Report 2017 – Teil 1 › content › dam › Deloitte › de › ... · 2020-05-13 · folgenden Gefahren für Unternehmen. Unternehmen geben Auskunft über die Zahl der erfolgten

Cyber-Security Report 2017 – Teil 1: Handlungsauftrag an Politik und Gesellschaft

Cyber-Security Report 2017 – Teil 1 | Handlungsauftrag an Politik und Gesellschaft

03

Vorwort 05

Executive Summary 06

1. Einschätzung der Gefährdung 08

2. Fake News? Mehr als einfach „Lüge“? 12

3. Verantwortlichkeit staatlicher Stellen 14

3.1. Zentralität der staatlichen Verantwortung 14 3.2. Kompetenz staatlicher Stellen 19 3.3. Was fordern die Unternehmen? 22

4. Organisationsbereich Cyber- und Informationsraum 24

Handlungsempfehlungen 26

Ansprechpartner 28

04


05

Die erfolgreiche Digitalisierung von Wirt-schaft und Gesellschaft zählt zu den wich-tigsten Schlüsselfaktoren, um Deutschland als Wirtschaftsstandort auch in Zukunft wettbewerbsfähig und innovativ zu gestal-ten und somit den erreichten Wohlstand zu sichern. Wichtiger Treiber ist dabei vor allem die Steigerung der Produktivität bei gleichzeitiger Individualisierung von Produk-ten und Services. Im Grunde betrifft diese große Umwandlung alle Lebensbereiche und Geschäftsprozesse. In der Produktion wird dies unter dem Schlagwort Industrie 4.0 zusammengefasst. Ein wesentlicher Bestandteil im Gesamtkon-text von digitaler Produktion, integrierten Lieferketten und individualisierten Services für End- und Businesskunden ist die um-fassende Vernetzung der IT-Systeme und Anwendungen. Damit einher geht auch eine neue Bedrohungs- und Gefährdungslage, die durch adäquate Cyber-Security-Maß-nahmen adressiert werden muss. Nur so können Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Prozesse gewährleistet und somit letztendlich der unternehmerische Erfolg gesichert werden. Viele Unternehmen haben bereits umfas-sende Investitionen getätigt und betreiben spezielle Sicherheitsprogramme, um so der rasanten Entwicklung der Gefährdungspo-tenziale entgegenzutreten.

Im Rahmen unserer Cyber-Security-Projekte beobachten wir diese Entwicklung seit vielen Jahren und begleiten unsere Kunden bei der Umsetzung von Lösungen.

Vorwort Im politisch-regulatorischen Umfeld sind in Deutschland in den vergangenen Jahren Strukturen aufgebaut worden, die bereits erfolgreich Initiativen zur Sicherung der deutschen Infrastruktur, der öffentlichen Verwaltung und der Wirtschaft umgesetzt haben. So spielt bspw. das Bundesamt für Sicherheit in der Informationstechnik (BSI) als ein wesentlicher Eckpfeiler an der Schnittstelle zwischen öffentlicher Verwal-tung und der Wirtschaft eine wesentliche Rolle im Zusammenhang mit der Umset-zung des IT-Sicherheitsgesetzes, das die Absicherung der kritischen Infrastruktur für Deutschland im Fokus und für alle wichtigen Sektoren individuelle Verordnungen mit speziellen Maßnahmen erarbeitet hat.

Gemeinsam mit dem Institut für Demosko-pie Allensbach hat Deloitte in diesem Jahr eine insgesamt zum siebten Mal erschei-nende repräsentative Trendstudie durch-geführt, um den Stand der Cyber- Security in Deutschland zu erheben. Es wurden 403 Führungskräfte aus großen und mittleren Unternehmen sowie 103 Abgeordnete aus Länderparlamenten, Deutschem Bun-destag und Europaparlament befragt. Die Ergebnisse der Untersuchung zeigen auf, wie Abgeordnete und Führungskräfte die Gefährdungslage einschätzen, welche Hand-lungsfelder in Unternehmen und staatlichen Einrichtungen bearbeitet werden und wie Entscheider in Deutschland den Stand der getroffenen Maßnahmen einschätzen.

Wie bislang bilden Schwerpunkte der Studie die Einschätzung der Bedrohung

durch Cyber- und IT-Risiken und der daraus folgenden Gefahren für Unternehmen. Unternehmen geben Auskunft über die Zahl der erfolgten Angriffe, die Art der daraus folgenden Schäden und die von ihnen ergriffe nen Maßnahmen.

Wir haben den Fokus der Studie in diesem Jahr um wesentliche Punkte der aktuellen Situation in den Unternehmen und wichtige Fragestellungen aus der gesellschaftlichen und politischen Debatte ergänzt: Institutionelle Verantwortung: Wie greifen Verantwortung von Staat, Wirt-schaft und Gesellschaft für Cyber-Security zusammen?

