Cyber security report Befragung von Abgeordneten sowie Top-Führungskräften in

Transkript

1 Cyber security report 2014 Ergebnisse einer repräsentativen Befragung von n sowie Top-Führungskräften in mittleren und grossen

2 Cyber Security Report 2014 Inhalt Cyber Security Report 2014 Vorbemerkungen Inhalt vorbemerkungen Herausgeber Deutsche Telekom /T-Systems VORBEMERKUNGEN 3 IT- UND DATENRISIKEN HABEN ALS GESELLSCHAFTLICHE HERAUSFORDERUNG AUS SICHT DER ENTSCHEIDER WEITER AN BEDEUTUNG GEWONNEN 4 NACHLASSENDER STELLENWERT VON IT-SICHERHEIT IN DEN UNTERNEHMEN HÄUFIGKEIT DER IT-ANGRIFFE DAGEGEN LEICHT GESTIEGEN 10 HANDLUNGSFELDER ZUR VERBESSERUNG DER IT- UND DATENSICHERHEIT IM EIGENEN UNTERNEHMEN 16 IT-SICHERHEIT ENTLANG DER LIEFERKETTE ZUSAMMENARBEIT VON POLITIK UND UNTERNEHMEN BEI DER IT-SICHERHEIT: TEILWEISE EIN SCHWIERIGES VERHÄLTNIS 29 VERSTÄRKTER WUNSCH NACH UNTERNEHMENS- ÜBERGREIFENDEN INITIATIVEN ZUR IT-SICHERHEIT 3 STUDIENDATEN 40 Bereits im vierten Jahr in Folge hat das Institut für Demoskopie Allensbach im Auftrag von T-Systems sowie in Kooperation mit dem Centrum für Strategie und Höhere Führung Top-Entscheider aus Politik und Wirtschaft nach ihrer allgemeinen Risikoeinschätzung sowie ausgewählten Themen im Bereich Cyber Security befragt. Die inzwischen vierte Welle des Cyber Security Reports erlaubt damit für zahlreiche Fragen eine Betrachtung im Zeitverlauf. Mit Blick auf IT- und Cybersicherheit lag der Schwerpunkt der Studie dabei zum einen erneut auf dem Stellenwert der IT-Sicherheit im eigenen, der Bedrohung durch IT-Angriffe, der Bewertung der staatlichen Fachkompetenz im Bereich IT-Sicherheit sowie der Bedeutung unternehmensübergreifender Initiativen für IT-Sicherheit. Zum anderen wurden speziell für die nun vorliegende Erhebung unter anderem die Gewährleistung der IT-Sicherheit entlang der Wertschöpfungs kette, das Zukunftsprojekt Industrie 4.0 sowie die gesetzlichen Datenschutzbestimmungen thematisiert. Die Studie stützt sich auf 621 telefonisch zwischen Mitte August bis Ende September durchgeführte Interviews mit einem repräsentativen Querschnitt von Politikern sowie Top-Führungskräften aus mittleren und großen. Als Entscheider aus der Politik wurden 109 aus dem Bundestag, Landtagen und deutsche aus dem Europaparlament befragt. Bei den Entscheidern in der Wirtschaft wurden 12 Führungskräfte aus großen und mittleren befragt, darunter 3 Führungskräfte aus großen und 279 Führungskräfte aus mittleren. Zu den großen zählen gemäß Definition der EU-Kommission mit 20 und mehr Beschäftigten und / oder mehr als 0 Mio. Euro Jahresumsatz. Mittlere sind als definiert, die zwischen 0 und 9 Mitarbeiter haben und / oder einen Jahresumsatz von 10 bis höchstens 0 Mio. Euro erzielen. Die befragten reprä sentieren aufgrund ihrer Größenordnung zwar gut rund 2 Prozent aller in Deutschland, erwirtschaften aber etwa 0 Prozent aller umsatzsteuerpflichtigen Waren und Dienstleistungen und beschäftigen circa zwei Drittel aller sozialversicherungspflichtig Beschäftigten in Deutschland. Die Exklusivität der befragten Führungskräfte leitet sich aber nicht nur aus der Größe ihrer, sondern auch aus ihrer Stellung in diesen ab. Zwei Drittel, und damit der überwiegende Teil, gehörte der ersten Führungsebene (Vorstände, Geschäftsführer, Inhaber) an. Ein Drittel, vorrangig in den Großunternehmen, verfügt beispielsweise als Bereichsleiter ebenfalls über eine herausgehobene Position im eigenen. Allensbach am Bodensee, am 1. Oktober 2014 Konzeption und Durchführung der Studie Institut für Demoskopie Allensbach, Allensbach am Bodensee Centrum für Strategie und Höhere Führung, Bodman am Bodensee Ansprechpartner Harald Lindlar harald.lindlar@telekom.de Prof. Dr. Klaus Schweinsberg klaus.schweinsberg@glh-online.com 3

3 Cyber Security Report 2014 IT- und Datenrisiken als Herausforderung IT- UND DATENRISIKEN HABEN ALS GESELLSCHaFTLICHE HERAUSFORDERUNG AUS SICHT DER ENTSCHEIDER WEITER AN BEDEUTUNG GEWONNEN die risikowahrnehmung von entscheidern SCHAUBILD 1 aus politik und wirtschaft Die Risikowahrnehmung von Entscheidern aus Politik und Wirtschaft Ich lese Ihnen jetzt mögliche Risiken und Gefahren für die Menschen in Deutschland vor und Sie sagen mir bitte jeweils, ob das Ihrer Meinung nach für die Menschen in Deutschland ein großes Risiko, eine große Gefahr oder ein weniger großes Risiko oder nur ein geringes Risiko bzw. gar kein Risiko darstellt. Das stellt für die Menschen in Deutschland ein großes Risiko dar Datenbetrug im Internet Missbrauch von persönlichen Daten durch andere Nutzer in sozialen Netzwerken wie Facebook Pflegebedürftigkeit im Alter bzw. Demenz Cyber Security Report 2014 IT- und Datenrisiken als Herausforderung Aus Sicht der Entscheider aus Politik und Wirtschaft stellen Cybergefahren und Datenschutzverletzungen unter 20 Risiken aus allen Lebensbereichen das größte Risikopotenzial für die Bevölkerung in Deutschland dar. Unter den sechs größten Risiken finden sich erneut vier wieder, die mit IT- und Datensicherheit zusammenhängen: 71 Prozent der Entscheider sehen im Datenbetrug im Internet ein großes Risiko für die Menschen in Deutschland. Für 6 Prozent stellt der Missbrauch persönlicher Daten durch andere Nutzer in sozialen Netzwerken ein großes gesellschaftliches Risiko dar. 66 Prozent sehen in Computerviren, 3 Prozent im Missbrauch persönlicher Daten durch ein großes Risiko für die Bevölkerung. Eine andere Facette der IT- und Datensicherheit ist die staatliche Überwachung der Bürger, insbesondere der Internet- oder Telefonverbindungen: Prozent der Entscheider sehen in der Überwachung deutscher Bürger durch ausländische Staaten ein großes Risiko für die Bevölkerung, 22 Prozent in der Überwachung durch den deutschen Staat. Im Vergleich zu den einzelnen IT- und Datenrisiken werden von den Politikern und Führungskräften in mittleren und großen nur Altersrisiken als ähnlich bedeutsam eingestuft: So sehen 66 Prozent der Entscheider die Pflegebedürftigkeit im Alter, 62 Prozent das Thema Altersarmut als großes Risiko für die Bevölkerung an. Andere Risiken folgen erst mit deutlichem Abstand: Der EC-Karten-Betrug mit manipulierten Bankautomaten, der im weitesten Sinne noch zu den IT-Gefahren gezählt werden kann, stellt für 34 Prozent der Entscheider ein großes Risiko dar. Naturkatastrophen folgen mit Prozent. Materielle Risiken wie Einkommensverlust, Arbeitslosigkeit und Inflation spielen mit 29, bzw. 1 Prozent aus Sicht der Entscheider eine eher nachrangige Rolle (Schaubild 1). Computerviren Altersarmut Missbrauch von persönlichen Daten durch dass andere Staaten wie die USA oder China die deutschen Bürger zu sehr überwachen EC-Karten-Betrug mit manipulierten Bankautomaten Naturkatastrophen wie Hochwasser, schwere Stürme usw. Einkommensverlust, weniger Geld zum Leben haben verunreinigte, belastete Nahrungsmittel Terroranschläge Diebstahl, Einbruch und ähnliche Verbrechen Arbeitslosigkeit Zusammenbruch des Stromnetzes Krieg, militärische Auseinandersetzungen, in die Deutschland verwickelt ist dass der deutsche Staat die Bürger zu sehr überwacht, z. B. Internet- oder Telefonverbindungen Gewaltverbrechen wie z.b. Körperverletzung oder Raubüberfälle Inflation radioaktive Verstrahlung, z. B. durch einen Unfall in einem Kernkraftwerk

