Laut einer aktuellen Studie von Tata Consultancy Services (tcs) gehört zu den wichtigsten Sicherheitsproblemen großer Unternehmen in Europa und Nordamerika, dass die Risiken durch Partner und Lieferanten unterschätzt werden. Die Unternehmen stufen demnach Sicherheitsrisiken ihrer Partner in Lieferketten als "wenig besorgniserregend"ein, wie die Studie unter mehr als 600 Cyber-Verantwortlichen ergeben haben soll.
In der Folge gingen nur vier von zehn Führungskräften die Risiko- und Cyber-Sicherheit aktiv an. Als größte Herausforderung für die Unternehmen sieht die Studie, dass IT-Sicherheitsexperten gewonnen und auch gehalten werden.
Partner-Risiko wird unterschätzt
Viele Unternehmen richteten den Fokus vor allem auf sich selbst, wenn es darum gehe, Cyber-Risiken vorzubeugen und zu bekämpfen, so die Studie. Wenig beachtet würde dabei, welche Gefahren von Partnern ausgingen. Auch IT-Sicherheitsrisiken bei Lieferanten stünden nicht im Fokus.
Von den Befragten wurden Lieferketten demnach erst an neunter Stelle genannt, was das Risiko für Cyber-Angriffe angeht. "Digitale Ökosysteme" folgen sogar erst auf Platz zehn. Die höchste Gefahr für Cyber-Attacken erkannten die Befragten bei der Finanzabteilung, den Kundendatenbanken sowie im Bereich Forschung und Entwicklung.
Schlupflöcher durch ungesicherte Systeme
Um Daten auszutauschen, nutzen zahlreiche Unternehmen Application Programming Interfaces (APIs). Diese Schnittstellen dienen als Zugangspunkte, um Unternehmen mit Partnern, Kunden und Auftragnehmern zu verbinden.
Sie könnten jedoch auch von Unbefugten verwendet werden. So nutzen Angreifer zunehmend Schlüpflöcher, die durch ungesicherte Systeme von Auftragnehmern, Händlern und Lieferanten angeboten werden, wie tcs erläutert.
Jeden Zugriff überprüfen
"Das Ignorieren der Gefahren, die von diesen Ökosystemen ausgehen, stellt eine Schwachstelle dar, die dringend behoben werden muss", sagt Santha Subramoni, Global Head Cybersecurity, tcs. Eine Möglichkeit, Angriffen innerhalb digitaler Lieferketten vorzubeugen, sei es, ein "Zero-Trust-Modell" umzusetzen.
Dabei werden niemandem automatisch vertraut, sondern jeder Zugriff auf ein Unternehmensnetzwerk geprüft, gleich ob von Mensch oder Maschine.
Ein Fünftel reagiert erst bei Attacke
Ein weiteres Problem ist laut Studie, dass das Führungspersonal der Cybersicherheit zu wenig Aufmerksamkeit schenkt: Von den Führungskräften gaben nur 42 Prozent an, dass in ihrem Unternehmen Cyber-Risiken und Sicherheitsthemen aktiv und regelmäßig auf oberster Ebene angesprochen werden.
Ein Drittel (33 Prozent) erklärten demnach, dass Vorstände oder Geschäftsleitung sich nur mit diesen Themen beschäftigten, wenn sie darauf aufmerksam gemacht werden. In 18 Prozent der Unternehmen fanden Diskussionen erst statt, wenn das eigene Geschäft von einer Cyber-Attacke betroffen war.
Mehr als ein Drittel verunsichert
Bei 40 Prozent der Unternehmen findet das Thema Cyber-Sicherheit dagegen in nahezu jeder Vorstand- oder Geschäftsleitungssitzung statt. Bei weiteren 43 Prozent in jedem zweiten oder dritten Meeting. In jedem sechsten Führungsgremium (17 Prozent) werde das Thema entweder nie, gelegentlich oder nur wenn nötig diskutiert.
Darüber hinaus seien mehr als ein Drittel (37 Prozent) der Befragten unsicher oder immer weniger zuversichtlich, in den kommenden drei Jahren schwerwiegende finanzielle oder rufschädigende Folgen eines größeren Cyber-Vorfalls vermeiden zu können.
Fachkräftemangel ist größte Herausforderung
Eine deutliche Mehrheit der befragten Cyber-Experten erachtet "Cloud"-Lösungen zudem inzwischen als "sicherer" (34 Prozent) oder zumindest "gleich sicher" (28 Prozent) wie On-Premise-Lösungen oder traditionelle Rechenzentren. Nur knapp ein Drittel (32 Prozent) glaubt demnach, dass Cyber-Risiken bei der Nutzung von Cloud-Plattformen grundsätzlich höher seien.
Der Studie zufolge sehen Unternehmen aueßrdem die größte Herausforderung an die Cyber-Sicherheit im Mangel an Fachkräften mit einschlägiger Expertise. CROs und CISOs berichteten, dass es ihnen bereits im vergangenen Jahr schwergefallen sei, Talente mit Kenntnissen bei Cyber-Risiken und -sicherheit für sich zu gewinnen (44 Prozent) und zu halten (42 Prozent).
Frage der finanziellen Mittel
Laut Studie plant die Hälfte (49 Prozent) der Unternehmen aus der EU und Großbritannien, künftig Fachkräfte mit Cybersecurity-Skills einzustellen. In Nordamerika beabsichtigten sogar zwei Drittel (65 Prozent), sich in Zukunft auf die Talentsuche zu begeben.
"Mit den fortschrittlichsten Taktiken der Cyber-Kriminellen Schritt zu halten, ist weniger eine Frage der finanziellen Mittel", resümiert Subramoni. "Die Herausforderung liegt vielmehr darin, die richtigen Fachkräfte mit dem benötigten Know-how zu finden und zu halten." (jk)
