Information-Security-Benchmarking-Studie von Capgemini

Gefahr durch Social Engineering

Bereits zum vierten Mal in Folge betrachtet die Information-Security-Benchmarking Studie des Beratungsunternehmens Capgemini das aktuelle Sicherheitslevel von führenden mittelständischen Unternehmen sowie Großkonzernen. 71% der teilnehmenden Unternehmen sind der Meinung, durch Agile Security schneller auf sich ändernde Sicherheitsanforderungen reagieren zu können.

Mit der Information-Security-Benchmarking-Studie untersucht das Beratungsunternehmen Capgemini vier zentrale Unternehmensbereiche: Strategie & Governance, Organisation & People, Prozesse und Technologie. Zusätzlich werden die wichtigsten Sicherheitsrisiken für Unternehmen und deren finanzielle Aufwendungen für die Informationssicherheit näher betrachtet. Im Fokus der diesjährigen Studie steht das Thema Agile Security. Die Ergebnisse der Studie sollen es den Teilnehmern ermöglichen, einen gezielten Einblick in Stärken und Schwächen zu erhalten, sowie Chancen und Risiken ihrer derzeitigen Informationssicherheit frühzeitig zu erkennen. Zudem haben die Teilnehmer die Möglichkeit, sich sowohl speziell mit ihrer Peer Group zu vergleichen, als auch einen Vergleich zum gesamten Teilnehmerfeld zu ziehen.

Social Engineering ist das größte Risiko

In der aktuellen Studie sind 78% der teilnehmenden Unternehmen der Meinung, dass Social Engineering aktuell das größte Cybersecurity-Risiko darstellt. Knapp dahinter wurden mit 60% Malware/Ransomware und Advanced Persistent Threats mit 44% gewählt. Neben den Risiken zählt für etwas mehr als die Hälfte der Unternehmen (52%) der Aufbau einer Cyber-Risiko-Kultur zu dem wichtigsten Security-Thema in diesem Jahr. Zusätzlich sind die Steuerung von bekannten Anfälligkeiten (41%) und die Verbesserung der Cloud-Sicherheit (41%) die größten Trends bei den befragten Unternehmen. Dies unterstützt die derzeitige Relevanz für das Thema Cloud und die damit einhergehenden Sicherheitsrisiken in Unternehmen.

Hohe Kosten durch Angriffe, geringes Budget

Trotz deutlich steigender Zahlen von Cyberattacken und daraus resultierende Kosten für Unternehmen, liegt der Anteil des IT Budgets, der auf Cybersecurity entfällt, im Mittel aller Teilnehmer bei 7,2%. Davon fließen 43% in den Schutz der IT-Systeme wie beispielsweise Zugangskontrollen, Datensicherheit oder Firewalls. Überraschend ist, dass nur 15% der Cybersecurity Budgets für die Kategorie ‘Response and Recovery’ ausgegeben werden. Dazu gehören Maßnahmen wie Business Continuity Management (BCM), Krisensimulation oder Incident Management, die zunehmend an Relevanz gewinnen. Nichtsdestotrotz ist die überwiegende Zahl der Teilnehmer davon überzeugt, dass die eigene Informationssicherheit mit den organisationalen Anforderungen des Unternehmens übereinstimmt.