4 Cyber Security Report 2014 IT- und Datenrisiken als Herausforderung Cyber Security Report 2014 IT- und Datenrisiken als Herausforderung SCHAUBILD gesellschaftliches 2 risikopotential von cyber- und datenrisiken zugenommen hat aus sicht der entscheider erneut Gesellschaftliches Risikopotenzial von Cyber- und Datenrisiken hat aus Sicht der Entscheider erneut zugenommen SCHAUBILD 3 risiken, die aus sicht der entscheider aus politik und wirtschaft stark zunehmen werden Risiken, die aus sicht der entscheider aus Politik und Wirtschaft stark zunehmen werden Das stellt aus Sicht von n und Führungskräften in großen ein großes Risiko für die Menschen in Deutschland dar Auswahl Datenbetrug im Internet Computerviren Naturkatastrophen wie Hochwasser, schwere Stürme usw. Einkommensverlust, weniger Geld zum Leben haben Terroranschläge Krieg bzw. militärische Auseinandersetzungen Arbeitslosigkeit Datenmissbrauch Wie ist Ihre Einschätzung: Welche der genannten Risiken werden in Zukunft besonders stark zunehmen? (offene Ermittlung, ohne Antwortvorgaben) Altersrisiken (Altersarmut, Pflegebedürftigkeit, Demenz) Internet-, Computerkriminalität, IT-Sicherheit, Internetrisiken Naturkatastrophen, Umweltkrisen Krieg, militärische Auseinandersetzungen, Verwicklung in internationale Konflikte Datenbetrug im Internet Terroranschläge Überwachung (allgemein, durch den deutschen Staat oder andere Staaten) Verunreinigte, belastete Nahrungsmittel Einkommensverlust, soziale Risiken Diebstahl, Einbruch und ähnliche Verbrechen Basis: Bundesrepublik Deutschland, und Führungskräfte in großen Quelle: Allensbacher Archiv, IfD-Umfragen 60, 6267 und 629 Nur Nennungen mit 4 Prozent und mehr Im Vergleich zu den Vorjahren hat die Bedeutung von Cyber- und Datenrisiken damit erneut zugenommen. So betrachteten Prozent der n und Führungskräfte aus großen nur für diese Gruppe ist ein Vergleich seit 2012 möglich den Datenbetrug im Internet als großes gesellschaftliches Risiko, 2013 waren es 61 Prozent, aktuell sind es 71 Prozent. Die Sicherheitsgefährdung, die von Computerviren ausgeht, wird mit aktuell 6 Prozent gegenüber den Vorjahren ebenfalls höher eingestuft, als 49 Prozent (2012) bzw. Prozent (2013) darin ein großes gesellschaftliches Risiko sahen. Während sich die Einschätzung in Bezug auf materielle Risiken wie Einkommensverlust oder Arbeitslosigkeit in den letzten Jahren kaum verändert hat, hat die Vielzahl von militärischen Konflikten, gerade auch an den Außengrenzen von EU und NATO, dazu geführt, dass das Risiko von Terroranschlägen, aber auch von Kriegen bzw. militärischen Auseinandersetzungen insbesondere im Vergleich zum Vorjahr aus Sicht der Entscheider in Politik und Wirtschaft deutlich zugenommen hat (Schaubild 2). Die Entscheider aus Politik und Wirtschaft wurden nicht nur um ihre derzeitige Risikobewertung gebeten, sondern auch um eine Einschätzung, welche Risiken aus ihrer Sicht künftig besonders stark zunehmen werden. Da die Abfrage zur künftigen Risikoentwicklung als offene, ungestützte Frage (also ohne konkrete Antwortvorgaben) erfolgte, ist ein Vergleich der absoluten Werte mit der derzeitigen Risikobewertung nicht möglich. Umso bemerkenswerter ist dafür die Deutlichkeit, mit der die Politiker und Führungskräfte aus mittleren und großen Cyber- und Datenrisiken ganz spontan als herausragende Zukunftsgefahren benennen. 3 Prozent verweisen auf den Datenmissbrauch als wachsende Gefahrenquelle, 21 Prozent auf Internet- und Computerkriminalität sowie die IT-Sicherheit generell, 9 Prozent rechnen mit einer besonders starken Zunahme von Datenbetrug im Internet. Dass mindestens eines dieser drei Risiken künftig stark zunehmen wird, erwarten 61 Prozent der Entscheider. Damit werden aus Sicht von n und Führungskräften in der Wirtschaft IT- und Datenrisiken künftig noch stärker zunehmen als Altersrisiken wie Altersarmut und Pflegebedürftigkeit, die nach Meinung von 32 Prozent der Entscheider stark zunehmen werden (Schaubild 3). 6 7

