Kommunikation als größte Herausforderung beim Cyberkrisen-Management

Aktuelle internationale Semperis-Studie untersuchte die Reaktionsfähigkeit von Unternehmen auf Cybervorfälle

[datensicherheit.de, 26.05.2025] Semperis hat die Ergebnisse einer internationalen Studie mit 1.000 Teilnehmern veröffentlicht, welche sich mit der Reaktionsfähigkeit in Cyberkrisen befasst. Laut diesen Ergebnissen sehen die Befragten „Kommunikationslücken“ als größtes Hindernis für ein wirksames Krisenmanagement (48%), gefolgt von „veralteten Reaktionsplänen“ (45%), und „Unklarheiten über die Rollen und Verantwortlichkeiten“ der zuständigen Belegschaft (41%). Für die zugrundeliegende Studie mit dem Titel „The State of Enterprise Cyber Crisis Readiness“ hat das Marktforschungsinstitut Censuswide im Semperis-Auftrag Anfang 2025 insgesamt 1.000 Teilnehmer in Deutschland, Frankreich, Italien, Spanien, dem Vereinigten Königreich, den USA, Australien, Neuseeland und Singapur befragt.

Foto: Semperis

Aleksandra Hochstein erkennt bei Unternehmen nach wie vor eine Lücke zwischen den wahrgenommenen Verteidigungsfähigkeiten und deren Ausübung im Ernstfall

Cyberreaktionsplan – Notfallübungen meist quartalsweise

83 Prozent haben demnach ihren Cyberreaktionsplan in einen umfassenden Notfallplan integriert, welcher auch rechtliche und öffentlichkeitswirksame Maßnahmen einschließt. „Um dessen Belastungsfähigkeit zu testen, führen 45 Prozent dieser Unternehmen quartalsweise ,Tabletop’-Übungen oder Audits durch (Deutschland: 48%).“

• 33 Prozent täten dies monatlich, 21 Prozent ein bis höchstens dreimal jährlich (Deutschland: 14%). Unter den befragten kontinentaleuropäischen Ländern liege die Häufigkeit der monatlichen Notfallübungen in Deutschland mit 37 Prozent am höchsten (Spanien: 17%, Frankreich: 20%, Italien: 31%).

Krisenreaktionspläne werden laut Befragung am häufigsten quartalsweise (38%) und monatlich (35%) aktualisiert. In Deutschland lägen diese Werte bei 40 Prozent und 37 Prozent.

Hindernisse im Cyberkrisen-Management

Bei einer deutlichen Mehrheit der Unternehmen seien die erarbeiteten Notfallpläne und -prozesse in Fällen von Cyberkrisen von der Realität auf die Probe gestellt worden: „Insgesamt mussten 36 Prozent im vergangenen Jahr einmal auf einen Cybervorfall mit starken Auswirkungen reagieren – wobei ,stark’ systemweite Folgen und Ausfälle einiger Geschäftsfunktionen bezeichnet, bei ebenfalls 36 Prozent war dies mehrfach der Fall.“ Unter den deutschen Unternehmen hätten 47 Prozent einmal einen „schwerwiegenden Vorfall“ und 28 Prozent mehrere Male gehabt.

• Darüber hinaus seien die Befragten gebeten worden, bis zu drei ihrer Meinung nach größten Hindernisse im Krisenmanagement auszuwählen. Auch hierbei unterschieden sich die deutschen Antworten vom Gesamtdurchschnitt: Während insgesamt „Kommunikationslücken“ (48%), „veraltete Reaktionspläne“ (45%) und „unklare Zuständigkeiten“ (41%) am meisten Zustimmung erhielten, sähen deutsche Unternehmen „zu viele unterschiedliche Tools“ (46%) vor „Kommunikationslücken“ (45%) und „Personalknappheit“ (42%) als „schwerwiegendste Hindernisse“ für ein effektives Krisenmanagement an – „überholte Notfallpläne“ (35%) und „unklare Rollenverteilung“ (24%) rangierten für die deutschen Teilnehmer auf den letzten Plätzen.

„Insgesamt deuten die Ergebnisse darauf hin, dass unter allen teilnehmenden Unternehmen nach wie vor eine Lücke zwischen den wahrgenommenen Verteidigungsfähigkeiten und deren Ausübung im Ernstfall besteht“, erläutert Aleksandra Hochstein, „Area Vice President DACH & Benelux“ bei Semperis. Sie führt abschließend aus: „Möglichkeiten zur Optimierung bestehen demnach vor allem in häufigeren Notfallübungen mit anschließender Aktualisierung der Krisenpläne sowie klaren, einheitlichen Verhaltensregeln in der Krisenkommunikation.“

Weitere Informationen zum Thema:

semperis, 2025
GLOBAL STUDY: The State of Enterprise Cyber Crisis Readiness / Are incident response plans delivering business and operational resilience?

ready1 powered by semperis, 2025
The State of Enterprise Cyber Crisis Readiness

datensicherheit.de, 12.09.2024
NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden / NIS-2 betrifft rund 30.000 Unternehmen in gesellschaftlich wichtigen Geschäftsfeldern wie Energieversorgung, Gesundheitswesen, Verkehr und digitale Infrastruktur

datensicherheit.de, 17.05.2024
Cyber-Risiken: IT-Security-Verantwortliche scheitern oft an der Kommunikation mit der Obersten Leitung / Mehrheit der CISOs (Chief Information Security Officers) in Deutschland und weltweit fühlt sich von der obersten Führungsebene unter Druck gesetzt, die Cyber-Risiken herunterzuspielen