Moody's Bericht zeigt echte Fortschritte in der Cybersicherheit

Vor nicht allzu langer Zeit standen viele Unternehmen vor der Entscheidung, in eine Cyber-Versicherung zu investieren oder sich zusätzliches Fachwissen im Bereich Cybersicherheit anzueignen. Ein neuer Bericht von Moody’s legt jedoch nahe, dass mittlerweile mehr Unternehmen beides tun. Die Qualifizierung für eine Cybersicherheitsversicherung führt heutzutage in der Regel zu einem Teufelskreis, da die Unternehmen viel widerstandsfähiger sein müssen, um sich überhaupt zu qualifizieren.

Eine globale Umfrage unter fast 2.000 Cybersicherheitsexperten, die vom Anlageberatungsdienst durchgeführt wurde, ergab, dass die Budgets für Cybersicherheit in den letzten fünf Jahren um fast zwei Drittel (65 %) gestiegen sind, einschließlich der Gehälter, die erforderlich sind, um eine 25-prozentige Erhöhung der Zahl der internen Cybersicherheitspersonal, die Vollzeit arbeiten, zu ermöglichen.

Gleichzeitig geben 87 % der Befragten an, dass ihr Unternehmen über eine eigenständige Cyber-Versicherung verfügt, 21 % mehr als 2021. Insgesamt 13 % gaben an, dass sie im kommenden Jahr eine zusätzliche Versicherung abschließen wollen, obwohl die Prämien deutlich höher sind als früher.

Es ist nicht ganz klar, in welchem Ausmaß der Abschluss einer Cybersicherheitsversicherung zur Einführung besserer Cybersicherheitsprozesse geführt hat, aber der Bericht stellt fest, dass die meisten Organisationen ihre Daten mittlerweile mindestens wöchentlich sichern und eine Multifaktor-Authentifizierung (MFA) implementiert haben.

Der Bericht stellt auch fest, dass etwa drei Viertel aller Unternehmen mindestens einmal jährlich Tabletop-Übungen durchführen, während 60 % angeben, dass sie irgendeine Art von Bug-Bounty-Programm eingeführt haben.

Klarerweise gibt es noch viel zu tun, um die Risikobewertungen Dritter zu verbessern. Positiv ist jedoch, dass mehr Cybersicherheitsteams (90 %) Zugang zu hochrangigen Führungskräften haben, um ihre Argumente vorzubringen.

Natürlich ist es von Unternehmen zu Unternehmen sehr unterschiedlich, inwieweit die oberste Führungsebene das Cyber-Briefing, das sie erhält, versteht und schätzt. Viele Cybersecurity-Experten finden es immer noch schwierig, das mit einem Cybersecurity-Problem verbundene Geschäftsrisiko zu erklären. Da sie keine formale Finanzausbildung haben, ist es für sie oft schwierig, eine überzeugende Argumentation in Begriffen zu formulieren, die von Führungskräften verstanden werden.

Positiv ist, dass zumindest mehr Führungskräfte zuhören, entweder weil sie das Thema ernst nehmen, nachdem sie aus erster Hand erfahren haben, wie es sich auf ein Unternehmen auswirken kann, oder weil sie per Gesetz dazu gezwungen sind. Es ist unwahrscheinlich, dass Führungskräfte jemals ein tieferes Verständnis für die Cybersicherheit entwickeln werden. Daher liegt die Verantwortung, die Probleme und Herausforderungen zu erklären, mit denen das Unternehmen konfrontiert ist, – ob es einem gefällt oder nicht – bei den Leitern des Cybersicherheitsteams. Das unausgesprochene Problem ist, dass die meisten Unternehmensleiter darauf konditioniert sind, potenzielle Gewinne gegen Risiken abzuwägen, so dass sie sich möglicherweise dafür entscheiden, eine Initiative ungeachtet der potenziellen Folgen für die Cybersicherheit zu starten.

Die Realität sieht so aus, dass die meisten Verantwortlichen für Cybersicherheit, obwohl sie mehr denn je zur Verantwortung gezogen werden, einfach nicht nein zu neuen Initiativen sagen können. Stattdessen geben sie vor allem Ratschläge, wie man am besten sicherstellen kann, dass jeder neue digitale Dienst so sicher wie möglich ist.

Im Großen und Ganzen gibt es im Bereich der Cybersicherheit heute viel mehr Grund zum Optimismus als in der jüngsten Vergangenheit. Hoffentlich mit Fortschritten in der künstlichen Intelligenz (KI). Es gibt viel mehr, worauf man sich freuen kann, als worüber man sich Sorgen machen muss.