5 Cyber Security Report 2014 IT- und Datenrisiken als Herausforderung risiken, die aus sicht der entscheider stark zunehmen SCHAUBILD 4 werden Risiken, die aus sicht vergleich der Entscheider zum stark vorjahr zunehmen werden vergleich zum Vorjahr risikowahrnehmung von bevölkerung und entscheidern im vergleich SCHAUBILD Risikowahrnehmung von Bevölkerung und Entscheidern im Vergleich Cyber Security Report 2014 IT- und Datenrisiken als Herausforderung Diese Risiken werden nach Einschätzung der Entscheider stark zunehmen (offene Ermittlung, ohne Antwortvorgaben) Auswahl Datenmissbrauch Das stellt für die Menschen in Deutschland ein großes Risiko dar Entscheider Bevölkerung Datenbetrug im Internet 71 Missbrauch von persönlichen Daten durch andere Nutzer in sozialen Netzwerken wie Facebook Pflegebedürftigkeit im Alter bzw. Demenz Altersrisiken Internet-, Computerkriminalität, IT-Sicherheit, Internetrisiken Computerviren Altersarmut Missbrauch von persönlichen Daten durch Krieg, militärische Auseinandersetzungen, Verwicklung in internationale Konflikte 13 2 dass andere Staaten wie die USA oder China die deutschen Bürger zu sehr überwachen 4 Terroranschläge Einkommensverlust, soziale Risiken 9 4 EC-Karten-Betrug mit manipulierten Bankautomaten Naturkatastrophen wie Hochwasser, schwere Stürme usw. Einkommensverlust, weniger Geld zum Leben haben Quelle: Allensbacher Archiv, IfD-Umfragen 6267 und 629 (September 2014) verunreinigte, belastete Nahrungsmittel Terroranschläge Auch in der Bewertung künftiger Risiken manifestiert sich die wachsende Bedeutung von Cyber- und Datenrisiken einerseits und der aktuellen Situation geschuldet das stark gestiegene Risiko kriegerischer Auseinandersetzungen, in die Deutschland verwickelt werden könnte. Vor einem Jahr stuften 31 Prozent den Datenmissbrauch als ein Risiko ein, das künftig stark zunehmen wird; derzeit sind es 3 Prozent. Dem Risiko militärischer Auseinandersetzungen maßen 2013 lediglich 2 Prozent der n und Führungskräfte aus mittleren und großen eine steigende Bedeutung bei; aktuell sind es 13 Prozent. Und auch Terroranschläge gelten mit 9 Prozent heute mehr als doppelt so vielen Politikern und s entscheidern als Risiko, das künftig besonders stark steigen wird, als vor einem Jahr (Schaubild 4). Wie in früheren Jahren unterscheiden sich die Entscheider in ihrer Einschätzung gesellschaftlich relevanter Risiken teilweise erheblich vom Bevölkerungsdurchschnitt. Dies zeigt der direkte Vergleich der Einschätzungen von Entscheidern und Bevölkerung. Die Entscheider aus Politik und Wirtschaft messen Cyber- und Datenrisiken mehr Bedeutung bei, während sie materielle Risiken, aber auch die klassische Kriminalität weniger stark als gesellschaftliche Risiken werten. So sehen beispielsweise 4 Prozent der Bürger im Datenbetrug im Internet ein großes gesellschaftliches Risiko; von den Entscheidern sind es 71 Prozent. Auch der Missbrauch von persönlichen Daten durch andere Nutzer in sozialen Netzwerken und Computerviren werden von den n und Führungskräften in den mit 6 Prozent als weitaus relevanter eingestuft als von der Bevölkerung (40 Prozent). Die Bevölkerung sieht im Vergleich zu den Entscheidern aus Politik und Wirtschaft dagegen insbesondere in materiellen Risiken wie Arbeitslosigkeit ( Prozent, Entscheider: Prozent), Einkommensverlust ( Prozent, Entscheider: 29 Prozent) oder Inflation ( Prozent, Entscheider: 1 Prozent) eine größere Bedrohung für die Menschen in Deutschland (Schaubild ). Diebstahl, Einbruch und ähnliche Verbrechen Arbeitslosigkeit Zusammenbruch des Stromnetzes Krieg, militärische Auseinandersetzungen, in die Deutschland verwickelt ist dass der deutsche Staat die Bürger zu sehr überwacht, z. B. Internet- oder Telefonverbindungen Gewaltverbrechen wie z.b. Körperverletzung oder Raubüberfälle Inflation radioaktive Verstrahlung, z. B. durch einen Unfall in einem Kernkraftwerk Basis: Bundesrepublik Deutschland, Bevölkerung ab 16 Jahren, und Führungskräfte in mittleren und großen Quelle: Allensbacher Archiv, IfD-Umfragen 1102 (Juni 2014) und 629 (September 2014)

6 Cyber Security Report 2014 Nachlassender Stellenwert von IT-Sicherheit Cyber Security Report 2014 Nachlassender Stellenwert von IT-Sicherheit NACHLASSENDER STELLENWERT VON IT-SICHERHEIT IN DEN UNTERNEHMEN HÄUFIGKEIT DER IT-ANGRIFFE DAGEGEN LEICHT GESTIEGEN stellenwert der it-sicherheit nimmt mit der SCHAUBILD 7 unternehmensgrösse Stellenwert der IT-Sicherheit nimmt Mit zu der... sgrösse zu... Welchen Stellenwert hat IT-Sicherheit in Ihrem, also dass Ihr snetzwerk vor Zugriffen von außen geschützt ist? Hat IT-Sicherheit bei Ihnen einen sehr hohen, hohen, nicht so hohen oder nur einen geringen Stellenwert? Stellenwert der IT-Sicherheit im sehr hoch Die Gewährleistung von IT-Sicherheit gehört für die überwiegende Mehrheit der inzwischen zu den kritischen Erfolgsfaktoren. hoch Prozent der Führungskräfte sehen im Schutz unternehmensinterner Daten vor internen Risiken und externen Zugriffen einen sehr wichtigen Beitrag für den Erfolg ihres s. An oberster Stelle stehen allerdings nach wie vor klassische Erfolgsfaktoren wie Kundennähe und Kosteneffizienz, die für 91 Prozent bzw. 0 Prozent der Führungskräfte einen entscheidenden Beitrag zum serfolg leisten. Während diese Faktoren für alle, weitgehend unabhängig von der Größe des s, eine ähnliche Bedeutung haben, wird IT-Sicherheit von den großen deutlich stärker betont als von den mittleren. Mehr als drei Viertel der mit 20 und mehr Mitarbeitern stufen die Gewährleistung von IT-Sicherheit als sehr wichtig für den Erfolg des eigenen s ein und damit an zweiter Stelle nach der Kundennähe. Von den mit 0 bis unter 20 Mitarbeitern sind es hingegen mit bzw. 6 Prozent deutlich weniger (Schaubild 6). kritische erfolgsfaktoren aus sicht der unternehmensentscheider SCHAUBILD 6 Kritische Erfolgsfaktoren aus Sicht der sentscheider Wenn Sie einmal an Ihr eigenes denken: Was halten Sie für besonders wichtige Maßnahmen, damit Ihr erfolgreich ist? Ich lese Ihnen jetzt einiges vor und Sie sagen mir bitte jeweils, wie wichtig das für Sie ist, um als erfolgreich zu sein. 0 bis unter 100 Anzahl der Mitarbeiter 100 bis unter bis unter und mehr Der Bedeutung der IT-Sicherheit als erfolgskritischem Faktor für das eigene entsprechend messen mit 90 Prozent praktisch alle mittleren und großen der IT-Sicherheit einen hohen oder sogar sehr hohen Stellenwert bei. Dabei steigt die Bedeutung der IT-Sicherheit mit der sgröße deutlich an, insbesondere nimmt der Anteil der, die der IT-Sicherheit eine sehr hohe Bedeutung beimessen, offenkundig zu. So geben von den mit 0 bis unter 100 Mitarbeitern 41 Prozent einen sehr hohen, 42 Prozent einen hohen Stellenwert der IT-Sicherheit zu Protokoll. Von den mit und mehr Mitarbeitern messen 9 Prozent der IT-Sicherheit einen sehr hohen, 3 Prozent einen hohen Stellenwert bei (Schaubild 7). Kundennähe 91 Kosteneffizienz 0 Kontinuierliche Weiterbildung der Mitarbeiter Gewährleistung der IT-Sicherheit Leistungsstarke interne IT-Systeme Innovationsfähigkeit bis unter 100 Anzahl Mitarbeiter 100 bis 9 20 bis und mehr 10 11