Schlagwort „Fake News“: Wie groß ist die Gefahr der Manipulation der Meinungsbildung durch falsche Nach-richten oder verfälschte Fakten?

Cyber Board Awareness: Wie stark ausgeprägt ist das Bewusstsein und die Verantwortung der Führungsgre-mien in Unternehmen für Cyber-Security?

Wir haben in dem hier vorliegenden Teil 1 der Studie auf die Verantwortlichkeit staat-licher Stellen abgestellt, während Teil 2 die Gefährdungen und Gegenmaßnahmen in Unternehmen beleuchten wird.

06

Executive Summary Die Ergebnisse der Befragung führen zu den folgenden Kernaussagen:

Einschätzung der GefährdungViele der mit Vernetzung und Nutzung des Internets im Zusammenhang stehenden Gefahren werden von der Mehrheit der Be-fragten als großes Risiko für die Menschen in Deutschland eingestuft. Es wird eine hohe Gefährdung von Unternehmen und Infrastruktur durch Cyber-Angriffe – bei gleichzeitig nicht ausreichender Vorberei-tung – wahrgenommen. Nahezu alle Risiko-kategorien werden von mehr Entscheidern aus der Wirtschaft als „großes Risiko“ eingestuft als von Politikern.

„Fake News“ – Manipulation der Mei-nungsbildung als GefahrEntscheider halten Versuche die Meinungs-bildung zu beeinflussen z.B. im Vorfeld der Bundestagswahl für mehrheitlich wahr-scheinlich und fordern Gegenmaßnahmen. Eine Gefahr gravierender Folgen hieraus wird aber nur von ca. der Hälfte derer gese-hen, die diese Versuche befürchten.

Handlungsauftrag an staatliche StellenEine Mehrheit von Entscheidungsträgern aus Politik und Wirtschaft (60%) plädiert gleichermaßen dafür, dass für die Abwehr von Angriffen, z.B. auf die Infrastruktur eine zentrale staatliche Stelle verantwort-lich sein sollte. Eine gute Mehrheit der Wirtschaftsführer hält eine Unterstützung durch den Staat bei der Abwehr von Cyber-Attacken grundsätzlich für möglich. Den Einsatz eines übergeordneten Warn-systems oder Informationen über neue Angriffsrisiken und Schutzmöglichkeiten sowie direkte Unterstützung im Angriffsfall empfänden sie als einen wertvollen Beitrag der staatlichen Stellen zur Unterstützung der Unternehmen.

Im Widerspruch dazu steht, dass 72 Pro-zent der Befragten aus der Wirtschaft an der entsprechenden Kompetenz dieser staatlichen Stellen zweifeln und nur rund jeder dritte Politiker die Kompetenzen als ausreichend bewertet. In der Konsequenz hieraus stimmen Politiker dafür, diese Eigenkompetenzen der staatlichen Stellen aufzubauen, während die Wirtschaftsver-treter diese auch gerne in Kooperation zwischen Staat und Wirtschaft erweitern wollen.

Regulatorische Anforderungen und KompetenzenTrotz der Einführung der Datenschutz-grundverordnung (DSGVO) und des IT- Sicherheitsgesetzes gibt die Mehrheit der Unternehmensführer an, dass es für ihre Organisation keine regulatorischen An-forderungen im Bereich der Informations-sicherheit gäbe.

Gleichzeitig wird von über drei Vierteln der befragten Unternehmensführer die Kompe-tenz von Politik und Verwaltung angezweifelt, den regulatorischen Rahmen setzen zu können. Selbst Politiker sind von den Kom-petenzen der staatlichen Stellen nicht immer überzeugt und stimmen überwiegend in den Kanon der Zweifler ein. Es bleibt zu untersu-chen, woher diese Zweifel rühren.

Bundeswehr und Cyber-AbwehrDie Gründung des Organisationsbereiches Cyber- und Informationsraum der Bundes-wehr wird nahezu einstimmig begrüßt. In diesem Zusammenhang wird auch die Aus-bildung der Fähigkeit, eigene Cyber-Operatio-nen durchführen zu können, von einer knap-pen Mehrheit der Befragten befürwortet.


07

08

1. Einschätzung der Gefährdung

Viele der hinterfragten Risiken werden von einer Mehrheit der Studienteilnehmer als großes Risiko eingestuft. Hierzu zählen ne-ben individuellen Unsicherheiten, die sich auf den Missbrauch von Daten beziehen, auch kollektive Risiken wie zum Beispiel sol-che durch den Ausfall wichtiger Infrastruk-tureinrichtungen oder die Manipulation der öffentlichen Meinung. Nahezu alle Risiken werden von mehr Entscheidern aus der Wirtschaft als „großes Risiko“ eingestuft als von Politikern.

