Cyber Resilienz gehört auf den Prüfstand: 63 Prozent der deutschen Unternehmen rechnen 2025 mit einem Cyberangriff

• 63 Prozent der Unternehmen in Deutschland erwarten innerhalb der nächsten zwölf Monate ein signifikantes Ausfallszenario; 53 Prozent haben in den letzten sechs Monaten bereits einen Ausfall erlebt im Vergleich zu 45 Prozent der globalen Unternehmen.
• 97 Prozent der IT-Führungskräfte in Deutschland sind der Meinung, dass ihre derzeitigen Cyber Resilienz-Maßnahmen wirksam sind, doch Ransomware-Angriffe nehmen weiter zu und kosten Unternehmen jährlich Milliarden von Dollar.
• Nur 46 Prozent geben an, dass ihre Cyber Resilienz-Strategie angesichts des wachsenden Gebrauchs von KI auf dem neuesten Stand ist.
• Unternehmen müssen genauer evaluieren, wie sie aufgestellt sind, um auf Cyberverletzungen reagieren zu können, die es Bedrohungsakteuren ermöglichen auf Systeme zuzugreifen, sich lateral in ihren Umgebungen zu bewegen und sensible Daten zu stehlen.

Eine weltweite Umfrage von Zscaler, führend in Cloud-Sicherheit, hat eine kritische Diskrepanz zwischen dem Vertrauen von IT-Führungskräften weltweit in die Fähigkeit ihres Unternehmens aufgezeigt, mögliche Ausfallszenarien wie Cyberangriffe zu überstehen, und der Effektivität ihrer aktuellen Sicherheitsansätze. Laut der von Sapio1 durchgeführten Umfrage unter 1.700 IT-Entscheidungsträgern in zwölf Ländern ist fast die Hälfte (49 Prozent weltweit und in Deutschland 44 Prozent) aller Befragten der Meinung, dass ihre IT-Infrastruktur hochgradig widerstandsfähig aufgestellt ist. 94 Prozent (97 Prozent in Deutschland) halten ihre derzeitigen Cyber Resilienz-Maßnahmen für wirksam. Im Gegensatz zu dieser Zuversicht haben zwei Fünftel (40 Prozent weltweit und in Deutschland 45 Prozent) der IT-Führungskräfte jedoch ihre Cyber Resilienz-Strategie seit mehr als sechs Monaten nicht mehr überprüft. Nur 45 Prozent (in Deutschland 46 Prozent) sind der Meinung, dass ihre Strategie angesichts des Aufstiegs der KI auf dem neuesten Stand ist. Durch die sich rasch entwickelnde Bedrohungslandschaft und die Auswirkungen von Ransomware-Angriffen auf Unternehmen sollten diese ihre Fähigkeit überprüfen, auf Angriffe vorbereitet zu sein und den Übergang zu einer Zero Trust-Architektur evaluieren.

Stärkere Priorisierung seitens der Unternehmensführung

Die Untersuchung der Diskrepanz zwischen dem Vertrauensniveau und den aktuellen Strategien zeigt, dass mangelnde Investitionen der Unternehmensführung einen wichtigen Reibungspunkt darstellen. Die Befragten gaben an, dass die Mehrheit der IT-Leader die wachsende Bedeutung eines robusten Cyber Resilienz-Ansatzes verstehen, aber nur eine Minderheit von 39 Prozent (in Deutschland 33 Prozent) glauben, dass dies eine der obersten Prioritäten ihres Managements ist. Diese mangelnde Priorisierung spiegelt sich in der Höhe des Budgets wider, das für Cyber Resilienz-Strategien bereitgestellt wird, wobei etwa die Hälfte der Befragten (49 Prozent weltweit, in Deutschland 52 Prozent) der Meinung ist, dass die Höhe der Investitionen dem steigenden Bedarf nicht gerecht wird.

Dies zeigt sich auch an der fehlenden Einbeziehung der Führungsebene in das Thema Cyber Resilienz. In den meisten Unternehmen liegt die Verantwortung der Planung der Cyber Resilienz bei den IT-Leitern und ihren Teams. Weniger als die Hälfte (44 Prozent weltweit, in Deutschland 42 Prozent) der IT-Leader geben an, dass der CISO aktiv an der Resilienz-Planung beteiligt ist. Ein weiteres Indiz für die isolierte Betrachtung der Cyber Resilienz ist die Tatsache, dass nur 36 Prozent (30 Prozent in Deutschland) der Befragten angeben, dass ihre Cyber Resilienz-Strategie in die allgemeine Resilienz-Strategie ihrer Organisation eingebunden ist.