7 Cyber Security Report 2014 Nachlassender Stellenwert von IT-Sicherheit... hat aber im vergleich zum vorjahr tendenziell abgenommen SCHAUBILD hat aber im Vergleich zum Vorjahr tendenziell abgenommen SCHAUBILD 10 Häufigkeit von IT-Angriffen hängt von UNternehmensgrösse ab Cyber Security Report 2014 Nachlassender Stellenwert von IT-Sicherheit deutsche unternehmen als ziel von it-angriffen Welchen Stellenwert hat IT-Sicherheit in Ihrem, also dass Ihr snetzwerk vor Zugriffen von außen geschützt ist? Hat IT-Sicherheit bei Ihnen einen sehr hohen, hohen, nicht so hohen oder nur einen geringen Stellenwert? Stellenwert der IT-Sicherheit im sehr hoch Wie häufig ist Ihr IT-Angriffen ausgesetzt, durch die Ihr ausspioniert oder geschädigt werden soll? Täglich Einmal/mehrmals in der Woche Mehrmals pro Monat Nur, die eine konkrete Angabe gemacht haben hoch Seltener Auf 100 fehlende Prozent: Unentschieden, keine Angabe Quelle: Allensbacher Archiv, IfD-Umfragen 6267 und 629 (September 2014) Nie 16 0 bis unter 100 Anzahl der Mitarbeiter 100 bis unter bis unter 1.000, die eine konkrete Angabe zur Häufigkeit von IT-Angriffen gemacht haben und mehr häufigkeit von it-angriffen leicht gestiegen SCHAUBILD 9 Häufigkeit von IT-Angriffen leicht gestiegen Wie häufig ist Ihr IT-Angriffen ausgesetzt, durch die Ihr ausspioniert oder geschädigt werden soll? Täglich Einmal/mehrmals in der Woche Mehrmals pro Monat Nur, die eine konkrete Angabe gemacht haben Allerdings hat die Bedeutung der IT-Sicherheit in den im Vergleich zum Vorjahr tendenziell eher abgenommen. In Summe messen zwar weiterhin neun von zehn mittleren und großen der IT-Sicherheit einen sehr hohen oder hohen Stellenwert bei. Der Anteil der, die der IT-Sicherheit einen sehr hohen Stellenwert beimessen, ist gleichwohl von auf 49 Prozent gesunken (Schaubild ). Gleichzeitig ist die Häufigkeit von IT-Angriffen auf deutsche jedoch eher leicht gestiegen berichteten 7 Prozent der mittleren und großen über IT-Angriffe von außen; in diesem Jahr sind es 92 Prozent. 12 bzw. 14 Prozent berichten damals wie heute über tägliche Angriffe. Der Anteil der, die einmal oder mehrmals in der Woche Ziel von IT-Angriffen sind, ist von 13 Prozent auf Prozent gestiegen. Der Kreis derjenigen, die mehrmals pro Monat angegriffen werden, liegt mit derzeit 16 Prozent auf ähnlichem Niveau wie 2013, als Prozent in dieser Häufigkeit Ziel von IT-Angriffen waren (Schaubild 9 1 ). Die Häufigkeit der Angriffe hängt stark von der Größe des s ab. So registrieren von den, die zwischen 0 und unter 100 Mitarbeiter haben, 6 Prozent täglich Angriffe, von den mit und mehr Mitarbeitern sind es Prozent. Umgekehrt geben 16 Prozent der mit 0 bis unter 100 Mitarbeitern zu Protokoll, bislang noch nicht Ziel von IT-Angriffen gewesen zu sein; von den mit und mehr Mitarbeitern ist es nur jedes 33., das noch nie Ziel von IT-Angriffen war (Schaubild 10). Seltener Nie , die eine konkrete Angabe zur Häufigkeit von IT-Angriffen gemacht haben Quelle: Allensbacher Archiv, IfD-Umfragen 6267 und Prozent der Führungskräfte machten zur Häufigkeit der IT-Angriffe auf ihr keine konkrete Angabe, wobei es keine nennenswerten Strukturunterschiede z. B. hinsichtlich der Mitarbeiterzahl oder des Umsatzes zwischen denjenigen Befragten, die eine konkrete Angabe gemacht haben, und denjenigen ohne konkrete Angabe gibt. Deshalb ist es methodisch vertretbar, für diejenigen, die keine konkrete Angabe gemacht haben, die gleiche Häufigkeitsverteilung zu unterstellen wie für die, die eine konkrete Angabe gemacht haben. Die Originaldaten (ohne Basiswechsel) lauten wie folgt: tägliche IT-Angriffe: 11 Prozent; mehrmals in der Woche: 7 Prozent; etwa einmal in der Woche: 7 Prozent; 2- bis 3-mal im Monat: 7 Prozent; etwa einmal im Monat: 6 Prozent; seltener: 3 Prozent; nie: 7 Prozent; unmöglich zu sagen, keine Angabe: 20 Prozent

8 Cyber Security Report 2014 Nachlassender Stellenwert von IT-Sicherheit mehrheit der unternehmen stuft das schadensrisiko SCHAUBILD 11 Mehrheit der stuft das Schadensrisiko durch einen Hackerangriff als (eher) gering durch ein einen hackerangriff als (eher) gering ein SCHAUBILD 12 Gesunkenes Schadensrisiko in bezug auf Hackerangriffe Cyber Security Report 2014 Nachlassender Stellenwert von IT-Sicherheit gesunkenes schadensrisiko in bezug auf hackerangriffe Was glauben Sie: Wie groß ist das Risiko für Ihr, durch einen Hackerangriff gravierend geschädigt zu werden? Ist das Risiko sehr groß, eher groß, eher gering oder sehr gering? Es halten das Risiko, dass ihr durch einen Hackerangriff geschädigt wird, für Sehr groß Eher groß bis unter 100 Anzahl der Mitarbeiter 100 bis u bis u und mehr 40 4 ist IT- Angriffen ausgesetzt häufig/ gelegentlich selten/ nie eher gering/ sehr gering sehr groß/ eher groß Eher gering Sehr gering Auf 100 fehlende Prozent: Unentschieden, keine Angabe 6 12 Basis: Bundesrepublik Deutschland, Führungskräfte in großen Quelle: Allensbacher Archiv, IfD-Umfragen 60, 6267 und 629 (September 2014) SCHAUBILD 13 Exkurs: Persönliche Bedrohung durch IT-angriffe exkurs: persönliche bedrohung durch it-angriffe Obwohl praktisch alle bereits Ziel von IT-Angriffen waren, stuft die Mehrheit der Führungskräfte in mittleren und großen das Risiko, durch einen Hackerangriff gravierend geschädigt zu werden, als eher gering oder sehr gering ein. 9 Prozent sehen darin ein sehr geringes Risiko, 6 Prozent ein eher geringes Risiko. Ein sehr großes Risiko sehen darin hingegen 6 Prozent, ein eher großes Risiko 2 Prozent. Große mit und mehr Mitarbeitern stufen das Risiko dabei deutlich höher ein als mittlere. Allerdings geht auch hier die Mehrheit von einem eher geringen Schadensrisiko aus. Die Risikoeinschätzung hängt auch deutlich davon ab, wie häufig das IT-Angriffen ausgesetzt ist. Von den, die über häufige oder gelegentliche IT-Angriffe berichten, stufen Prozent das Risiko gravierender Schäden durch solche Angriffe als groß bzw. sehr groß ein. Von den, die selten oder nie Ziel externer Angriffe sind, gehen weniger als halb so viele, nämlich Prozent, von einem gravierenden Schadensrisiko durch Hackerangriffe aus (Schaubild 11). Ähnlich wie beim tendenziell rückläufigen Stellenwert von IT-Sicherheit in den ist auch beim Schadensrisiko ein gesunkenes Bewusstsein für die Bedrohung durch Hackerangriffe zu beobachten. Im Vergleich zum Vorjahr ist der Anteil derjenigen Großunternehmen, die in Hackerangriffen ein großes Schadenrisiko für ihr sehen, deutlich gesunken und liegt nun sogar knapp unter dem Niveau von Der Zeitvergleich von 2012 bis 2014 bezieht sich ausschließlich auf Großunternehmen, da 2012 noch keine mittleren befragt wurden. Für das letzte Jahr ist auch ein Vergleich von mittleren möglich. Dort zeigt sich in etwa die gleiche Entwicklung einer rückläufigen Einschätzung des Schadensrisikos in Bezug auf Hackernagriffe. Im Jahr 2013 ging mit 3 Prozent die Mehrheit der Großunternehmen von einem großen Schadensrisiko durch Hackerangriffe aus, aktuell sind es 39 Prozent. Vor zwei Jahren, 2012, waren es 42 Prozent (Schaubild 12). Die persönliche Bedrohung durch Hacker wird von den Entscheidern heute zwar höher eingeschätzt als im letzten Jahr, als die Befragung noch vor Bekanntwerden der NSA-Abhörpraxis durchgeführt worden war. Nach wie vor fühlt sich aber nur gut jeder Dritte sehr stark oder stark bedroht, die überwiegende Mehrheit (6 Prozent) empfindet das Risiko, dass das eigene Smartphone oder der eigene Computer gehackt werden oder dass sich jemand mit ihren Passwörtern Zugang zu persönlichen oder unternehmensinternen Daten verschaffen könnte, als eher gering. Im Vorjahr fühlte sich rund jeder vierte Entscheider persönlich bedroht. schätzen das Bedrohungspotenzial dabei unverändert höher ein als Führungskräfte in : Von den n fühlen sich aktuell Prozent sehr stark oder stark bedroht, von den Führungskräften in sind es 33 Prozent (Schaubild 13). Wie stark fühlen Sie sich persönlich durch IT-Angriffe bedroht, also dass z.b. Ihr Smartphone oder Ihr Computer gehackt werden oder dass sich jemand mit Ihren Passwörtern Zugang zu Ihren persönlichen oder unternehmensinternen Daten verschafft? Würden Sie sagen, Sie fühlen sich... sehr stark bedroht stark bedroht kaum bzw. gar nicht bedroht 20 weniger stark bedroht 2 4 Entscheider Auf 100 fehlende Prozent: Unentschieden, keine Angabe Quelle: Allensbacher Archiv, IfD-Umfragen 6267 und 629 (September 2014) Führungskräfte in