Die Bewertung von Computerviren und Malware als großes Risiko ist dabei von 57 Prozent 2013 auf 75 Prozent 2017 kontinu-ierlich gestiegen. Bemerkenswert ist auch, dass im vergangenen Jahr nur 27 Prozent der Entscheider einen Zusammenbruch des Stromnetzes als großes Risiko für die Menschen eingestuft hatten. Aktuell steht die mögliche Beeinträchtigung von Infrastruktureinrichtungen durch einen Cyber-Angriff gleichauf mit den Compu-terviren auf Platz eins der am häufigsten genannten Risiken. Ein möglicher Blackout im Kontext eines Cyber-Angriffs auf Infra-struktureinrichtungen insgesamt lässt für die Befragten daraus das Top-Risiko werden.

Weitere Risikobereiche bilden Datenmiss-brauch und Überwachung. Die Einschät-zung der Gefährdung differiert hier – je nachdem, von wem die Gefährdung aus-geht. Der Missbrauch persönlicher Daten wird generell mehrheitlich als großes Risiko gewertet. Jeweils rund zwei Drittel der Be-fragten sehen dies bei dem Diebstahl priva-ter Dateien, dem Datenbetrug im Internet oder der missbräuchlichen Nutzung von persönlichen Daten durch andere Nutzer in sozialen Medien wie z.B. Facebook. Insgesamt sehen 57 Prozent der Studien-teilnehmer Probleme, die sich aus der unerlaubten Weitergabe von Daten durch

Jeweils drei Viertel der Befragten sehen insgesamt ein großes Risiko durch Angriffe auf wichtige Infrastruktureinrichtungen wie z.B. Krankenhäuser oder Stromnetze und durch Computerviren.

Generell lässt sich sagen, dass die Wahrnehmung der Gefährdung gegenüber den Vorjahren gestiegen ist.

Unternehmen ergeben. Politiker schätzen dies mit 66 Prozent in deutlich höherem Anteil als großes Risiko für die Menschen in Deutschland ein als Entscheider aus Unternehmen (55%).

Relativ hohes Vertrauen haben die Befrag-ten in den deutschen Staat: Nur 21 Prozent sehen große Risiken in einer Überwachung z.B. der Internet- oder Telefonverbindungen. Wesentlich problembehafteter wird dage-gen eine mögliche Überwachung der Bürger durch andere Staaten, wie USA oder China eingeschätzt: 54 Prozent der Umfrageteil-nehmer sehen hierin ein großes Risiko.


09

Abb. 1 – Cyber-Risiken für die Gesellschaft nach Risikoeinschätzung von Wirtschaftsführern und Abgeordneten

Datenbetrug im Internet

Manipulation der öffentlichen Meinung durch Fake News

Missbrauch persönlicher Daten durch andere Nutzer in sozialen Netzwerken

Diebstahl von privaten Informationen durch Cyber-Angriffe

Missbrauch persönlicher Daten durch Unternehmen

Überwachung der deutschen Bürger durch andere Staaten

Gefährdung der Privatsphäre durch die Vernetzung von Haustechnik

Cyber-Angriffe auf die Bundeswehr

Gefährdung der Privatsphäre durch die Verbreitung von Drohnen

Überwachung der Bürger durch den deutschen Staat

Lahmlegung wichtiger Infrastruktur-einrichtungen durch Cyber-Angriffe 75

Computerviren 75

68

67

65

64

57

54

51

46

25

21

10

Bezogen auf den Schutz der Privatsphäre empfindet eine knappe Mehrheit (51%) die Vernetzung der Haustechnik als großes Risiko, demgegenüber erkennen dies nur 25 Prozent in der zunehmenden Verbrei-tung von Drohnen.

Dieser Einschätzung der Gefährdungslage steht ein geringes Vertrauen in den Stand der Vorbereitung zur Abwehr entsprechen-der Attacken gegenüber. Nur eine Min-derheit der Entscheider aus Politik und Wirtschaft ist überzeugt, dass Deutschland bestmöglich auf Cyber-Angriffe gegen die kritische Infrastruktur (12%) bzw. staatliche Stellen (14%) vorbereitet ist.

Politiker haben dabei wesentlich weniger Zweifel als Wirtschaftsführer, dass Deutsch-land optimal oder zumindest einigermaßen vorbereitet ist auf mögliche Cyber-Angriffe gegen die kritische Infrastruktur (24% vs. 39%) bzw. staatliche Stellen (28% vs. 50%).

Die Gefahr, die von groß angelegten Hacker-angriffen ausgeht, bewerten 57 Prozent der Befragten als sehr groß und weitere 40 Prozent als groß. Auch hier gibt es Abwei-chungen in der Einschätzung der Befragten aus Politik bzw. Wirtschaft, ob sich Compu-ternetzwerke wirksam schützen lassen: 62 Prozent der Politiker, aber nur 37 Prozent Entscheider aus der Wirtschaft denken, ein wirksamer Schutz ist möglich.

