Sicherheitsperformance Index - Deutschland hinkt der internationalen Entwicklung hinterher

Sicherheitsperformance Index - Deutschland hinkt der internationalen Entwicklung hinterher
Dottie Schindlinger, Executive Director des Diligent Institute (Foto: Diligent)

Cybersicherheit ist ein unternehmensweites Problem - stärkere Kontrolle durch den Vorstand führt zu besserer Cybersicherheits-Performance, so eine neue Studie.

Ein neuer Bericht von Diligent und Bitsight zeigt, dass Unternehmen mit einer fortschrittlichen Cybersicherheitsleistung im Durchschnitt 372 Prozent mehr Rendite an ihre Aktionäre ausschütten können als Unternehmen mit einem einfachen Security Performance Score. Der Bericht zeigt auch, dass stark regulierte Branchen wie das Gesundheitswesen und der Finanzsektor die Rangliste anführen - sie haben die Bedrohungslage erkannt und entsprechende Maßnahmen ergriffen. Eine weitere Erkenntnis des Reports ist, dass Unternehmen mit einem spezialisierten Risiko- oder Prüfungsausschuss auch einen besseren Security Performance Score (710) erreichen als Unternehmen ohne einen solchen Ausschuss (650).
 
„Die Ergebnisse des Reports zeigen, dass Cybersicherheit nicht nur ein IT-Problem ist – es ist ein Unternehmensrisiko, das wesentliche Auswirkungen auf die kurzfristige Leistung und die langfristige Resilienz eines Unternehmens hat – und mit dem die Geschäftsleitung und der Vorstand vertraut sein müssen“, sagt Dottie Schindlinger, Executive Director des Diligent Institute. „Angesichts des zunehmenden Drucks der Aufsichtsbehörden auf Unternehmen, nachzuweisen, wie sie die Cybersicherheit überwachen, ist es an der Zeit, dass Vorstände und Führungskräfte ihre Kompetenz in Bezug auf Cyberrisiken ausbauen.“
 
„Bei der Cybersicherheit geht es nicht mehr nur um Risikominderung, sondern sie ist jetzt ein Schlüsselindikator für die finanzielle Leistung. Unternehmen müssen Cybersicherheit als einen Eckpfeiler ihrer Geschäftsstrategie behandeln, der von klaren, ehrgeizigen Maßstäben geleitet wird und die volle Unterstützung ihrer Vorstände genießt“, fügte Dr. Homaira Akbari, CEO von AKnowledge Partners, Mitglied des Verwaltungsrats von Banco Santander und Landstar System und Mitglied des Bitsight-Beirats, hinzu.
 
Für den Report „Cybersecurity, Audit and the Board“ analysierten Diligent und Bitsight mehr als 4.000 mittlere bis große Unternehmen in öffentlichen Indizes weltweit.

Die wichtigsten Ergebnisse des Berichts:

Deutschland liegt bei der Cybersicherheit hinter anderen Ländern zurück

  • Obwohl Deutschland zu den drei Ländern mit den meisten Cybersicherheitsexperten im Vorstand gehört (5 Prozent der Unternehmen haben einen Cybersicherheitsexperten im Vorstand), haben deutsche Unternehmen einen der niedrigsten Durchschnittswerte für Cybersicherheit (640) und liegen damit hinter Frankreich, Großbritannien, Australien, den USA und Kanada und gleichauf mit Japan.
  • Dies könnte darauf zurückzuführen sein, dass nur 17 Prozent der deutschen Unternehmen über spezielle Risikoausschüsse verfügen.
  • Die Ergebnisse der Studie legen nahe, dass es nicht ausreicht, einen Experten für Cybersicherheit im Vorstand zu haben - diese Experten müssen direkt an der Cyberaufsicht beteiligt sein. Australien beispielsweise hat mit 700 Punkten einen der höchsten Sicherheitsbewertungen und 90 Prozent der im Bericht genannten Unternehmen haben spezialisierte Risikoausschüsse.