9 Cyber Security Report 2014 Handlungsfelder zur Verbesserung HANDLUNGSFELDER ZUR VERBESSERUNG DER IT- UND DATENSICHERHEIT IM EIGENEN UNTERNEHMEN zuständigkeit für die it-sicherheit im eigenen unternehmen: interne oder externe lösung? Cyber Security Report 2014 Handlungsfelder zur Verbesserung SCHAUBILD 1 Zuständigkeit für die IT-Sicherheit im eigenen : Interne oder externe Lösung? Wie ist das bei Ihnen: Sorgt bei Ihnen im die eigene EDV-Abteilung für die IT-Sicherheit oder übernimmt das ein externer Dienstleister? Eigene EDV-Abteilung Die Mehrheit (60 Prozent) der Führungskräfte aus mittleren und großen ist überzeugt, dass ihr gut auf mögliche Gefahren hinsichtlich der IT-Sicherheit vorbereitet ist. Weitere 31 Prozent sehen sich zumindest einigermaßen gerüstet. Lediglich 9 Prozent äußern Zweifel, dass ihr ausreichend auf mögliche Gefahren für die IT-Sicherheit vorbereitet ist. Je größer das, desto eher herrscht die Meinung vor, dass man so gut wie möglich aufgestellt ist. Allerdings sind die Unterschiede weniger groß, als man zunächst vermuten könnte, denn auch von den mit 0 bis unter 100 Mitarbeitern ist mehr als die Hälfte überzeugt, bestmöglich für potenzielle Gefahren bei der IT-Sicherheit gewappnet zu sein; von den mit und mehr Mitarbeitern sind es 64 Prozent. Auch zwischen den einzelnen Wirtschaftsbranchen gibt es nur geringe Unterschiede. Tendenziell fühlen sich aus dem Handelssektor weniger gut gerüstet als aus dem produzierenden Gewerbe und dem Dienstleistungsbereich. Besonders gut fühlen sich vorbereitet, für die die IT-Sicherheit im einen sehr hohen Stellenwert hat. Von ihnen sehen sich 77 Prozent sehr gut für mögliche Gefahren für die IT-Sicherheit präpariert (Schaubild 14). mehrheit der führungskräfte sieht ihr unternehmen auf mögliche gefahren für die it-sicherheit bestmöglich vorbereitet SCHAUBILD 14 Mehrheit der Führungskräfte sieht ihr unternehmen auf Mögliche Gefahren für die IT-Sicherheit bestmöglich vorbereitet Haben Sie das Gefühl, dass Ihr alles in allem so gut wie möglich oder zumindest einigermaßen auf mögliche Gefahren für die IT-Sicherheit wie z. B. Hackerangriffe vorbereitet ist, oder haben Sie da Zweifel? Habe Zweifel Unentschieden, keine Angabe 9 x So gut wie möglich vorbereitet Externer Dienstleister x = weniger als 0, Prozent Sowohl als auch Keine Angabe x 1 1 x x 0 bis unter 100 Anzahl der Mitarbeiter 100 bis unter 20 In der Mehrheit der mittleren und großen ist die EDV-Abteilung für die Gewährleistung der IT-Sicherheit zuständig: Bei 1 Prozent liegt die Verantwortung ausschließlich bei der eigenen EDV-Abteilung, bei 26 Prozent sind interne EDV-Abteilung und externe Dienstleister gemeinsam verantwortlich. Prozent der verlassen sich ausschließlich auf externes Know-how. Mit der sgröße steigt auch der Anteil der, in denen alleinig die eigene EDV-Abteilung für die IT-Sicherheit zuständig ist. Insbesondere mit 0 bis unter 100 Mitarbeitern übertragen dagegen die Zuständigkeit für die IT-Sicherheit ganz oder teilweise an externe Dienstleister. In 39 Prozent dieser sorgt ausschließlich die eigene EDV-Abteilung für die IT-Sicherheit, praktisch genauso viele greifen ausschließlich auf externe Dienstleister zurück. Prozent kombinieren interne und externe Ressourcen (Schaubild 1) bis unter und mehr Einigermaßen vorbereitet Gut vorbereitet 0 bis unter bis u bis u und mehr Prod. Gewerbe Dienstleistungen Handel Sehr hoch Hoch Anzahl der Mitarbeiter Branche Stellenwert von IT-Sicherheit x = unter 0, Prozent 16 17