Abb. 2 – Sorge um Infrastruktureinrichtungen Starke Zweifel an der Vorbereitung auf die Abwehr von Cyber-Angriffen.

der Entscheidungsträger sehen die Gefährdung der deutschen Infrastruktur als großes Risiko.

75%der Entscheidungsträger halten die Vorbereitung auf Cyber-Angriffe auf die Infrastruktur für bestmöglich.

12%


11

Bei hoher Gefährdungs-einschätzung ist das Vertrauen in die Schutz-möglichkeiten und in den Stand der Vorbereitung gering.

12

In der Zeit vor der Bundestagswahl wurde die Frage, wie wahrscheinlich und Erfolg ver-sprechend Desinformationskampagnen – umgangssprachlich „Fake News“ – sind, intensiv diskutiert. Dabei wurde deutlich, dass unter diesem Schlagwort viele Phänomene verstanden werden: faktisch falsche Nachrichten, die einseitige oder verkürzte Darstellung von Fakten oder die gefälschte Darstellung des vermeintlichen Absenders einer Nachricht. Dazu kommt die sekundenschnelle Verbreitung durch soziale Medien, die Gegenreaktion und Richtigstellung erschwert. Die Ergebnisse der Befragung spiegeln den Stand dieser öffentlichen Debatte wider.

So sehen 67 Prozent der Befragten in der Manipulation der öffentlichen Meinung durch gefälschte oder irreführende Infor-mationen eine große Gefahr für die Men-schen in Deutschland, 27 Prozent sehen darin ein weniger großes und 6 Prozent ein nur geringes oder kein Risiko.

Von den insgesamt Befragten halten es rund 60 Prozent für wahrscheinlich, dass es Versuche geben wird, die Bundestagswahl durch Falschinformationen oder Hacker-angriffe zu beeinflussen. Die Einschätzung variiert aber zwischen Politikern und Vertretern aus der Wirtschaft: 72 Prozent

aus ersterer Gruppe halten dies für wahr-scheinlich, aber lediglich 58 Prozent der Teilnehmer aus dem privaten Sektor.

Nur von ca. der Hälfte der Befragten, die annehmen, dass es entsprechende Versuche geben wird, wird darin auch eine Gefahr erkannt – so sehen nur 55 Prozent der Politiker hierin eine große Gefahr, die

2. Fake News? Mehr als einfach „Lüge“?

Mehrheit der Führungskräfte aus der Wirt-schaft (52%) schätzt die Gefahr hingegen als gering ein.

Trotzdem fordern rund zwei von drei Befrag-ten, dass mehr gegen Falschmeldungen ge-tan wird, nur ein Drittel ist der Ansicht, dass das bisher Unternommene ausreichend ist.

„Die Debatte zu diesem Thema zeigt viele offene Fragen auf: So ist zum Bespiel die wirkliche Auswir-kung auf die Meinungsbildung durch Fake News sehr schwer messbar. Wichtig ist es, das Bewusstsein dafür zu stärken, dass Nachrichten im Zweifel an-hand verlässlicher Quellen auf ihren Wahrheitsgehalt überprüft werden sollten. Die Falschmeldungen wer-den jedoch häufig direkt in den sozialen Netzwerken verbreitet, ohne dass die Quelle überprüft werden kann. Deshalb ist es erforderlich, die Verbreitung die-ser Informationen durch eine Social-Media-Analyse genau im Auge zu behalten.“

Katrin Rohmann, Public Sector Leader Deloitte


13

Abb. 4 – Es müsste mehr gegen Fake News unternommen werden

4 24 41 31

der Politiker, die Versuche der Einflussnahme als wahrschein-lich betrachten,sehen auch eine Gefahr daraus erwachsen

55%der Führungskräfte bewertet die Gefahr als sehr gering

52%

Politiker

Führungskräfte in Unternehmen 7 34 35 23

Politik und Wirtschaft im Einklang: um einer Manipulation der öffentlichen Meinung durch Fake News vorzubeugen, müsste mehr getan werden.

64%

der Politiker, die Versuche der Einflussnahme als wahrschein-lich betrachten, sehen auch eine große Gefahr daraus erwachsen.

55%der Führungskräfte, die Versuche der Einflussnah-me befürchten, sehen darin eine große Gefahr.

48%

4 24 41 31Politiker

Führungskräfte in Unternehmen 7 34 35 23

Sehr unwahrscheinlich Eher unwahrscheinlich Eher wahrscheinlich Sehr wahrscheinlich

In Prozent der Nennungen;

Nicht abgebildet: Antworten „unentschieden“ und „keine Angabe“.

