Mehr als zwei Drittel (68,5 Prozent) der Unternehmen planen im Jahr 2020 mindestens fünf Prozent ihres IT-Gesamtbudgets für Cybersicherheit zu investieren – im Jahr 2019 waren das nur 56 Prozent. 30 Prozent wollen 2020 sogar mehr als zehn Prozent investieren (2019: 19 Prozent).
Das geht aus einer weltweiten Untersuchung der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC hervor. Ein wichtiger Grund für die gestiegene Bereitschaft: Die Cybersicherheits-Teams der Unternehmen werden sich in den nächsten Jahren verändern müssen. Davon sind 2.280 von 3.000 Unternehmen weltweit (76 Prozent) überzeugt, die von PwC befragt worden sind.
„Diese erkennbaren Budget-Erhöhungen unterstreichen, welche betriebswirtschaftliche Relevanz die Unternehmen der IT-Sicherheit heute einräumen. War eine ausreichende Investition in Cybersicherheitskapazitäten und -personal vor einigen Jahren noch ein eher notwendiges Übel, ist sie heute strategischer Imperativ. Unsere Erfahrungen zeigen: Mit einer Investitionsquote von mehr als fünf Prozent sind die Chancen für Unternehmen immens viel besser, größere Gefahren frühzeitig erkennen und ihnen bei minimalem Schaden zu begegnen. Gleichzeitig haben die Unternehmen auch erkannt, dass eine qualitative Veränderung einsetzen muss, um die Sicherheit auch in der Zukunft aufrecht erhalten zu können“, sagt Jörg Asma, Partner und Cyber Security Leader von PwC.
Top fünf der Veränderungsanlässe
76 Prozent der Unternehmen sind der Ansicht, dass signifikante Veränderungen in den Cyber-Sicherheitsteams notwendig sein werden, 20 Prozent halten dies sogar für ‚sehr‘ signifikant.
Die Top fünf der Veränderungsnotwendigkeiten nach Einschätzung der von PwC Befragten: 72 Prozent haben als Anforderung an die Cybersicherheit eine deutliche stärkere Einbindung der dort tätigen Spezialisten in die Strategie und geschäftliche Prozesse benannt. 64 Prozent sind der Ansicht, dass die Fähigkeit entwickelt werden muss, auch Dritte – wie Zulieferer oder Partner – hinsichtlich ihrer Cybergefahren zu analysieren. Und 49 Prozent halten die Einführung von Automatisierung und KI für die wichtigste Veränderung, auf die sich Cyber-Teams künftig einstellen müssen. Es folgen eine engere Zusammenarbeit mit dem Risk Management (dies halten 37 Prozent für immens wichtig) sowie ein unmittelbares, regelmäßig Reporting an Vorstand und Aufsichtsrat (32 Prozent).
„Aufgrund der vielfältigen Bedrohungslage hätte man erwarten können, dass Cyber-Spezialisten vor allem vor neue technische Herausforderungen gestellt werden“, so Jörg Asma. „Dagegen werden vor allem Business- und so genannte Soft-Skills die Kompetenzen sein, die für die Veränderung der Abteilungen benötigt werden. Ob es eine engere Einbindung in die Strategie, ein Reporting an den Vorstand oder eine bessere Zusammenarbeit mit dem Risk Management ist: IT-Sicherheitsexperten wird immer mehr klassische Management-Kompetenz in Verbindung mit exzellenten kommunikativen Fähigkeiten abverlangt, da Cybersicherheit heute eine Schnittstellenfunktion ist.“
Technologische Entwicklung wird als weniger relevant eingestuft als Einbindung von Cybersicherheit in Strategie und Prozesse
Rein technische Herausforderungen wurden für die Veränderungsnotwendigkeit bei den Befragten als weniger relevant eingestuft. Zwar haben es Automatisierung und KI in die Top fünf geschafft. Eine Verbesserung der technologischen Aufklärung (Threat Intelligence) sowie einen stärkeren Fokus auf operative technologische Sicherheit halten aber nur vier Prozent für sehr wichtige Veränderungsanlässe.
Jörg Asma sagt: „Die Befragten haben auf der einen Seite richtig erkannt, dass gerade in den bestehenden Cyber-Teams deutlicher Lernbedarf hinsichtlich Management- und Kommunikationsfähigkeiten besteht. Das Ergebnis dieser Untersuchung sollte aber auf der anderen Seite nicht davon ablenken, dass es abseits davon eine enorme technologische Entwicklung auf Seiten der Angreifer gibt, auf die ein Sicherheitsteam auch heute schon kurzfristig adäquat reagieren muss. Das bedeutet, dass ein technologisches ‚am Ball bleiben‘ nicht nur wichtig, sondern überlebensnotwendig ist. Der Vorteil für die Unternehmen: die technischen Kompetenzen sind bei IT-Sicherheitsexperten häufig deutlich stärker ausgeprägt als die oben benannten Lernfelder. Entscheidend ist darum, dass sie ein ausreichendes Budget erhalten, um die eigene technologische Entwicklung richtig vorantreiben zu können. Hier sind die Unternehmen auf dem richtigen Weg.“
(Pressemitteilung PwC vom 20.08.2019)