„Die Möglichkeit eines schwerwiegenden Ausfallszenarios für Unternehmen ist nicht eine Frage des ‚ob‘, sondern des ‚wann‘, wie die Umfrage belegt“, sagt Jay Chaudhry, CEO, Chairman und Gründer von Zscaler. „Das zeigt die Notwendigkeit proaktiver Resilienz, um unvermeidbare Vorfälle in ihren Auswirkungen einzudämmen und zu entschärfen, bevor sie zu einem signifikanten Problem für die Geschäftskontinuität werden. Cyber Resilienz ist die Grundlage für die allgemeine Widerstandsfähigkeit eines Unternehmens und veraltete Firewalls und VPNs lassen Angriffe zu, so dass eine Zero Trust-Architektur für den Schutz vor Advanced Threats entscheidend ist. Das Management muss gemeinsam mit den IT-Teams eine Strategie für die Cyber Resilienz entwickeln, die angesichts der zunehmend unbeständigeren Bedrohungslandschaft robust und zweckmäßig ist und Unternehmen ‚Resilient by Design‘ aufstellt.“

Abkehr vom Fokus auf Prävention 

Obwohl weltweit 85 Prozent (in Deutschland 87 Prozent) der IT-Führungskräfte zuversichtlich sind, dass ihr Unternehmen einem signifikanten Ausfallszenario standhalten oder sich davon erholen könnte, hat eine weitere Untersuchung der vorhandenen Ansätze Schwachstellen aufgedeckt. Die Mehrheit (60 Prozent weltweit und 65 Prozent in Deutschland) der IT-Leader ist der Meinung, dass ihr Unternehmen der Prävention eine zu hohe Bedeutung einräumt. Dabei zeigt sich, dass mehr als zwei Fünftel (43 Prozent) der Cybersicherheitsstrategien und -budgets auf die Vorbeugung von Angriffen ausgerichtet sind, was zu Lasten der Reaktionsfähigkeit oder Wiederherstellung nach einem erfolgten Angriff geht. Dies deutet darauf hin, dass die meisten Organisationen nicht auf das Szenario des Ausfalls vorbereitet sind, und dass sie Schwierigkeiten haben werden, den Geschäftsbetrieb so schnell wie möglich wiederherzustellen.

Von den Unternehmen, die sich auf die Prävention konzentrieren, setzen weniger als die Hälfte die folgenden proaktiven Sicherheitstools ein, um die Auswirkungen von Cyberangriffen einzudämmen und Schaden zu verhindern: Risk Hunting (44 Prozent weltweit, in Deutschland 45 Prozent), Zero Trust-Mikrosegmentierung (42 Prozent, in Deutschland 49 Prozent) und Deception-Technologien (35 Prozent, in Deutschland 29 Prozent).

„Angesichts der wachsenden Bedrohungslandschaft einschließlich KI-basierter Angriffe und des anhaltenden Drucks zur Digitalisierung erweitern sich Angriffsflächen auf Unternehmen auch weiterhin“, sagt James Tucker, Head of EMEA CISOs in Residence bei Zscaler. „Eine robuste und proaktive Resilienz-Strategie, die durch eine Zero Trust-Architektur untermauert wird, sorgt für ein starkes Fundament, das auch nach einem erfolgreichen Angriff nicht einstürzt und schneller repariert werden kann. Unternehmen müssen ihre Netzwerk- und Sicherheitsarchitektur umgestalten und einen Zero Trust ‚Resilient by Design‘-Ansatz verfolgen, um den Gefahren der digitalen Zukunft zu trotzen.“

Eine Zero Trust-Architektur ermöglicht einen „Resilient by Design“-Ansatz

Um das Cyber Resilienz-Risiko zu mindern, müssen Unternehmen in ihrer Sicherheitsstrategie Einblick und Kontrollfunktionen berücksichtigen. Die Fähigkeit zum Vorhersehen von möglichen Ereignissen mit KI-gestützten Lösungen und das Minimieren der Auswirkungen eines Vorfalls stärkt die Resilienz. Das ermöglicht Zscaler mit einem „Resilient by Design“-Ansatz. Da sich Cyber-Bedrohungen rasant weiterentwickeln, kommt KI zum Einsatz, um den Zugriff dynamisch an das sich ändernde Risiko anzupassen. Die Zscaler Zero Trust Exchange-Plattform reduziert das Risiko über alle vier Stufen der Angriffskette und unterstützt einen „Resilient by Design“-Ansatz durch:

• Minimieren der Angriffsfläche
• Verhindern der ersten Kompromittierung
• Eliminieren von Seitwärtsbewegungen der Angreifer
• Verhindern von Datenverlust

Der vollständige Bericht zur Umfrage „Unlock the Resilience Factor: Why Resilient by Design is the Next Cyber Security Imperative“ steht über diesen Link zum Download bereit.

***

Methodik des Zscaler Cyber Resilience Reports

Im Dezember 2024 beauftragte Zscaler Sapio Research mit der Durchführung einer Umfrage unter 1.700 IT-Entscheidungsträgern (IT-Führungskräften) in zwölf Märkten (Australien, Frankreich, Deutschland, Indien, Italien, Japan, Niederlande, Singapur, Spanien, Schweden, Großbritannien und Irland, USA). Diese IT-Führungskräfte arbeiten in Unternehmen mit mehr als 500 Mitarbeitenden und in verschiedenen Branchen.