Abb. 3 – Versuche der Einflussnahme auf Bundestagswahl wahrscheinlich Versuche, auf die Bundestagswahl durch Desinformation und Hackerangriffe Einfluss zu nehmen, werden für wahrscheinlich gehalten aber die Gefahr wird unterschiedlich bewertet.

14

1 BMWi, BMI, BMVI (2014): Digitale Agenda 2014–2017, August 2014. 2 BMI (2014): Digitale Verwaltung 2020, September 2014.

3 Der Beauftragte der Bundesregierung für Informationstechnik (2017): IT-Strategie der Bundesverwaltung, 2017–2021 und IT-Rat (2017): Beschluss Nr. 2017/6, 19.01.2017.

4 BMI (2016): Cyber-Sicherheitsstrategie für Deutschland 2016, November 2016.

3. Verantwortlichkeit staatlicher Stellen

3.1. Zentralität der staatlichen Verantwortung Die Verantwortlichkeit für die verschiede-nen Aspekte der Cyber-Sicherheit Deutsch-lands ist gegenwärtig entsprechend der regulatorisch zugeschriebenen Aufgaben-felder auf verschiedene staatliche Akteure verteilt. Für die jeweiligen Verantwortungs-bereiche wurden Strategien erarbeitet und Programme implementiert, die die jeweili-gen Aufgaben und Ziele der verschiedenen Akteure zur Gewährleistung der Cyber-Si-cherheit in Deutschland festschreiben.

Die Digitale Agenda der Bundesregierung1 legt die Grundlagen für die Verwaltung der Zukunft. Mit der Umsetzung der Digitalen Agenda sollen Sicherheit und Schutz im Netz so hergestellt werden, dass die Digitalisierung ihr volles Potenzial für Ge-sellschaft und Wirtschaft in Deutschland entfalten kann.

Das Regierungsprogramm Digitale Verwal-tung 20202 zielt darauf ab, die Potenziale der Digitalisierung zu steigern sowie effek-tiver, transparenter, effizienter, barrierefrei-er, bürger- und unternehmensfreundlicher zu machen. Das Programm soll langfristig die Agilität der Verwaltung, die Finanzier-barkeit und auch die Sicherheit der Infor-mationstechnik des Bundes sichern.

Die IT-Strategie der Bundesverwaltung3 de-finiert ressortübergreifende strategische Ziele und Handlungsfelder für die IT der Bundesverwaltung. Diese strategischen Ziele wirken auf die IT-Steuerung und -Kon-solidierung des Bundes. Zur Erreichung derselben wurden zentrale Handlungs-felder definiert, darunter der Ausbau der Informationssicherheit und die Verbesse-rung von Datenschutz in bestehenden und neuen IT-Systemen der Bundesverwaltung.

Die Cyber-Sicherheitsstrategie für Deutschland 20164 schreibt die Sicher-heitsstrategie von 2011 fort und setzt res-sortübergreifende Rahmenbedingungen für die Aktivitäten der Bundesregierung mit Verbindung zur Cyber-Sicherheit. Bundesländer und Wirtschaft wurden bei der Entwicklung mit einbezogen. Die Strategie gibt Handlungsfelder vor, die den ressortgemeinsamen, gesamtstaatlichen Ansatz betonen:

1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

2. Gemeinsamer Auftrag Cyber-Sicherheit von Staat und Wirtschaft

3. Leistungsfähige und nachhaltige gesamt-staatliche Cyber-Sicherheitsarchitektur

4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik


15

Die Cyber-Sicherheit Deutschlands wird durch verschiedene staatliche Akteure ge-steuert. Die folgende Abbildung zeigt einige dieser Akteure die staatlichen Institutionen auf Bundesebene.

Der Deutsche Bundestag hat mit dem Ausschuss Digitale Agenda ein ständiges Gremium geschaffen, welches sich netzpo-litischen Themen widmet. Fachübergrei-fend werden hier die Digitalisierung und Vernetzung diskutiert sowie die Weichen für den digitalen Wandel gestellt.

5 BMVg (2016): Weißbuch zur Sicherheitspolitik Deutschlands und zur Zukunft der Bundeswehr, Juni 2016. 6 Strategische Leitlinie Cyber Verteidigung, IT-Strategie für den Geschäftsbereich BMVg, Strategische Leitlinie Digitalisierung im Geschäftsbereich BMVg.

Das Bundeskanzleramt und die Bundes-ministerien gestalten als oberste Bundes-behörden die digitalen Leitlinien in ihrem Ressort und teils auch ressortübergreifend. Die Bundesregierung hat das Thema Cyber-Sicherheit zur Chefsache gemacht. BMI, BMVI sowie BMWi spielen hierbei eine zentrale Rolle, unter anderem teilten sie sich die gemeinsame Federführung für die Umsetzung der Digitalen Agenda.

