Proofpoints Report „Cybersecurity: The 2023 Board Perspective“: KI – die neue Gefahr

Dieser Befund spiegelt die anhaltende Volatilität der Bedrohungslandschaft wider, einschließlich anhaltender geopolitischer Spannungen und der Zunahme zerstörerischer Ransomware- und Lieferkettenangriffe. Dabei hat die Führungsetage den Missbrauch generativer KI-Tools wie ChatGPT für cyberkriminelle Zwecke deutlich auf dem Schirm: 61 Prozent der deutschen Studienteilnehmer sehen in diesen Tools ein Sicherheitsrisiko für ihr Unternehmen. Das ist der höchste Wert aller europäischen Länder.

Vorstandsmitglieder in Deutschland hegen diese Bedenken, obwohl 59 Prozent (international 73 Prozent) die Cybersicherheit als Priorität betrachten, 57 Prozent (international 72 Prozent) glauben, dass sie die Cyberrisiken, denen sie ausgesetzt sind, klar verstehen und 63 Prozent (international 70 Prozent) davon ausgehen, dass sie angemessen in die Cybersicherheit investiert haben. Der internationale Vergleich zeigt dabei, dass deutsche Unternehmensleitungen dem Risikobewusstsein und der Investitionsbereitschaft der meisten ihrer internationalen Kollegen hinterherhinken.

Für den neuen Proofpoint-Report wurden weltweit 659 Vorstandsmitglieder von Organisationen mit 5.000 oder mehr Mitarbeitern aus verschiedenen Branchen befragt. Die Befragung fand im Juni 2023 in den folgenden zwölf Ländern statt (pro Land wurden mindestens 50 Führungskräfte befragt): USA, Kanada, Vereinigtes Königreich, Frankreich, Deutschland, Italien, Spanien, Australien, Singapur, Japan, Brasilien und Mexiko.

Deutsche Sonderrolle

Der Report untersucht drei zentrale Bereiche: die Cyber-Bedrohungen und -Risiken, mit denen sich Vorstände konfrontiert sehen, ihre Bereitschaft, sich gegen diese Bedrohungen zu wappnen und ihre Abstimmung mit CISOs basierend auf den Ansichten, die Proofpoint in seinem Report „Voice of the CISO 2023“ ermittelt hat. Deutsche Unternehmensleitungen und CISOs spielen in dieser Hinsicht eine Sonderrolle. Während international eine größere Übereinstimmung zwischen Vorständen und Sicherheitsverantwortlichen zu beobachten ist, gehen die Ansichten der beiden Personengruppen in Deutschland stark auseinander. So betrachten deutsche Vorstandsmitglieder die Kompromittierung von Cloud-Konten (45 Prozent), Insider-Bedrohungen (41 Prozent) und Malware (33 Prozent) als die größten Bedrohungen für ihr Unternehmen. Deutsche CISOs hingegen machen sich größere Sorgen um E-Mail-Betrug/Business Email Compromise (31 Prozent), DDoS-Angriffe (29 Prozent) und Smishing/Vishing (28 Prozent).

„Obwohl die Unternehmensleitungen im Allgemeinen zufrieden mit der Zeit und den Ressourcen sind, die sie in die Bekämpfung von Cyberrisiken investieren, hat sich die Cybersicherheitslage noch nicht wesentlich verändert“, erläutert Bert Skaletski, Resident CISO für EMEA bei Proofpoint. „Unsere Ergebnisse zeigen, dass es weiterhin schwierig ist, das erhöhte Bewusstsein in wirksame Cybersicherheitsstrategien umzusetzen, die Menschen und Daten schützen. Der Ausbau der Beziehung zwischen Vorstand und CISO wird von entscheidender Bedeutung sein, damit Direktoren und Sicherheitsverantwortliche relevantere Gespräche führen und sicherstellen können, dass sie in die richtigen Prioritäten investieren.“

Weitere wesentliche Befunde des aktuellen Proofpoint-Reports:

• Risikobewusstsein und Finanzierung führen nicht zu Bereitschaft: Für 59 Prozent der deutschen Vorstände hat Cybersicherheit Priorität, 57 Prozent glauben, dass sie die Cyberrisiken, denen sie ausgesetzt sind, klar verstehen, 63 Prozent sind der Meinung, dass sie angemessen in Cybersicherheit investiert haben, und 77 Prozent glauben, dass ihr Budget für Cybersicherheit in den nächsten 12 Monaten steigen wird. Allerdings führen diese Bemühungen nicht zu einer besseren Abwehrbereitschaft: 55 Prozent sind immer noch der Ansicht, dass ihr Unternehmen nicht auf einen Cyberangriff in den nächsten 12 Monaten vorbereitet ist.
• Unternehmensleitung und CISOs sind sich in den Bereichen Personenrisiko und Datensicherheit nicht ganz einig: Mehr deutsche Vorstandsmitglieder (59 Prozent) als CISOs (45 Prozent) glauben, dass menschliches Versagen ihr größtes Risiko darstellt, während Vorstandsmitglieder (53 Prozent) und CISOs (50 Prozent) ungefähr das gleiche Maß an Vertrauen in die Fähigkeit ihres Unternehmens haben, seine Daten zu schützen.
• Bessere Information zu Bedrohungen, Cyber-Expertise im Vorstand und bessere technische Kontrollen stehen ganz oben auf der Wunschliste der Vorstandsetagen: 47 Prozent der deutschen Vorstände glauben, dass die Cybersicherheit ihrer Organisation von besseren Informationen über Bedrohungen profitieren würde, 33 Prozent wünschen sich mehr Cybersicherheits-Expertise im Vorstand und 31 Prozent hätten gerne bessere technische Kontrollmöglichkeiten.
• Die Interaktionen und Beziehungen zwischen Vorstand und CISO sind verbesserungswürdig: 51 Prozent der deutschen Vorstandsmitglieder interagieren regelmäßig mit Sicherheitsverantwortlichen, ein Rückgang gegenüber 59 Prozent im letzten Jahr. Und wenn es zur Interaktion zwischen Vorstandsmitgliedern und CISOs kommt, verläuft diese selten optimal: 51 Prozent der Vorstandsmitglieder sagen, dass sie mit ihrem CISO einer Meinung sind, verglichen mit 39 Prozent der CISOs, die diese Ansicht teilen.
• Ihre Persönliche Haftung betrachten Vorstände und CISOs gleichermaßen lediglich als moderates Problem: 55 Prozent der deutschen Vorstandsmitglieder äußerten Bedenken hinsichtlich ihrer persönlichen Haftung nach einem Cybersicherheitsvorfall in ihrem Unternehmen, 52 Prozent der CISOs haben analoge Bedenken.

Der neueste Report von Proofpoint kann unter folgendem Link heruntergeladen werden: https://www.proofpoint.com/de/resources/white-papers/board-perspective-report