Verband der TV e V Berlin 4 November

Verband der TÜV e. V. Berlin, 4. November 2019 Pressekonferenz TÜV Cybersecurity Studie Dr. Michael Fübi, Präsident TÜV-Verband Arne Schönbohm, Präsident Bundesamt für Sicherheit in der Informationstechnik (BSI)

Methodik Unternehmensgröße 4% 17% 10 bis 49 Mitarbeiter Befragte Personen (Mehrfachnennung) N=503 41% 50 bis 249 Mitarbeiter Verantwortlichkeit/r für IT-Sicherheit >250 Mitarbeiter 79% 39% Geschäftsführung oder Vorstand Branchen 19% 28% 17% 16% 24% 20% IT-Leitung/CIO 3% Produzierendes Energie, Bau Gewerbe und Verkehr Handel Dienstleistungen Öffentlicher Bereich/ Gesundheit Chief Information Security Officer (CISO)

Absoluten Schutz vor Cyberangriffen gibt es nicht Wie bewerten Sie die folgenden Aussagen zur IT-Sicherheit? 92% Einen absoluten Schutz von Cyberangriffen gibt es nicht. 92% Cyberangriffe werden zu einer ernsten Gefahr für Wirtschaft und Gesellschaft. 85% Die Cyberkriminellen sind uns immer ein Stück voraus. Basis: Alle Befragten (n=503). Stimmen Sie den Aussagen (voll/eher) zu oder (eher/gar) nicht? Rest zu 100 Prozent: weiß nicht/keine Angabe

IT-Sicherheit ist für große Mehrheit der Unternehmen wichtig Welche Rolle spielt IT-Sicherheit aktuell für Ihr Unternehmen? 14% 15% Eine sehr/eher große Rolle Weder groß noch klein Eine kleine/überhaupt keine Rolle Basis: Alle Befragten (n=503). Welche Rolle spielt IT-Sicherheit aktuell für Ihr Unternehmen? 71%

Bedeutung von IT-Sicherheit hat stark zugenommen Wie hat sich die Relevanz von IT-Sicherheit in Ihrem Unternehmen in den letzten 5 Jahren entwickelt? 2% 1% Welche Entwicklungen bzw. Ereignisse waren der Grund dafür, dass IT-Sicherheit wichtiger geworden ist? 78% Die zunehmende Digitalisierung des Unternehmens 20% 41% Medienberichte über Cyberangriffe oder die NSA-Affäre 77% 29% Ein IT-Sicherheitsvorfall im Unternehmen 22% Interne Faktoren wie ein Managementwechsel Sie ist wichtiger geworden Weiß nicht/keine Angabe Sie ist weniger wichtig geworden Sie ist gleichgeblieben 16% Ein anderer Vorfall Basis: Alle Befragten (n=503). Wie würden Sie die Entwicklung der Relevanz von IT-Sicherheit in Ihrem Unternehmen in den vergangenen fünf Jahren einschätzen? Basis: Alle Befragten, in deren Unternehmen die IT-Sicherheit in den vergangenen 5 Jahren wichtiger geworden ist (n=385). War einer der folgenden Vorfälle der Grund dafür, dass die IT-Sicherheit in den vergangenen 5 Jahren wichtiger geworden ist?

Jedes achte Unternehmen hatte kürzlich einen IT-Sicherheitsvorfall Hat Ihr Unternehmen in den letzten 12 Monaten einen IT-Sicherheitsvorfall gehabt? 2% 11% 86% Ja, mehr als einmal Ja, einmal Nein Basis: Alle Befragten (n=503). Hat Ihr Unternehmen in den letzten 12 Monaten einen IT-Sicherheitsvorfall gehabt ?

Phishing und Ransomware häufigste Angriffsszenarien Art des Vorfalls 26% 19% 15% 16% 9% 1% Lauschangriff 3% SQLInjection. Angriff 3% Cross-Site Scripting (XXS) Angriff 4% 6% Denail-of-Service Passwort(Do. S) oder DDo. S Angriff (Brute-Force. Angriff) 6% Man-in-the. Middle-Angriff Social Engineering Anderer sonstiger Vorfall Sonstige Schad-Software. Angriffe Ransomware- Phishing- oder Speer. Phishing Angriffe Angriff Basis: Alle Befragten, in deren Unternehmen es in den letzten 12 Monaten mindestens einen IT-Sicherheitsvorfall gab (n=69). Bitte geben Sie an, ob es sich bei Ihrem Sicherheitsvorfall um einen der Vorfälle handelte.