Abb. 5 – Auswahl staatlicher Akteure zur Cyber-Sicherheit auf Bundesebene

Bundestag und Ausschuss

Deutscher Bundestag Ausschuss Digitale Agenda

Bundeskanzleramt und -ministerien

Behörden mit Aufgabenbereich Cyber-Sicherheit

Nachrichtendienste des Bundes

Polizeien des Bundes und ZKA

Bundesamt für Be-völkerungsschutz und Katastrophenhilfe

Bundesamt für Sicherheit in der Informationstechnik

Zentrale Stelle für Informationstechnik im Sicherheitsbereich

Bundesamt für Be-völkerungsschutz und Katastrophenhilfe

Kommando Cyber-und Informations-raum

Bundesamt für Sicherheit in der Informationstechnik

Zentrale Stelle für Informationstechnik im Sicherheitsbereich

Bundesministerium für Bildung und Forschung

Bundesministerium der FInanzen

Bundesministerium für Verkehr und digitale Infrastruktur

Bundesministerium der Justiz und für Verbraucherschutz

Militärischer Abschirmdienst

Bundesamt für Verfassungsschutz

Bundesnachrichten-dienst

Militärischer Abschirmdienst

Bundesamt für Verfassungsschutz

Bundesnachrichten-dienst

Bundesministerium des Inneren

Bundesministerium für VerteidigungBundeskanzleramt Auswärtiges Amt

ZollkriminalamtBundeskriminalamt Bundespolizei

ZollkriminalamtBundeskriminalamt Bundespolizei

Bundesministerium für Wirtschaft und Energie

Bundesministerium für Bildung und Forschung

Bundesministerium der FInanzen

Bundesministerium für Verkehr und digitale Infrastruktur

Bundesministerium der Justiz und für Verbraucherschutz

Bundesministerium des Innern

Bundesministerium der VerteidigungBundeskanzleramt Auswärtiges Amt Bundesministerium

für Wirtschaft und Energie

Das Weißbuch zur Sicherheitspolitik Deutschlands und zur Zukunft der Bun-deswehr5 formuliert die sicherheitspoliti-schen Leitlinien der nahen Zukunft. Darin werden insbesondere der Ausbau von Fä-higkeiten zur Konsolidierung und Härtung der Sicherheitsarchitektur des IT-Systems der Bundeswehr und die Stärkung der Resilienz gefordert. Weitere strategische Dokumente6 des Geschäftsbereichs ergän-zen das Weißbuch und nennen Leitlinien zur Entwicklung und Umsetzung der Cyber-Verteidigung.

16

Bundesministerium des Innern (BMI)Das Bundesministerium des Innern ist für Cyber-Sicherheit zuständig und setzt hier einen wesentlichen Schwerpunkt. Mit zahlreichen Maßnahmen hat es den Schutz und die Sicherheit im Netz gestärkt. Die Verantwortung über die Bekämpfung von Cyber-Kriminalität, -Spionage und -Terroris-mus liegen im Geschäftsbereich des BMI.

Bundesministerium für Verkehr und digitale Infrastruktur (BMVI)Das Bundesministerium für Verkehr und digitale Infrastruktur verantwortet die flächendeckende Verfügbarkeit moderner Breitbandnetze und somit auch die Ge-währleistung ihrer Sicherheit.

Bundesministerium für Wirtschaft und Energie (BMWi)Das Bundesministerium für Wirtschaft und Energie verantwortet konkrete Maßnah-men zur Stärkung der digitalen sowie der vernetzten Wirtschaft und Gesellschaft. Es treibt die Stärkung der IT-Sicherheitswirt-schaft voran und fördert das Bewusstsein für IT-Sicherheit bei Unternehmen.

Die ressortübergreifende Zusammenar-beit innerhalb der Bundesregierung und zwischen Staat und Wirtschaft wird auch durch die Arbeit des Cyber-Sicherheitsrats deutlich. Seine Arbeit ist ein wichtiger Beitrag zur Cyber-Sicherheitsstrategie für Deutschland, seine Aufgabe ist es, auf einer politisch-strategischen Ebene zwischen Staat und Wirtschaft präven-

tive Maßnahmen und übergreifende politische Ansätze für Cyber-Sicherheit zu betrachten. Der Cyber-Sicherheitsrat tagt dreimal jährlich unter dem Vorsitz des Beauftragten der Bundesregierung für die Informationstechnik (BfIT).

Behörden mit Aufgabenbereich Cyber-Si-cherheit (BSI, ZITiS, BBK, Kdo CIR) bündeln das technische Know-how mit Cyber-Bezug und haben die Aufgabe, IT-Sicherheitsvor-fälle schnell und umfassend zu bewerten, Handlungsempfehlungen zu erarbeiten sowie die ressortübergreifende nationale und internationale Zusammenarbeit sicherzustellen.