Unternehmen mit einer messbar besseren Cyber-Sicherheitsleistung erzielen eine bessere finanzielle Performance als ihre Wettbewerber

  • Der durchschnittliche Total Shareholder Return (TSR) über einen Zeitraum von fünf bzw. drei Jahren lag bei Unternehmen mit fortgeschrittenem Sicherheitsrating bei 71 Prozent bzw. 67 Prozent, während Unternehmen mit grundlegender Leistung im gleichen Zeitraum einen TSR von 37 Prozent bzw. 14 Prozent erzielten.
  • Unternehmen mit einer höheren Anzahl unabhängiger Direktoren haben eher ein fortgeschrittenes Sicherheitsrating. Rund 76 Prozent der Direktoren von Unternehmen mit einem fortgeschrittenen Sicherheitsrating sind unabhängig, verglichen mit 66 Prozent in der Kategorie mit einem grundlegenden Sicherheitsrating.

Unternehmen mit einem spezialisierten Risiko- oder Prüfungsausschuss erzielen im Durchschnitt eine bessere Cybersicherheitsleistung als Unternehmen ohne einen solchen Ausschuss

  • Der Median der Cybersicherheitsbewertung für Unternehmen mit einem spezialisierten Risikoausschuss liegt bei 730 im Vergleich zu 720 für Unternehmen mit einem reinen Prüfungsausschuss, was darauf hindeutet, dass es keinen signifikanten Unterschied in der Fähigkeit des Prüfungsausschusses zur Überwachung von Cyberrisiken im Vergleich zu einem spezialisierten Risikoausschuss gibt.
  • Ein Cybersicherheitsexperte im Vorstand reicht nicht aus - diese Experten müssen direkt an der Cyberaufsicht beteiligt sein. Unternehmen mit Cybersicherheitsexperten im Prüfungsausschuss oder in einem speziellen Risikoausschuss erreichen einen durchschnittlichen Sicherheitswert von 700, während Unternehmen mit Cybersicherheitsexperten im Vorstand, aber nicht in einem der beiden Ausschüsse, einen Sicherheitswert von 580 erreichen.

Stark regulierte Branchen schneiden bei der Cybersicherheit besser ab als andere Branchen

  • Der Gesundheitssektor weist mit 730 die höchste durchschnittliche Sicherheitsbewertung auf. Von den Unternehmen mit fortgeschrittenen Sicherheitsbewertungen kamen 33 Prozent aus dem Finanzdienstleistungssektor mit einer durchschnittlichen Bewertung von 720.
  • Im Vergleich dazu kamen 24 Prozent der Unternehmen mit grundlegenden Sicherheitsbewertungen aus dem Industriesektor, und der Sektor mit der niedrigsten Gesamtbewertung war der Kommunikationssektor mit 630.

„Die Studie zeigt, dass marktführende Unternehmen, die dem Cyber-Risikomanagement Priorität einräumen, besser abschneiden als ihre Konkurrenten“, so Derek Vadala, Chief Risk Officer bei Bitsight. „Dies kann nicht ohne ein gutes Verständnis der Cybersicherheitsleistung und klare Benchmarks erreicht werden, die von der Geschäftsleitung und dem Vorstand geteilt werden. Die Rolle des CISO hat sich gewandelt. Cyber-Risiko ist eine Schlüsselkomponente der Unternehmensleistung.“

Zur Methodik
Die Analyse umfasst 4.149 mittelgroße bis große börsennotierte Unternehmen in Australien, Kanada, Frankreich, Deutschland, Japan, Großbritannien und den USA. Diligent korrelierte die Cyber-Aufsichtsstruktur jedes Unternehmens mit den entsprechenden Sicherheitsleistungsdaten, die von Bitsight bezogen wurden. Bei der Korrelationsmethode wurden die Bewertungen innerhalb jeder Kategorie gemittelt, um erkennbare Muster zu identifizieren. Bitsight erstellt Cybersicherheitsbewertungen, die auf extern beobachtbaren Messungen der Sicherheitsleistung eines Unternehmens basieren. Die vollständige Methodik des Berichts kann hier eingesehen werden.

Auf Social Media Teilen:   Facebook   LinkedIn   Xing   Twitter  

Könnte Sie auch interessieren

Erfolg oder Erfüllung? Dieses Mindset unterscheidet schlechte von guten Unternehmern
OVE Service GmbH: Aldis übernimmt deutschen Blitz-Informationsdienst Blids
Benteler Automotive und ArcelorMittal testen CO2-reduzierten Stahl in Fahrwerks- und Strukturkomponenten
Pimcore verstärkt Management und eröffnet neues Büro in Deutschland
Ricoh zum 3. Mal in Folge im Dow Jones Sustainability World Index gelistet
Virginia Esyl neu im Vorstand bei Messer
Zurück zur Übersicht