Partner und Lieferanten: Unternehmen unterschätzen Cyber-Risiken

Neue Studie zeigt die dringlichsten Sicherheitsicherheitsprobleme großer Unternehmen in Europa und Nordamerika auf

[datensicherheit.de, 11.08.2022] Laut einer aktuellen Studie von Tata Consultancy Services (tcs) – nach eigenen Angaben unter mehr als 600 Cyber-Verantwortlichen – gehört zu den dringlichsten Sicherheitsproblemen großer Unternehmen in Europa und Nordamerika die Unterschätzung der Risiken durch Partner und Lieferanten. Die Unternehmen stufen demnach Sicherheitsrisiken ihrer Partner in „digitalen Ökosystemen“ und Lieferketten als „wenig besorgniserregend“ ein, so dass nur vier von zehn Führungskräften die Risiko- und Cyber-Sicherheit aktiv angingen. tcs sieht das Gewinnen und Halten von IT-Sicherheitexperten als „größte Herausforderung für Cyber-Verantwortliche“.

tcs-Umfrage: Unternehmen unterschätzen Gefährdung durch ihre Partner

Weltweit kooperieren Unternehmen geschäftlich – bei der Sicherheit indes kaum

Weltweit arbeiteten Unternehmen zunehmend mit Partnern oder sogar mit Konkurrenten in „digitalen Ökosystemen“ zusammen, um neue Geschäftsideen umzusetzen und weiter zu wachsen. „Geht es aber um die Vorbeugung und Bekämpfung von Cyber-Risiken, so ist der Fokus vor allem auf das eigene Unternehmen gerichtet.“

Von den Partnern der Unternehmen ausgehende Cyber-Gefahren fänden wenig Beachtung. Auch IT-Sicherheitsrisiken bei Lieferanten stünden nicht im Fokus. Befragt worden seien „mehr als 600 Führungskräfte im Bereich Cyber-Sicherheit in Europa, Großbritannien und Nordamerika“.

Trotz der aktuell hohen Aufmerksamkeit für „digitale Ökosysteme“ und Lieferketten räumten die befragten „Chief Risk Officers“ (CROs) und „Chief Information Security Officers“ (CISOs) der Gefahr von Cyber-Attacken auf ihre Partner nur eine nachrangige Priorität ein. Mit Blick auf das angenommene Risiko eines Cyber-Angriffs würden Lieferketten erst an neunter Stelle genannt, „digitale Ökosysteme“ gar erst auf Platz 10. Die höchste Gefahr für Cyber-Attacken sähen die Befragten bei der Finanzabteilung, den Kundendatenbanken sowie im Bereich Forschung und Entwicklung.

Angriffe auf Unternehmen mittels Schnittstellen

Um Daten auszutauschen, nutzten Unternehmen beispielsweise „Application Programming Interfaces“ (APIs). Diese Schnittstellen dienten als wichtige Zugangspunkte, um Unternehmen mit Partnern, Kunden und Auftragnehmern zu verbinden. Sie könnten jedoch auch von Unbefugten genutzt werden, „wenn bei der Entwicklung Sicherheitsaspekte ignoriert wurden“. So nutzten Angreifer in zunehmendem Maße Schlüpflöcher, „die durch eben solche ungesicherten Systeme von Auftragnehmern, Händlern und Lieferanten geboten werden“.

Santha Subramoni, „Global Head, Cybersecurity“ bei tcs kommentiert: „Das Ignorieren der Gefahren, die von diesen Ökosystemen ausgehen, stellt eine Schwachstelle dar, die dringend behoben werden muss.“ Seine Empfehlung: „Eine Möglichkeit, Angriffen innerhalb digitaler Lieferketten vorzubeugen, ist die Umsetzung eines ,Zero Trust‘-Modells“ – bei diesem Ansatz werde niemandem automatisch vertraut, sondern jeder Zugriff auf ein Unternehmensnetzwerk geprüft, gleich ob von Mensch oder Maschine.

Nur vier von zehn Führungskräften widmen sich aktiv der Cyber-Sicherheit im Unternehmen

Von den befragten CROs und CISOs gäben 42 Prozent an, dass in ihrem Unternehmen Cyber-Risiken und Sicherheitsthemen aktiv und regelmäßig auf oberster Ebene angesprochen würden. Ein Drittel (33%) gebe an, dass Vorstände oder Geschäftsleitung sich nur mit diesen Themen beschäftigten, wenn sie darauf aufmerksam gemacht werden. In 18 Prozent der Unternehmen fänden Diskussionen erst statt, wenn das eigene Geschäft von einer Cyber-Attacke betroffen ist.

Bei 40 Prozent der Unternehmen sei Cyber-Sicherheit ein Thema in praktisch jeder Vorstand- oder Geschäftsleitungssitzung, bei weiteren 43 Prozent in jedem zweiten oder dritten Meeting. In jedem sechsten Führungsgremium (17%) werde das Thema entweder nie, gelegentlich oder nur wenn nötig diskutiert.

Darüber hinaus seien mehr als ein Drittel (37%) der Befragten unsicher oder immer weniger zuversichtlich, „ob sie in den kommenden drei Jahren schwerwiegende finanzielle oder rufschädigende Folgen eines größeren Cyber-Vorfalls vermeiden können“.

Cloud: Sicherheitsbedenken der Unternehmen schwinden

Eine deutliche Mehrheit der befragten Cyber-Experten erachte „Cloud“-Lösungen inzwischen als „sicherer“ (34%) als bzw. zumindest „gleich sicher“ (28 Prozent) wie On-Premise-Lösungen oder traditionelle Rechenzentren.

Nur knapp ein Drittel (32%) glaube, dass Cyber-Risiken bei der Nutzung von „Cloud“-Plattformen grundsätzlich höher seien.

Cyber-Sicherheit in Unternehmen: Mangel an Fachkräften größte Herausforderung

Der Studie zufolge sehen Unternehmen die größte Herausforderung an die Cyber-Sicherheit im Mangel an Fachkräften mit einschlägiger Expertise. CROs und CISOs berichteten, dass es ihnen bereits im vergangenen Jahr schwergefallen sei, Talente mit Kenntnissen in den Bereichen Cyber-Risiken und -sicherheit für sich zu gewinnen (44%) und zu halten (42%).

Laut Studie plane die Hälfte (49%) der Unternehmen aus der EU und Großbritannien, künftig Fachkräfte mit Cybersecurity-Skills einzustellen. In Nordamerika beabsichtigten sogar zwei Drittel (65%), sich in Zukunft auf die Talentsuche zu begeben.

„Mit den fortschrittlichsten Taktiken der Cyber-Kriminellen Schritt zu halten, ist weniger eine Frage der finanziellen Mittel. Die Herausforderung liegt vielmehr darin, die richtigen Fachkräfte mit dem benötigten Know-how zu finden und zu halten“, betont Subramoni abschließend.

Weitere Informationen zum Thema:

tcs TATA CONSULTANCY SERVICES
Master Report – Cyber confidence / Skill sets, cloud platforms, and leadership alignment matter more than budget in this battle