Bundesamt für Sicherheit in der Informationstechnik (BSI)Das Bundesamt für Sicherheit in der In-formationstechnik gehört zum Geschäfts-bereich des BMI und ist die nationale Cyber-Sicherheitsbehörde. Sie ist unabhän-gige und neutrale Stelle für Fragen der Cy-ber-Sicherheit aus Wirtschaft, Gesellschaft und Bundesverwaltung. Ziel des BSI ist die präventive Förderung der Cyber-Sicherheit. Die Aufgaben des BSI sind komplex und vielschichtig. Dazu zählen:

• Schutz der Netze des Bundes, Erkennung und Abwehr von Angriffen auf die Regie-rungsnetze

• Prüfung, Zertifizierung und Akkreditie-rung von IT-Produkten und -Dienstleis-tungen

• Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen

• IT-Sicherheitsberatung für die Bundes-verwaltung und andere Zielgruppen

• Information und Sensibilisierung der Bürger für das Thema IT- und Internet- Sicherheit

• Entwicklung einheitlicher und verbindli-cher IT-Sicherheitsstandards

• Entwicklung von Kryptosystemen für die IT des Bundes

Das BSI ist federführend für das Nationale Cyber-Abwehrzentrum (NCAZ). Dieses Zentrum ist eine Kooperationseinrichtung deutscher Sicherheitsstellen auf Bundese-bene und hat die Abwehr elektronischer Angriffe auf die IT-Infrastrukturen der Bundesrepublik Deutschland als auch der Wirtschaft als zentrale Aufgabe. Das Bundesamt für Verfassungsschutz (BfV) sowie das Bundesamtes für Bevölkerungs-schutz und Katastrophenhilfe (BBK) sind direkt beteiligt. Das Bundeskriminalamt (BKA), der Bundesnachrichtendienst (BND), die Bundespolizei (BPol), der Militärische Abschirmdienst der Bundeswehr und das Zollkriminalamt wirken indirekt mit.

Bei Fragen der Cyber-Sicherheit sind verschie-dene Akteure auf Bundesebene mit Aufgaben-stellungen betraut. Daneben kümmern sich z.B. in den Bundesländern Polizei, Landesämter für Verfassungsschutz und Landeskriminalämter um Cyber-Kriminalität.


17

Zentrale Stelle für Informationstech-nik in Sicherheitsbereichen (ZITiS)Die Zentrale Stelle für Informationstechnik in Sicherheitsbereichen gehört zum Geschäftsbereich des BMI. Die Behörde versteht sich als Dienstleister der Sicher-heitsbehörden in Deutschland und bün-delt das technische Know-how. Sie handelt auf Bedarf der Sicherheitsbehörden und entwickelt Werkzeuge und Lösungen, die für die Aufgabenerfüllung derselben unverzichtbar sind.

Kommando Cyber- und Informations-raum (Kdo CIR)Das Kommando Cyber- und Informations-raum ist eine höhere Kommandobehörde und trägt die operationelle Durchfüh-rungsverantwortung für die Informations-sicherheit in der Bundeswehr. Mit einem gemeinsamen Lagezentrum CIR stellt das Kommando ein fusioniertes Lagebild des Cyber- und Informationsraums für die Bun-deswehr und auch für weitere Ressorts zur Verfügung.

Die Nachrichtendienste des Bundes (BfV, BND, MAD) haben die Befugnis und die technischen Möglichkeiten, Datenverkehre strategisch zu erfassen und dadurch Gefahren für und Angriffe auf deutsche Netzwerke und Computer rechtzeitig zu erkennen und erfolgreich zu verhindern.

Die Polizeien des Bundes (BPol, BKA) und das Zollkriminalamt haben leistungsfähige Analyse- und Auswertesysteme aufgebaut. Sie befassen sich mit den Erscheinungsfor-men der Cyber-Kriminalität, führen Ermitt-lungsverfahren durch und koordinieren nationale sowie internationale Aktivitäten.

18

Sowohl die befragten Politiker als auch Wirtschaftsführer plädieren mehrheitlich für eine zentrale Stelle, bei der die Verant-wortung für die Abwehr von Cyber-Angriffen, z.B. auf die Infrastruktur gebündelt ist.

Der Wunsch nach Zentralität und Bünde-lung scheint daher trotz aller bereits be-gonnenen und umgesetzten Maßnahmen weiterhin zu bestehen.

Abb. 6 – Wunsch nach Zentralisierung

Politiker

Führungskräfte in Unternehmen 60

62

Politik und Wirtschaft im Einklang: Wunsch nach einer zentralen Stelle zur Abwehr von Cyber-Angriffen.

