mit 3,00 %. Eine genaue Erklärung der Methodik und Reifegrade finden Sie am Ende der Meldung.
Bei der summierten Betrachtung der beiden höchsten Reifegrade „Mature“ und „Progressive“ sieht es etwas besser aus. Nach Großbritannien (27,6 %) gewinnt Deutschland die Silber-Medaille (25,1 %) in Europa. Das heißt, ein Viertel der deutschen Unternehmen hat ein gutes Schutzniveau gegen Cyberangriffe. Der deutliche Abstand aller europäischen Länder zu den USA (34,1%) zeigt aber, dass noch ein deutlich besserer Schutz vor den aktuellen Gefahren möglich – und nötig ist. In Deutschland sind 67 Prozent der Unternehmen in der Gruppe „Formative“ und 8 Prozent „Beginner“.
„Ein ermutigendes Zeichen für Deutschland bildet der hohe Einsatz von KI bei der Cyberabwehr“, erklärt Michael von der Horst, Managing Director Cybersecurity bei Cisco Deutschland. „Schon mehr als 40 Prozent nutzen darauf basierende Systeme mit dem höchsten oder zweithöchsten Reifegrad. Der Schutz von Netzwerken und Geräten ist mit 35 und 25 Prozent zufriedenstellend gut. Großer Nachholbedarf besteht jedoch in den Bereichen Identity und Cloud. Hier haben nur jeweils 15 Prozent der deutschen Firmen ein ausreichendes Schutzniveau.“
Ein Grund für die negative Einschätzung in diesen Feldern liegt in der unterdurchschnittlichen Implementierung wesentlicher Schutzmaßnahmen durch deutsche Unternehmen. Ein Beispiel: Gerade einmal 27 Prozent der Unternehmen in Deutschland nutzen im Bereich „Identity“ eine spezifische Form der Identitätssicherung. Bei dieser dient die erste Authentifizierung als passwortlose Identifizierung für den Rest einer Sitzung. In den USA kommt diese Methode in 39 Prozent der Unternehmen zum Einsatz. Im Bereich „Cloud“ haben nur 23 Prozent der deutschen Unternehmen die Fähigkeit, Security-Policies über mehrere Clouds konsistent einzusetzen und auszuführen – in UK sind es 31 Prozent, in den USA 37 Prozent.
Weitere Ergebnisse
Die Befragten Cybersecurity-Entscheider erkennen dabei selbst, dass ihre Schutzmaßnahmen derzeit nicht ausreichen – nicht zuletzt aus der eigenen Erfahrung heraus: 55 Prozent der Befragten in Deutschland verzeichneten in den letzten 12 Monaten einen Cybervorfall. 73 Prozent sind der Überzeugung, dass ein solcher Vorfall ihr Geschäft auch in den nächsten 12 bis 24 Monaten wahrscheinlich oder sehr wahrscheinlich beeinträchtigen wird. Entsprechend sehen sie sich auch vor komplexe Aufgaben gestellt, wenn es um den Schutz vor Angriffen geht. Die Absicherung von Unternehmensidentitäten (37 %) und des Netzwerks (35 %) zählen dabei zu den Top-Herausforderungen deutscher Firmen.
Wenig überraschend: Phishing-Angriffe (54 %) stellen für sie aktuell die größten Bedrohungen dar. Deutlich aufschlussreicher ist dagegen die Sichtweise auf neue Bedrohungsfaktoren oder Vektoren, die außerhalb des eigenen Unternehmens liegen. Gerade einmal 1 % der Befragten hierzulande sieht in neuen, KI-gestützten Angriffen die derzeit stärkste Bedrohung. Selbst Supply-Chain-Attacken, die im letzten Jahr für wesentliche Schäden in Unternehmen verantwortlich waren, sind kaum in ihrem Blickfeld (8 % der Nennungen).
Insgesamt zeigt die Cisco Studie, dass deutsche Unternehmen nicht nur unzureichend vorbereitet sind, sondern auch zu selbstsicher, um ihre Infrastrukturen in der heutigen Cybersecurity-Landschaft sorgfältig zu schützen. 82 Prozent der Befragten in Deutschland sind gut oder sehr gut von der eigenen Widerstandsfähigkeit überzeugt. Nachdenklich macht dabei auch eine andere Zahl. Im Vergleich zum letzten Jahr ist 10 Prozent mehr Unternehmen ein Schaden über 100.000$ durch Cyberangriffe entstanden (2024: 78% / 2023: 68%). Dabei ist vor allem die „Eintrittsgröße“ gestiegen: Es gibt immer weniger Cybervorfälle, die nur Schäden im 5-stelligen Bereich verursachen. Schäden über 300.000$ hat in diesem Jahr – wie auch in 2023 – jedes zweite Unternehmen (jeweils 49%) in Deutschland gemeldet.