10 Cyber Security Report 2014 Handlungsfelder zur Verbesserung handlungsbedarf bei der it-sicherheit im eigenen SCHAUBILD 16 unternehmen Handlungsbedarf bei der IT-Sicherheit im eigenen entscheider halten deutsche datenschutzbestimmungen Entscheider halten Deutsche für Datenschutzbestimmungen angemessen für SCHAUBILD 17 angemessen Cyber Security Report 2014 Handlungsfelder zur Verbesserung Wenn Sie einmal an die IT-Sicherheit bei Ihnen im denken: Wo sehen Sie da ganz allgmein den größten Handlungsbedarf, wo halten Sie es für sehr wichtig/wichtig/weniger wichtig/kaum bzw. gar nicht wichtig, in Ihrem weitere Maßnahmen zu ergreifen? Halten Sie die deutschen Datenschutzbestimmungen alles in allem für übertrieben oder für zu schwach oder für angemessen? Hier sind weitere Maßnahmen sehr wichtig Mitarbeiter für das Thema IT-Sicherheit sensibilisieren und darin schulen Schutz interner Netzwerke vor IT-Angriffen von außen IT-Sicherheit über die gesamte Lieferkette hinweg gewährleisten ordnungsgemäßen Umgang mit Kundendaten im gesamten sicherstellen Sicherheit von mobilen Geräten wie Smartphones und Tablet-PCs gewährleisten, die die Mitarbeiter nutzen Entscheidungsträger Anzahl der Mitarbeiter 0 bis 100 bis 20 bis und unter 100 unter 20 unter mehr Auch wenn die Mehrheit der sich in Bezug auf IT-Gefahren gut aufgestellt sieht, werden von den auch Bereiche benannt, in denen weitere Maßnahmen zur Verbesserung der IT- und Datensicherheit besonders wichtig sind. Hierzu zählen vor allem der ordnungsgemäße Umgang mit Kundendaten und die Sicherheit von mobilen Geräten wie Smartphones und Tablet-PCs, die die Mitarbeiter nutzen. 46 Prozent bzw. 44 Prozent der Führungskräfte aus mittleren und großen sehen in diesen Bereichen besonderen Handlungsbedarf. 37 Prozent sehen in der Sensibilisierung und Schulung der Mitarbeiter ein wichtiges Handlungsfeld. 36 Prozent sehen im Schutz interner Netzwerke vor IT-Angriffen von außen ein Thema, bei dem dringend weitere Maßnahmen ergriffen werden sollten. Die Gewährleistung der IT-Sicherheit entlang der gesamten Lieferkette halten lediglich 2 Prozent für ein Feld, auf dem Handlungsbedarf besteht. Für die verschiedener Größe bestehen mitunter unterschiedliche Prioritäten: Insbesondere die Sicherheit mobiler Geräte und die Mitarbeitersensibilisierung gewinnen mit zunehmender Größe des s an Bedeutung (Schaubild 16) Unentschieden, keine Angabe Angemessen Übertrieben Führungskräfte in Zu schwach 13 Unentschieden, keine Angabe 1 7 Angemessen Übertrieben Zu schwach gut jeder dritte entscheider hält die gesetzlichen vorgaben für unternehmen im umgang mit kundendaten SCHAUBILD für Gut jeder nicht dritte ausreichend entscheider hält die gesetzlichen klar geregelt Vorgaben für unternehmen im Umgang mit Kundendaten für nicht ausreichend klar geregelt Wie ist Ihr Eindruck: Ist in Deutschland hinreichend klar geregelt, was mit den Daten ihrer Kunden machen dürfen und was nicht, oder sind die gesetzlichen Vorgaben für die nicht ausreichend klar? Klar geregelt Der Handlungsbedarf hinsichtlich des korrekten Umgangs mit Kundendaten resultiert nicht zuletzt aus den gesetzlichen Datenschutzbestimmungen. Die Mehrheit der Führungskräfte in den wie auch der n hält die deutschen Datenschutzbestimmungen für angemessen. Lediglich 13 Prozent der Führungskräfte in den halten sie für übertrieben, genauso viele aber auch für zu schwach. Von den n sind 7 Prozent der Meinung, dass die gesetzlichen Datenschutzbestimmungen übertrieben sind, Prozent halten sie hingegen für zu schwach (Schaubild 17). Entscheider Führungskräfte aus mittleren und großen Immerhin jeder dritte Entscheider hält die Vorgaben für, wozu Kundendaten genutzt werden dürfen und wo es Grenzen gibt, für nicht ausreichend klar geregelt. Von den Führungskräften in den mittleren und großen, die mit diesen Vorgaben arbeiten müssen, beklagen Prozent die mangelnde Verständlichkeit und Genauigkeit; von den n, die für die Kodifizierung zuständig sind, tun dies interessanterweise sogar 44 Prozent (Schaubild ). Nicht ausreichend klar Auf 100 fehlende Prozent: Unentschieden, keine Angabe 33 44

11 Cyber Security Report 2014 Handlungsfelder zur Verbesserung mehr als der hälfte der führungskräfte in den unternehmen ist die geplante europäische datenschutzverordnung bzw. deren auswirkung auf das eigene unternehmen nicht bekannt SCHAUBILD Mehr als der Hälfte der Führungskräfte in den ist die geplante europäische Datenschutzverordnung bzw. deren Auswirkung auf das eigene nicht bekannt verbreitet SCHAUBILD 20 zweifel an der sicherheit von Verbreitete Zweifel an der Sicherheit von Cloud Computing "cloud computing" Cyber Security Report 2014 Handlungsfelder zur Verbesserung Haben Sie von der geplanten europäischen Datenschutzverordnung schon gehört oder gelesen oder haben Sie davon noch nichts mitbekommen? Frage (falls: Schon gehört, gelesen ): Wissen Sie, ob Ihr zusätzliche Maßnahmen ergreifen müsste, um der geplanten europäischen Datenschutzverordnung gerecht zu werden, oder müsste Ihr dafür nichts ändern? Es gibt ja die Möglichkeit, eigene Daten und Programme im Internet zu speichern statt auf dem eigenen Computer oder Firmenserver. Für wie sicher halten Sie diese Art der Datenverarbeitung, das sogenannte Cloud Computing? Cloud Computing ist Müsste Maßnahmen ergreifen 13 sehr sicher eher sicher Schon gehört 63 Nichts ändern 2 Führungskräfte in mit Zuständigkeit für IT-Bereich Schwer zu sagen, keine Angabe 2 eher unsicher Noch nichts mitbekommen 37 sehr unsicher 2 29 Auf 100 fehlende Prozent: kommt darauf an, keine Angabe Die in der Diskussion befindliche europäische Datenschutzverordnung würde eine Vielzahl von Datenschutzfragen, gerade auch im Umgang mit Kundendaten, neu und europaweit einheitlich regeln. 63 Prozent der Führungskräfte haben bereits von der geplanten, zuletzt aber ins Stocken geratenen Verordnung gehört, 37 Prozent haben davon noch nichts mitbekommen. Unter den 63 Prozent, die bereits davon gehört haben, sind 2 Prozent bezogen auf alle Führungskräfte in mittleren und großen, die die möglichen Auswirkungen auf ihr zum jetzigen Zeitpunkt nicht bewerten können. Insgesamt hat sich somit mehr als die Hälfte der Führungskräfte (37 Prozent plus 2 Prozent) derzeit noch nicht mit den Folgen der Verordnung auseinandergesetzt. 13 Prozent der gehen davon aus, dass für sie Handlungsbedarf aufgrund der geplanten Verordnung besteht, 2 Prozent der sind der Meinung, dass die Verordnung keine Auswirkungen auf sie haben wird (Schaubild ). Dabei gibt es kaum Unterschiede zwischen Handel, Dienstleistungssektor und produzierendem Gewerbe. Angesichts der anhaltenden Diskussionen um die konkrete Ausgestaltung der Verordnung kann der hohe Anteil an Führungskräften, die sich noch nicht mit den Auswirkungen der Verordnung auf ihr befasst haben, allerdings kaum verwundern. Ein bekanntermaßen großer IT-Trend ist das Cloud Computing, also die Möglichkeit, eigene Daten und Programme extern im Internet statt auf dem eigenen Computer oder Firmenserver zu speichern. Obwohl die Nutzung von Cloud Services durch weiterhin stark zunimmt, stößt diese Form der Datenspeicherung bei den Entscheidern auf erhebliche Sicherheitsbedenken. Von den Führungskräften in den mittleren und großen halten diese Art der Datenverarbeitung nur 2 Prozent für sehr sicher, Prozent für eher sicher. Die überwiegende Mehrheit hält das Cloud Computing dagegen für eher unsicher (46 Prozent) oder sehr unsicher (2 Prozent). Führungskräfte, die in ihrem für den IT-Bereich verantwortlich sind, sehen das Cloud Computing ähnlich kritisch. Bei den n stößt das Cloud Computing ebenfalls auf Skepsis. 17 Prozent der Politiker sehen das Cloud Computing als sicher an, 0 Prozent dagegen als unsicher (Schaubild 20). Im Vergleich zu früheren Jahren bewegt sich das Vertrauen in Cloud Services damit weiterhin auf niedrigem Niveau. Nimmt man die Führungskräfte aus großen, für die seit 2012 Daten vorliegen, als Basis, so liegt der Anteil derjenigen, die das Cloud Computing für sicher halten, heute mit Prozent sogar wieder leicht unter dem Niveau der beiden Vorjahre, als 27 bzw. Prozent diese IT-Lösung als sicher einstuften. Nach wie vor überwiegt der Anteil derjenigen deutlich, die das Cloud Computing als unsicher einstufen (Tabelle 1). Tabelle 1 einschätzung der Sicherheit Von Cloud Computing und Führungskräfte in großen 2011 Cloud Computing ist sehr sicher eher sicher eher unsicher sehr unsicher Auf 100 fehlende Prozent: kommt darauf an, keine Angabe Basis: Bundesrepublik Deutschland, und Führungskräfte in großen Quelle: Allensbacher Archiv, IfD-Umfragen 6220, 60, 6267 und

