IT-Sicherheit Cyber-Resilienz im Einzelhandel: Sicherheits-Maßnahmen muss die Chef-Etage beschließen

Anbieter zum Thema

Trend Micro (EMEA) Ltd.

Klinkhammer Intralogistics GmbH

Sparck Technologies B. V.

Laut einer Studie sind fast alle IT-Sicherheits-Verantwortlichen im Einzelhandel zuversichtlich, was die Cyber-Resilienz ihres Unternehmens angeht. Ist dieses Vertrauen gerechtfertigt? 

Was ist hier los? Laut einer aktuellen Studie von Trend Micro sind fast alle IT-Sicherheits-Verantwortlichen (99 Prozent) im weltweiten Einzelhandel sehr oder einigermaßen zuversichtlich, was die Cyber-Resilienz ihres Unternehmens angeht. Doch eine ebenfalls kürzlich veröffentlichte Studie des Marktforschungsinstituts Censuswide lässt auf Gegenteiliges schließen: Bei der Umfrage unter 517 deutschen Einzelhändlern gaben nämlich 43 Prozent der Befragten an, in den vergangenen zwölf Monaten Ziel eines Cyber-Angriffs geworden zu sein. Ein Anstieg um 30 Prozent im Vergleich zu den Zahlen von 2022, so die in der Wirtschaftswoche veröffentlichte Studie.  

Die Untersuchung von Trend Micro zeigt, dass es IT-Security-Verantwortlichen beziehungsweise Chief Information Security Officers (CISOs) schwerfällt, ihre Botschaft überzeugend genug an die Geschäftsleitung zu vermitteln. Viele werden kurzerhand abgewiesen, was zu fehlenden Ressourcen und unberechenbaren Entscheidungen führt.

Kopf in den Sand stecken

Einzelhändler sind schon seit einiger Zeit ein beliebtes Ziel für Bedrohungsakteure: Die großen Mengen an persönlichen und finanziellen Informationen, die sie über ihre Kunden verarbeiten, machen sie zu einer lukrativen Quelle für Daten, die Cyber-Kriminelle leicht zu Geld machen können. 

Ein zusätzliches Risiko für die Einzelhändler ist der Reputations- und Vertrauensverlust, der angesichts der starken Konkurrenz im Handel schnell zur Abwanderung von Kunden führt.

Richard Werner, Trend Micro

Der explosionsartige Anstieg des elektronischen Handels in den letzten Jahren und die Einführung der EMV-Chip-Technologie haben den Datendiebstahl von den Kassensystemen in den Geschäften auf die Backend-Systeme der IT verlagert. Ein zusätzliches Risiko für die Einzelhändler ist außerdem der Reputations- und Vertrauensverlust, der angesichts der starken Konkurrenz im Handel schnell zur Abwanderung von Kunden führt.

Auf den ersten Blick sind diese Herausforderungen in der Branche wohlbekannt. Die meisten befragten IT-Sicherheitsverantwortlichen (54 Prozent) stufen Cyber-Risiken als ihr größtes Geschäftsrisiko ein. Unternehmen investieren in die Cyber-Security mehr als in jeden anderen Bereich, um Risiken wie Betriebsunterbrechungen sowie finanzielle und Reputationsverluste zu mindern

Cyber-Resilienz wird oft unterschätzt

Auf der anderen Seite haben viele Geschäftsführungen im Einzelhandel eine veraltete Auffassung von der Rolle, die „Cyber“ in ihrem Unternehmen spielen sollte. In 38 Prozent der befragten Unternehmen wird das Thema rein als IT-Aufgabe behandelt, und 41 Prozent glauben, dass die Unternehmensleitung die Cyber-Sicherheit überhaupt nicht als ihre Verantwortlichkeit ansieht. 

In der Folge setzen sie sich nur unzureichend mit dem Thema auseinander, was wiederum zu eher punktuellen und reaktiven Ausgaben als zu einer langfristigen strategischen IT-Sicherheitsplanung führt. Mehr als zwei Fünftel (44 Prozent) der Befragten gaben an, dass nur eine schwerwiegende Sicherheitsverletzung im Unternehmen die Geschäftsleitung dazu veranlassen würde, entschlossener gegen Cyberrisiken vorzugehen.

Vertrauen des Vorstands gewinnen

Dieses fehlende Verständnis für Cyber-Risiken als bedeutendes Geschäftsrisiko ist teilweise das Ergebnis einer schlechten Kommunikation zwischen Geschäftsführung und IT-Security. Ein Viertel der CISOs (23 Prozent) gibt an, dass sie sich grundsätzlich gezwungen fühlen, die Schwere von Cyber-Risiken gegenüber der Führungsebene herunterzuspielen, während 66 Prozent dies zumindest manchmal tun. Ein Drittel gibt an, dass sie von der Geschäftsleitung rundweg abgewiesen wurden.

Das fehlende Verständnis für Cyber-Risiken als bedeutendes Geschäftsrisiko ist teilweise das Ergebnis einer schlechten Kommunikation zwischen Geschäftsführung und IT-Security.

Richard Werner, Trend Micro

Der Schlüssel, um das Vertrauen zurückzugewinnen, liegt in der Kommunikation mit dem Vorstand unter Verwendung von verständlichen und greifbaren Kennzahlen und einer Sprache, die das Cyber-Risiko in geschäftlichen Begriffen ausdrückt. 

Die Vorteile liegen klar auf der Hand: Diejenigen, die in der Lage waren, den geschäftlichen Wert von Cyber-Sicherheit zu messen, berichten, dass sie mehr Glaubwürdigkeit (50 Prozent) und Wertschätzung (51 Prozent) genießen und ein höheres Budget erhalten (42 Prozent). Auf dieser Grundlage kann ein ausgereifterer Ansatz für das Cyber-Risikomanagement entwickelt werden.

Cyber-Resilienz: Plattform für Risiko-Management

Die gute Nachricht ist, dass 93 Prozent der IT-Führungskräfte im Einzelhandel angeben, bereits über Messgrößen zu verfügen, um einen solchen Plan in die Tat umzusetzen. Der Schlüssel liegt darin, diese in einem „Single Point of Truth“ zu vereinen. Eine Möglichkeit besteht darin, dass sie ihre vielen Einzellösungen auf einer einzigen Plattform für das Risiko-Management und die Messung der Sicherheitslage über die gesamte Angriffsoberfläche des Unternehmens hinweg konsolidieren.

Netzwerke im Einzelhandel

Vier Maßnahmen, die zu höherer Resilienz führen