Arbeitsausfall und finanzielle Schäden sind die Folgen Was waren die Folgen des Sicherheitsvorfalls? 49% 41% 29% 7% Schaden für Dritte 10% Wettbewerbsnachteile 12% Reputationsschäden Nichtverfügbarkeit von Diensten für Kunden Finanzieller Schaden Minderung oder Ausfall der Produktivität Basis: Alle Befragten, in deren Unternehmen es in den letzten 12 Monaten mindestens einen IT-Sicherheitsvorfall gab (n=69). Ich lese Ihnen nun mögliche Folgen eines Sicherheitsvorfalls vor. Bitte geben Sie an, ob diese auf Sie zutreffen.

Beratung, Schulung, Software: Aktuelle IT-Sicherheitsmaßnahmen Maßnahmen für IT-Sicherheit in den vergangenen 24 Monaten Haben Sie die IT-Sicherheit extern vergeben? 71% Beratung durch externe Fachexperten Einführung neuer Software für IT-Sicherheit Schulungen der Mitarbeiter auch außerhalb der IT 64% 2% 53% 60% 39% 45% Spezielle Fortbildungen der IT-Mitarbeiter 32% Erhöhung des Budgets für IT-Sicherheit 26% Einführung IT-sicherheitsrelevanter Zertifizierungen 25% Durchführung von. Notfallübungen 17% Zusätzliche Einstellung von IT-Mitarbeitern Ja Nein Weiß nicht/keine Angabe Basis: Alle Befragten (n=503). Geben Sie an, ob Ihr Unternehmen diese Maßnahmen in den vergangenen 24 Monaten ergriffen hat oder nicht. Sie sagten gerade, Ihr Unternehmen wird durch externe Fachexperten beraten. Haben Sie die IT-Sicherheit extern vergeben?

Jedes achte Unternehmen nutzt KI für die eigene IT-Sicherheit Setzen Sie KI zum Schutz Ihres Unternehmens ein? 6% Welche Formen von Künstlicher Intelligenz setzen Sie ein? 12% 82% Ja Nein Weiß nicht/keine Angabe Basis: Alle Befragten (n=503). Setzen Sie Künstliche Intelligenz zum Schutz Ihres Unternehmens ein ? 90% Erkennung von Schadsoftware (z. B. Code-Analyse) 70% Anomalie-Erkennung in Datenströmen (z. B. Intrusion Detection) 37% Identifizierungs- und Authentifizierungsverfahren (z. B: Gesichtserkennung)

KI für IT-Sicherheit nutzen vor allem große Unternehmen Setzen Sie Künstliche Intelligenz zum Schutz Ihres Unternehmens ein? 10% 10 bis 49 Mitarbeiter 16% 50 bis 249 Mitarbeiter 38% ab 250 Mitarbeiter Ja Basis: Alle Befragten (n=503). Setzen Sie Künstliche Intelligenz zum Schutz Ihres Unternehmens ein ?

Künstliche Intelligenz: Fluch oder Segen? Bedeutung Künstlicher Intelligenz für die IT-Sicherheit 63% Künstliche Intelligenz in den Händen krimineller Hacker erhöht die Gefahr für die IT-Sicherheit meines Unternehmens. 29% Mit Künstlicher Intelligenz kann sich mein Unternehmen besser vor Cyberangriffen schützen. Stimme voll/eher zu Basis: Alle Befragten (n=503). Stimmen Sie den Aussagen (voll/eher) zu oder (eher/gar) nicht?

