www.pwc.com/cybersecurity Management von Cyber- Risiken in einer vernetzten Welt Ergebnisse der Umfrage The Global State of Information Security 2015 11. März 2015
Bei der Umfrage eingesetzte Methoden The Global State of Information Security 2015 ist eine weltweite Umfrage, die von, CIO und CSO von 27. März bis 25. Mai 2014 online durchgeführt wurde. Umfrage wurde zum 17. Mal von durchgeführt, zum 12. Mal gemeinsam mit den Wirtschaftsmagazinen CIO und CSO Befragt wurden Leser von CIO und CSO sowie -Kunden in 154 Ländern Mehr als 9.700 Antworten vom führenden Management (CEOs, CFOs, CIOs, CISOs, CSOs, VPs und Verantwortlichen für IT und Sicherheit) Mehr als 40 Fragen zu Themen wie Schutz der Privatsphäre und Informationssicherheit sowie deren Einfluss auf das Unternehmen 38 % der Teilnehmer stammen aus Unternehmen mit einem Umsatz von mehr als $ 500 Mio. 35 % der Teilnehmer stammen aus Nordamerika, 34 % aus Europa, 14 % aus dem Asien-Pazifik-Raum, 13 % aus Südamerika und 4 % aus dem Nahen Osten und Afrika Fehlerspanne kleiner 1 %; Zahlen ergeben aufgrund von Rundungen teilweise nicht 100 % 2
Sicherheitsbedingte Vorfälle sind heute ein beständiges und weltweit verbreitetes Unternehmensrisiko Die US-Regierung informiert 3.000 Unternehmen, dass sie angegriffen wurden und belangt staatlich unterstützte Hacker wegen Wirtschaftsspionage Im Einzelhandel kam es in Summe zur Sicherheitsverletzungen bei 56 Mio. Kreditkarten Heartbleed führt zum Verlust von 4,5 Mio. medizinischen Akten Mächtige Schadsoftware (Malware) infiziert hunderte Energieunternehmen weltweit Mehr als die Hälfte der Wertpapierbörsen weltweit wird gehackt Regulierungsbehörden weltweit beschäftigen sich allmählich proaktiv mit Cyber-Risiken 3
Die Zahl der sicherheitsbezogenen Vorfälle steigt nach wie vor an Die Gesamtzahl an Sicherheitsvorfällen, die den Umfrageteilnehmern bekannt waren, stieg 2014 auf 42,8 Mio., was einen Anstieg von 48 % gegenüber 2013 bedeutet. 42,8 Millionen Das entspricht 117.339 Angriffen pro Tag. Und das sind nur die aufgedeckten Fälle. 4
Stetiges jährliches Wachstum von 66 % seit 2009 Längerfristig betrachtet, zeigen unsere Umfragedaten, dass die durchschnittliche jährliche Wachstumsrate (CAGR) der aufgedeckten Sicherheitsvorfälle seit 2009 66 % betragen hat. 5
Größere Unternehmen decken mehr Vorfälle auf Innerhalb der Stichprobe unserer globalen Umfrage deckten große Organisationen (mit einem jährlichen Bruttoumsatz von $ 1 Mrd. oder mehr) im Vergleich zum Vorjahr um 44 % mehr Vorfälle auf. 6
Finanzielle Verluste durch sicherheitsbezogene Vorfälle sind hoch und im Steigen begriffen Mit Zunahme der Anzahl der Sicherheitsvorfälle steigen auch die Kosten für das Management und die Risikominimierung von Sicherheitslücken. Global betrachtet, betrug der durchschnittliche jährliche finanzielle Verlust, der Vorfällen im Bereich Cyber-Sicherheit zugeschrieben wird, $ 2,7 Mio., was einen Anstieg von 34 % gegenüber 2013 bedeutet. Es ist nicht überraschend, aber doch bemerkenswert, dass große Verluste häufiger auftreten: Finanzielle Verluste von $ 20 Mio. oder mehr wurden von Unternehmen um 92 % häufiger gemeldet als 2013. 7
Finanzielle Verluste gehen bis in die Milliarden Dollar Jährliche finanzielle Verluste, die Vorfällen im Zusammenhang mit Cyber- Sicherheit zugeschrieben werden, sind gegenüber 2013 um 34 % angestiegen. Nochmals sei betont: es handelt sich hierbei nur um die aufgedeckten Vorfälle. 8
Trotz höherem Risiko sanken die Budgets für Sicherheit im Jahr 2014 Viele Organisationen machen sich zweifellos Sorgen wegen der steigenden Flut an Cybercrime. Dennoch haben die meisten ihre Investitionen in Sicherheit nicht erhöht. Tatsächlich sanken die Sicherheitsbudgets weltweit um 4 % gegenüber 2013. Sicherheitsausgaben in Prozent des gesamten IT-Budgets sind in den letzten fünf Jahren bei ca. 4 % oder weniger stehen geblieben. 9