12 Cyber Security Report 2014 Handlungsfelder zur Verbesserung Cyber Security Report 2014 Handlungsfelder zur Verbesserung "industrie 4.0" ist vielen entscheidern noch kein begriff SCHAUBILD 21 Industrie 4.0 ist vielen entscheidern noch kein Begriff Schon davon gehört, gelesen Nicht der Fall Haben Sie schon einmal von dem Begriff Industrie 4.0 gehört oder gelesen oder ist das nicht der Fall? 3 Führungskräfte in 31 Unter bis 9 Anzahl Mitarbeiter 20 bis und mehr Produzierendes Gewerbe Branche 31 Dienstleistung Handel Zum Vergleich 7 was entscheider unter "industrie 4.0" verstehen SCHAUBILD 22 Was entscheider unter Industrie 4.0 verstehen Digitale Vernetzung von Produktionsprozessen, auch allgemein: Vernetzung Digitalisierung, digitale Umgestaltung, Einsatz neuer digitaler Technik Maschinen kommunizieren miteinander, Selbststeuerung von Maschinen Individualisierung, Dezentralisierung, Flexibilisierung von Produktionsabläufen und Produkten Neue Stufe der industriellen Entwicklung, vierte Industrierevolution, digitale Revolution der Industriegesellschaft Internet der Dinge Können Sie mir ungefähr sagen, was der Begriff Industrie 4.0 Ihrem Verständnis nach bezeichnet? (offene Frage ohne Antwortvorgabe) Auf 100 fehlende Prozent: Unentschieden, keine Angabe Thematisierung von Sicherheitsrisiken Andere Angaben Keine Angabe , die bereits von Industrie 4.0 gehört haben Ein weiterer Trend oder besser ein weiteres Zukunftsprojekt, bei dem IT-Sicherheit eine wichtige Rolle spielt, ist Industrie 4.0 : ein Thema, das maßgeblich von der Bundesregierung, den großen Branchenverbänden sowie führenden in Deutschland vorangetrieben wird. Bemerkenswerterweise ist die Mehrheit der Top-Führungskräfte in mittleren und großen mit dem Begriff Industrie 4.0 nicht vertraut. Erst 3 Prozent haben davon gehört oder gelesen. Auch in der Industrie, also des produzierenden Gewerbes, ist der Begriff nur knapp der Hälfte der Führungskräfte bekannt. Am ehesten noch kennen Führungskräfte in Großunternehmen den Begriff. Von den Führungskräften aus mit 20 und mehr haben Prozent bzw. 47 Prozent bereits von dem Begriff gehört (Schaubild 21). Diejenigen, denen der Begriff Industrie 4.0 bekannt ist, wurden in einer offenen Nachfrage also ohne die Vorgabe von Antwortalternativen gebeten, ihr Verständnis von Industrie 4.0 zu erläutern. Die Antworten wurden anschließend ausgewertet und zu aussagekräftigen Kategorien zusammengefasst. 32 Prozent derjenigen, denen der Begriff Industrie 4.0 bekannt war, haben Industrie 4.0 mit der digitalen Vernetzung von Produktionsprozessen bzw. allgemein mit Vernetzung in Verbindung gebracht. 22 Prozent mit Digitalisierung und dem Einsatz neuer digitaler Techniken in der Produktion. Die eigenständige Kommunikation zwischen Maschinen bzw. die Selbststeuerung von Maschinen führen 1 Prozent an. Das vielzitierte Schlagwort Internet der Dinge zitierten lediglich 3 Prozent (Schaubild 22). 22

13 Cyber Security Report 2014 IT-Sicherheit entlang der Lieferkette Cyber Security Report 2014 IT-Sicherheit entlang der Lieferkette IT-Sicherheit entlang der Lieferkette Mit der zunehmenden digitalen Vernetzung von untereinander gewinnt auch die Gewährleistung der IT-Sicherheit entlang der gesamten Wertschöpfungskette an Bedeutung. Der Austausch von Daten und Informationen bietet für die erhebliche Chancen, ist aber auch mit Risiken hinsichtlich Lücken bei IT- und Datenschutz verbunden. 39 Prozent der mittleren und großen haben inzwischen den Datenaustausch mit anderen entlang der Lieferkette ganz oder größtenteils vereinheitlicht und automatisiert, indem sie z. B. die gleichen Systeme verwenden, auf die gleichen Daten zugreifen können und Bestellungen sowie Produktion und Lieferung automatisch untereinander abstimmen. 16 Prozent wickeln etwa die Hälfte ihres Datenaustauschs mit anderen automatisiert ab, 43 Prozent tun dies nur zu einem kleineren Teil oder kaum bzw. gar nicht. Große haben häufiger als mittlere ihren Datenaustausch automatisiert, aber auch von den mit 0 bis unter 100 Mitarbeitern hat mehr als jedes dritte den Datenaustausch mit anderen weitgehend automatisiert, weitere 14 Prozent haben das zumindest zur Hälfte. Mit Blick auf die Branchen haben aus dem Dienstleistungssektor und Handel mit 43 Prozent bzw. 49 Prozent ihren Datenaustausch häufiger, ganz oder größtenteils automatisiert als das produzierende Gewerbe mit 31 Prozent (Schaubild ). vereinheitlichung und automatisierung des datenaustauschs entlang der lieferkette SCHAUBILD Vereinheitlichung und Automatisierung des datenaustauschs entlang der Lieferkette Wie ist das in Ihrem : Wie sehr ist der Datenaustausch mit anderen entlang der Lieferkette vereinheitlicht und automatisiert, also dass Sie z. B. die gleichen Systeme verwenden, auf die gleichen Daten zugreifen können und Bestellungen sowie Produktion und Lieferung automatisch ablaufen? Vollständig, fast vollständig Größtenteils Zur Hälfte Ein kleinerer Teil Kaum, gar nicht Keine Angabe bis unter Anzahl der Mitarbeiter 100 bis unter bis unter und mehr Produzierendes Gewerbe Branche Dienstleistung Handel 3 fast drei viertel der unternehmen tauschen sich mit ihren geschäftspartnern zu fragen der it-sicherheit aus SCHAUBILD Fast drei viertel der tauschen sich mit Ihren Geschäftspartnern ÜBER Fragen der IT-Sicherheit aus Tauschen Sie sich mit den, mit denen Sie zusammenarbeiten, auch über Fragen der IT-Sicherheit aus? Es tauschen sich über Fragen der IT-Sicherheit mit ihren Geschäftspartnern aus häufiger gelegentlich selten nie Auf 100 fehlende Prozent: Unentschieden, keine Angabe, die den Datenaustausch mit anderen vereinheitlicht und automatisiert haben (fast) vollständig, größtenteils zur Hälfte ein kleinerteil/ kaum, gar nicht Mit 73 Prozent tauscht sich heute die überwiegende Zahl der mit ihren Geschäftspartnern zu Fragen der IT-Sicherheit aus: Prozent tauschen sich häufiger, 2 Prozent gelegentlich und 26 Prozent selten aus. Je höher der Grad der Automatisierung beim Datenaustausch ist, desto häufiger findet auch ein Austausch zur IT-Sicherheit, die in diesen Fällen besondere Bedeutung hat, statt. Von den, die ihren Datenaustausch mit anderen vollständig oder größtenteils automatisiert haben, tauschen sich 36 Prozent häufiger mit ihren Geschäftspartnern über Fragen der IT-Sicherheit aus. Von denjenigen, die ihren Datenaustausch nur zur Hälfte oder weniger automatisiert haben, sind es lediglich 11 Prozent bzw. Prozent (Schaubild ) Basis: Bundesrepublik Deutschland; Führungskräfte in mittleren und großen 2