Normen und Standards zur IT-Sicherheit geben Orientierung Welche der Aussagen zu Normen und Standards für IT-Sicherheit trifft auf Ihr Unternehmen zu? Externe Prüfung/Zertifizierung durch unabhängige Stellen 2% 42% Wir orientieren uns bei der IT-Sicherheit an bestimmten Normen und Standards, setzen diese nur teilweise um 26% Wir erfüllen bei der IT-Sicherheit bestimmte Normen und Standards vollumfänglich 57% 41% 21% Normen und Standards spielen bei der IT-Sicherheit bei uns bisher keine Rolle 11% Weiß nicht/keine Angabe Ja Nein Weiß nicht/keine Angabe Basis: Alle Befragten (n=503). Nun lese ich Ihnen 3 Aussagen zu Normen und Standards für die IT-Sicherheit wie z. B. DIN ISO 27001 oder IT-Grundschutz vor. Bitte geben Sie an, welche der 3 Aussagen am ehesten auf Ihr Unternehmen zutrifft. Basis: Alle Befragten, deren Unternehmen Normen und Standards für IT-Sicherheit erfüllen (n=344): Lassen Sie die Einhaltung von Normen und Standards für IT-Sicherheit von unabhängigen, externen Stellen überprüfen bzw. zertifizieren?

Viele Unternehmen Risiken bewusst in Kauf Aussagen zur IT-Sicherheit im Unternehmen 58% Die Mitarbeiter sind häufig genervt, weil sie bestimmte IT-Sicherheitsanforderungen erfüllen müssen (z. B. bei Authentifizierung, Passwortwechsel). 32% Die für IT-Sicherheit eingesetzten Ressourcen stehen in keinem Verhältnis zum Sicherheitsgewinn. 32% Unser Unternehmen nimmt bestimmte Risiken bei der IT-Sicherheit bewusst in Kauf. 20% Es kommt häufig vor, dass die Mitarbeiter bewusst IT-Sicherheitsvorgaben umgehen. Stimme voll/eher zu Basis: Alle Befragten, (n=503). Stimmen Sie den Aussagen (voll/eher) zu oder (eher/gar) nicht? Rest zu 100 Prozent: weiß nicht/keine Angabe

Fachkräftemangel schlägt auf IT-Sicherheit durch Wie bewerten Sie die Aussagen zum Fachkräftemangel? 25% 62% Wir spüren zwar auch Engpässe bei IT-Experten, das wirkt sich bei uns aber nicht auf die IT-Sicherheit aus. 76% 14% Der Fachkräftemangel im IT-Bereich führt in unserem Unternehmen dazu, das die IT-Sicherheit schlechter ist als erforderlich. Stimme voll/eher zu Stimme eher nicht/ gar nicht zu Basis: Alle Befragten (n=503). Stimmen Sie den Aussagen (voll/eher) zu oder (eher/gar) nicht? Rest zu 100 Prozent: weiß nicht/keine Angabe

Starkes Votum für höhere gesetzliche Anforderungen an die IT-Sicherheit Aussagen zu gesetzlicher Regulierung 63% Regulatorische Anforderungen unterstützen mich, IT-Sicherheitsmaßnahmen zu vertreten und umzusetzen. 59% Regulierung durch den Gesetzgeber ist wichtig und trägt zu einer besseren IT-Sicherheit unseres Unternehmens bei. 47% Die gesetzlichen Anforderungen an die IT-Sicherheit von Unternehmen müssen erhöht werden. 42% Strengere gesetzliche Vorgaben für die IT-Sicherheit von Unternehmen machen das ganze Internet sicherer. Stimme voll/eher zu Basis: Alle Befragten (n=503). Stimmen Sie den Aussagen (voll/eher) zu oder (eher/gar) nicht? Rest zu 100 Prozent: weiß nicht/keine Angabe

Politische Empfehlungen 1. Anwendungsbereich des IT-Sicherheitsgesetzes erweitern – KRITIS-Fokus aufgeben 2. Überprüfung der gesetzlichen IT-Sicherheitsstandards verbessern 3. Cybersecurity Act umsetzen: Produktsicherheit um IT-Sicherheit ergänzen 4. Künstliche Intelligenz nach Risikoklassen prüfen 5. Unabhängige Drittprüfungen beim IT-Sicherheitskennzeichen integrieren 6. Cybersicherheitsstrategie der Bundesregierung neu auflegen

Verband der TÜV e. V. Friedrichstraße 136, 10117 Berlin www. vdtuev. de