„Wenn es rumst, dann richtig“, sagt Kim Maike Finck, Cybersecurity Expertin bei Cisco in Deutschland. „Sobald ein Cyberangriff erfolgreich ist, wird es teuer. Man kann das nicht mehr aus der Portokasse zahlen. Schäden unter 100.000$ gibt es nur noch selten. Die Hälfte der erfolgreichen Angriffe kostet deutsche Unternehmen sogar mindestens 300.000$.“
Weitere Ergebnisse für Deutschland:
- Die Vielfalt der Angriffe, mit denen Unternehmen in den letzten Jahren konfrontiert waren, reichte von Ransomware (46 %) über Phishing (68 %) bis zum Diebstahl oder Missbrauch von Daten (32 %).
- Drei Viertel aller Unternehmen in Deutschland implementieren KI in ihre Bedrohungserkennung und 55 % in ihre Reaktion – allerdings nur 48 % in Recovery-Maßnahmen.
- 67 % der Unternehmen in Deutschland setzen mindestens zehn verschiedene Sicherheitstools ein. 76 % allerdings geben an, dass Mehrfachlösungen die Effizienz ihres Teams bei Erkennung, Reaktion und Wiederherstellung beeinträchtigen.
- Fast neun von zehn Unternehmen beklagen einen Mangel an Cybersecurity-Fachkräften, bei 71 % sind mehr als fünf Stellen unbesetzt.
Die gute Nachricht lautet, dass Unternehmen ihre Sicherheitsbudgets erhöhen wollen. Denn sie erkennen einen Anstieg der Risiken durch Digitalisierung, vielfältigere Angriffsarten und größere finanzielle Auswirkungen: 81 Prozent der deutschen Security-Entscheider erwarten, dass ihr Budget für Cybersicherheit in den nächsten 12 Monaten um mehr als 10 Prozent steigen wird. Aktuell nutzt bereits knapp die Hälfte der Unternehmen (47 %) hierzulande mehr als 10 % ihres IT-Budgets für die Cybersicherheit. Im vergangenen Jahr waren dies nur 41 %.
„In der heutigen Bedrohungslandschaft sollten sich Unternehmen nicht mehr fragen, ob ein User Zugriff erhalten kann, sondern ob er sollte“, ergänzt Michael von der Horst. „Nur dann können sie ihre Sicherheitslage deutlich verbessern. Gleichzeitig müssen sie sich auf neue Angriffsszenarien und Abwehrmaßnahmen auf Basis von KI einstellen. Entsprechend wurden im Cybersecurity Readiness Index 2024 im Vergleich zum Vorjahr die Fragen und Themen inhaltlich angepasst, so dass sich die Ergebnisse nicht vorbehaltlos vergleichen lassen.“
Über die Studie
Der Cisco Cybersecurity Readiness Index 2024 basiert auf einer Doppelblind-Umfrage unter mehr als 8.000 Führungskräften in 30 Ländern, darunter 303 aus Deutschland. Die Befragten sind in ihren Unternehmen für Business und Cybersicherheit verantwortlich und gaben Selbsteinschätzungen zum Status der Abwehrfähigkeit und eingesetzten Technologie in ihrem Unternehmen. Aufgrund dieser Selbsteinschätzung ist ein Vergleich zwischen verschiedenen Ländern nur innerhalb ähnlicher Kulturräume sinnvoll. Aus diesem Grund konzentriert sich die deutsche Auswertung auf den Vergleich von Deutschland mit UK, FRA, ITA, POL, SPA, NL, CH, SWE und den USA.
Die Umfrage wurde im Januar und Februar 2024 mittels Online-Interviews durchgeführt.
Für die Studie wurde jeweils der Einsatz von 31 verschiedenen Security-Anwendungen in den Unternehmen abgefragt. Die Ergebnisse wurden gewichtet und addiert, sodass ein Wert zwischen 1 und 100 für die Cyberabwehrkraft pro Unternehmen entsteht. Zur besseren Übersichtlichkeit wurden die Unternehmen dann anhand des Wertes in Gruppen zugeteilt: Beginner (0-10 Punkte), Formative (11-40), Progressive (41-69), Mature (70-100). So entsteht die Übersicht, dass z.B. in Deutschland weniger als 2 Prozent der Unternehmen in der Gruppe „Mature“ sind – also den bestmöglichen Reifegrad für Cyberabwehrfähigkeit haben.
Die Ergebnisse des Index finden Sie hier.
Im März 2023 wurde die erste Ausgabe des Cisco Cybersecurity Readiness Index veröffentlicht. Aufgrund der sich wandelnden Bedrohungslage wurden seitdem auch die abgefragten Metriken angepasst, weshalb ein Detailvergleich nicht immer möglich ist. Die Ergebnisse aus dem Jahr 2023 finden Sie hier.
Weiterführende Informationen
- Portraitbilder von Kim Maike Finck und Michael von der Horst
- Die vollständige Studie ist hier verfügbar.
- Eine globale Microsite finden Sie hier.
- Hier finden Sie weitere Tabellen und Bildmaterial für die deutschen Ergebnisse.