14 Cyber Security Report 2014 IT-Sicherheit entlang der Lieferkette nur jedes dritte unternehmen hat gemeinsam definierte sicherheitsstandards mit seinen geschäftspartnern SCHAUBILD 2 Nur jedes dritte unternehmen hat gemeinsam definierte Sicherheitsstandards mit seinen Geschäftspartnern Tauschen Sie sich mit den, mit denen Sie zusammenarbeiten, auch über Fragen der IT-Sicherheit aus? Falls Ja : Gibt es gemeinsam definierte Sicherheitsstandards oder ist das nicht der Fall? Es tauschen sich mit, mit denen sie zusammenarbeiten, über Fragen der IT-Sicherheit zumindest selten aus Es tauschen sich nicht aus Keine Angabe 73 3 Es gibt gemeinsam definierte Sicherheitsstandards Nicht der Fall Keine Angabe 2 SCHAUBILD 26 attestieren sich auch gegenseitig hohen stellenwert der IT-Sicherheit Cyber Security Report 2014 IT-Sicherheit entlang der Lieferkette unternehmen attestieren sich auch gegenseitig hohen stellenwert der it-sicherheit Wie ist Ihr Eindruck: Welchen Stellenwert hat IT-Sicherheit in den, mit denen Sie zusammenarbeiten? Sehr hohen Stellenwert Hohen Stellenwert Nicht so hohen Stellenwert Nur einen geringen Stellenwert Unentschieden, keine Angabe x = weniger als 0, Prozent x, die den Datenaustausch mit anderen vereinheitlicht und automatisiert haben (fast) vollständig, größtenteils zur Hälfte ein kleiner Teil / kaum, gar nicht 9 1 Während sich also viele mit ihren Geschäftspartnern über Fragen der IT-Sicherheit austauschen, haben nur vergleichsweise wenige gemeinsam definierte Sicherheitsstandards. Unter den 73 Prozent der, die sich grundsätzlich über Fragen der IT-Sicherheit austauschen, haben bezogen auf alle mittleren und großen 34 Prozent gemeinsam definierte Sicherheitsstandards, 37 Prozent haben dies nicht (Schaubild 2). Die attestieren sich unabhängig von der Frage, ob es gemeinsam definierte IT-Sicherheitsstandards gibt gegenseitig einen hohen Stellenwert der IT-Sicherheit. 6 Prozent der Führungskräfte in mittleren und großen haben den Eindruck, dass in den, mit denen sie zusammenarbeiten, die IT-Sicherheit einen hohen oder sogar sehr hohen Stellenwert hat. Besonders dort, wo der Datenaustausch stark automatisiert ist, herrscht ein Vertrauensklima. 7 Prozent der, die ihren Datenaustausch mit anderen ganz oder größtenteils automatisch abwickeln, bescheinigen den, mit denen sie zusammenarbeiten, einen (sehr) hohen Stellenwert der IT-Sicherheit (Schaubild 26). Sicherheitsprobleme im Datenaustausch mit anderen sind die absolute Ausnahme. Aber immerhin in gut jedem zehnten gab es bereits Sicherheitsprobleme im Austausch von Daten mit anderen. 13 Prozent der mittleren und großen berichten über Sicherheitsprobleme im Inland. 14 Prozent der, die mit im Ausland zusammenarbeiten, hatten schon Sicherheitsprobleme beim Datenaustausch mit ihren ausländischen Geschäftspartnern (Schaubild 27). SCHAUBILD 27 In jedem Zehnten gab es bereits sicherheitsprobleme im DatenAUStausch mit anderen in jedem zehnten unternehmen gab es bereits sicherheitsprobleme im datenaustausch mit anderen unternehmen Ist es beim Datenaustausch zwischen Ihnen und anderen in Deutschland/im Ausland schon einmal zu Sicherheitsproblemen gekommen oder ist das bisher nicht vorgekommen? Es gab Probleme Bisher nicht vorgekommen Sicherheitsprobleme im Inland 13 Sicherheitsprobleme im Ausland* Auf 100 fehlende Prozent: unentschieden, keine Angabe *, die mit im Ausland zusammenarbeiten 26 27

15 Cyber Security Report 2014 IT-Sicherheit entlang der Lieferkette Cyber Security Report 2014 Zusammenarbeit von Politik und it-sicherheit bei ausländischen unternehmen SCHAUBILD 2 IT-Sicherheit bei ausländischen Würden Sie sagen, dass im Ausland ähnliche IT-Sicherheitsstandards haben wie in Deutschland, oder würden Sie sagen, die IT-Sicherheitsstandards sind im Ausland höher oder niedriger? Unentschieden, keine Angabe 12 Ähnlich hohe Standards Zusammenarbeit von politik und unternehmen bei der IT-Sicherheit: Teilweise ein schwieriges verhältnis Kommt darauf an Höhere Standards 29 Niedrigere Standards, die mit im Ausland zusammenarbeiten Der Wunsch der nach staatlicher Unterstützung bei der Bekämpfung von IT-Angriffen hat im Vergleich zum Vorjahr sichtbar zugenommen wünschten sich 47 Prozent der mittleren und großen mehr Unterstützung durch den Staat, inzwischen sind es 6 Prozent (Schaubild 29). verstärkter wunsch nach mehr unterstützung durch den staat bei der bekämpfung von it-angriffen SCHAUBILD 29 Verstärkter Wunsch nach mehr unterstützung durch den Staat bei der Bekämpfung von IT-Angriffen Dass es im Austausch mit ausländischen nicht zu mehr Sicherheitsproblemen gekommen ist als im Inland, ist insofern bemerkenswert, als die IT-Sicherheitsstandards von im Ausland von sentscheidern tendenziell als niedriger eingestuft werden als die von deutschen. 29 Prozent der Führungskräfte aus mit ausländischen Geschäftspartnern testieren ausländischen niedrigere IT-Sicherheitsstandards als deutschen, Prozent sehen ähnlich hohe und Prozent sogar höhere Standards. Ein großer Teil der Führungskräfte legt sich allerdings nicht fest und verweist nicht zuletzt auf die Unterschiede zwischen den einzelnen Ländern (Schaubild 2). Wie sehen Sie das: Werden deutsche bei der Bekämpfung von IT-Angriffen ausreichend durch den Staat unterstützen oder fühlen Sie sich bei diesem Thema von der Politik alleingelassen, wünschen Sie sich da mehr Unterstützung durch den Staat? Wünsche mir mehr Unterstützung 47 6 Staat unterstützt ausreichend Quelle: Allensbacher Archiv, IfD-Umfragen 6267 und 629 (September 2014) 2 29