Ausgaben sinken im Vergleich zu den Vorjahren, vor allem bei kleinen Organisationen Die Höhe der Investitionen, die im Vorjahr angegeben wurden, erklärt die geringeren Ausgaben. 2013 gaben die Organisationen wesentlich höhere Ausgaben gegenüber 2012 an, wobei die IT- Investitionen um 40 % und die Sicherheitsausgaben noch stärker (um 51 %) erhöht wurden. Es ist durchaus möglich, dass die Teilnehmer in diesem Jahr nicht in der Lage waren, dieses erhöhte Investitionsniveau beizubehalten. Betrachtet man die Sicherheitsinvestitionen nach Unternehmensgröße, ergibt sich Folgendes: Unternehmen mit einem Umsatz von weniger als $ 100 Mio. gaben an, dass sie ihre Sicherheitsausgaben gegenüber 2013 um 20 % reduziert haben, während mittlere und große Unternehmen über eine geringe Erhöhung von 5 % der Sicherheitsausgaben berichten 10
Insidern zugeschriebene Vorfälle nehmen zu, während die Sicherheitsvorsorge zurückgeht Ehemalige und derzeitige Mitarbeiter sind die häufigsten Schuldigen bei Sicherheitsvorfällen. Dennoch gehen die Sicherheitsmaßnahmen bezüglich Insider-Bedrohungen zurück. 56 % erteilen Zugriffsrechte für bevorzugte User (2013: 65 %) 51 % überwachen die Compliance der Nutzer mit den Sicherheitsvorschriften (2013: 58 %) 51 % verfügen über Sicherheitstraining und bewusstseinsbildende Programme für Mitarbeiter (2013: 60 %) Dritten mit bevorzugtem Zugriff zugeschriebene Vorfälle werden häufiger, während die Due Diligence zurückgeht. 55 % haben Mindestkriterien für Sicherheit bei externen Partnern, Lieferanten und Verkäufern (2013: 60 %) 50 % führen bei Dritt-Verkäufern Sicherheits-Checks durch (2013: 53 %) 11
Große Zunahme an spektakulären Verbrechen Trotz insgesamt geringer Häufigkeit nahmen Vorfälle, die Nationalstaaten, dem organisierten Verbrechen und Konkurrenten zugeschrieben werden, 2014 stark zu. 86 % mehr Vorfälle mit Nationalstaaten 64 % mehr Vorfälle mit Konkurrenten 26 % mehr Vorfälle mit dem organisierten Verbrechen 12
Maßnahmen: 5 Schritte zu einem strategischen Sicherheitsprogramm 1 2 3 4 5 Sicherstellen, dass die Strategie für Cyber-Sicherheit den Unternehmenszielen entspricht und nach strategischen Grundsätzen finanziert wird Die wertvollsten Informationen identifizieren und den Schutz der hochwertigen Daten vorrangig behandeln Die Gegenspieler (sowie ihre Motive, Ressourcen und Angriffsmethoden) verstehen, um die Zeit zwischen Entdecken und Reagieren zu verkürzen Die Cyber-Sicherheit von Dritten und Partnern in der Logistikkette analysieren und sicherstellen, dass diese Ihre Sicherheitsvorschriften einhalten Mit anderen zusammenarbeiten, um das Bewusstsein für die Bedrohung durch Cybercrime und für entsprechende Reaktionstaktiken zu heben 13
Markus Ramoser Österreich, Senior Manager Risk Assurance +43 699 11 56 53 77 markus.ramoser@at.pwc.com www.pwc.com/gsiss2015 2015. Alle Rechte vorbehalten. bezeichnet das -Netzwerk und/oder eine oder mehrere seiner Mitgliedsfirmen. Jedes Mitglied dieses Netzwerks ist ein selbstständiges Rechtssubjekt. Weitere Informationen finden Sie auf www.pwc.com/structure. ist bei der Erfassung, Verarbeitung und Berichterstattung dieser Informationen mit angemessener Sorgfalt vorgegangen. Die Daten wurden jedoch nicht im Einzelnen verifiziert oder geprüft, um deren Richtigkeit bzw. Vollständigkeit festzustellen. übernimmt keinerlei (ausdrückliche oder implizierte) Gewährleistung oder Garantie (inklusive, aber nicht ausschließlich) bezüglich der Vermarktbarkeit oder Eignung der Daten für einen bestimmten Zweck und haftet daher weder gegenüber Organisationen noch Personen, die dieses Dokument verwenden. Darüber hinaus ist jede sonstige Haftung im Zusammenhang mit diesem Dokument ausgeschlossen. Dieses Dokument dient ausschließlich der internen Verwendung durch den Empfänger und darf weder in schriftlicher noch sonstiger Form ohne die ausdrückliche schriftliche Zustimmung durch an Dritte weitergegeben werden.