60%

„In Gesprächen mit Wirtschaftsvertretern wird häufig der Wunsch geäußert, dass es eine klar definierte Anlaufstelle geben sollte, wenn im Unternehmen eine Cyber-Attacke festge-stellt wird. In der Regel sind die Motivation des Angreifers und die Kritikalität eines Angriffs im ersten Moment nicht ersichtlich. Von dieser Ein-schätzung hängt aber häufig ab, welche staatli-chen Stellen eingebunden werden sollten.“

Peter J. Wirnsperger, Cyber Risk Leader Deloitte

In Prozent der Nennungen, Antwort „Eine zentrale Stelle“


19

3.2. Kompetenz staatlicher StellenVon der Kompetenz in den staatlichen Stel-len, die für den Schutz vor Cyber-Angriffen zuständig sind, sind die Befragten nicht überzeugt.

Fast zwei Drittel der Politiker und fast drei Viertel der Führungskräfte aus der Wirt-schaft haben Zweifel daran, dass die staat-lichen Stellen, die derzeit für den Schutz vor Cyber-Angriffen zuständig sind, über ausreichend Fachkompetenz verfügen.

Neben der Unterstützung bei der Abwehr konkreter Attacken besteht eine wesent-liche Aufgabe des Staates und seiner Institutionen auch in der Schaffung eines effektiven regulatorischen Rahmens.

Auffallend ist, dass die befragten Ent-scheidungsträger aus der Wirtschaft überwiegend davon ausgehen, dass es für ihr Unternehmen keine regulatorischen Anforderungen an die IT-Sicherheit gibt. 58 Prozent dieser Gruppe sind dieser Meinung.

Abb. 7 – Zweifel an staatlicher Kompetenz zur Abwehr von Angriffen

Nur rund jeder dritte Politiker bewertet die staatliche Kompetenz zur Abwehr von Angriffen als ausreichend.

37%der Führungskräfte bezweifelt das.

72%

AusreichendeFachkompetenz

Habe Zweifel

37 23

61 72

In Prozent der Nennungen

Politiker Führungskräfte in Unternehmen

20

37585

30637

46522

31636

37602

47503

24706

Insgesamt

Führungskräfte in Unternehmen

mit Zuständigkeit für IT-Bereich

aus Dienst-leistungssektor

aus produzieren-dem Gewerbe

aus Handel

unter 250 Mitarbeiter

ab 250 Mitarbeiter

Abb. 8 – Mangelndes Wissen um den regulatorischen Rahmen Gesetzliche Anforderungen im Bereich IT-Sicherheit sind überwiegend nicht bekannt.

Viele bestehende Einzelregelungen wie z.B. zum Datenschutz oder das IT-Sicherheits-gesetz werden anscheinend durch die Ent-scheidungsträger nicht als regulatorischer Gesamtrahmen wahrgenommen.

Auch wenn es um die Schaffung dieser gesetzlichen Rahmenbedingungen geht, bestehen Zweifel an der Kompetenz staatlicher Stellen. Gut drei Viertel der Wirtschaftsführer, aber auch fast zwei Drit-tel der Politiker zeigen sich hier skeptisch.

Unter denjenigen, die Zweifel an staatlicher Kompetenz zur Abwehr von Cyber-Attacken hegen, gehen die Lösungsvorschläge aus-einander. 75 Prozent der Politiker plädieren für eine Stärkung der staatlichen Kompe-tenzen in diesem Bereich. Eine Mehrheit der Führungskräfte der Wirtschaft setzt demgegenüber auf verstärkte Kooperation zwischen Unternehmen und staatlichen Stellen.


Weiß nicht Es gibt keine Es gibt gesetzliche regulatorische Anforderungen


21

56%

11 14 75

19 37 44

Politiker


der Führungskräfte setzen auf Kooperation zur Stärkung und Ergänzung der staatlichen Kompetenz.

56%

der Politiker teilen diese Meinung.

62%der Führungskräfte in der Wirtschaft halten die Fachkompetenz in Politik und Verwaltung für die Schaffung gesetzlicher Rahmenbedingungen für nicht ausreichend.

77%Abb. 9 – Fachkompetenz für regulatorische Rahmenbedingungen Fachkompetenz von Politik und Verwaltung für die Schaffung regulatorischer Rahmenbedingungen wird bezweifelt.

Abb. 10 – Stärkung der staatlichen Kompetenz zur Abwehr von Cyber-Attacken Wirtschaft und Politik haben einen unterschiedlichen Blick auf die Lösung des Problems.


Sowohl als auchKooperation mit Unternehmen der freien WirtschaftFachkompetenz in staatlichen Stellen aufbauen

22

3.3. Was fordern die Unternehmen?Dass der Staat Unternehmen wirkungsvoll bei der Abwehr von Cyber-Angriffen un-terstützen kann, wird dagegen von einer Mehrheit sowohl der Politiker als auch der Führungskräfte in den Unternehmen für wahrscheinlich gehalten.

Unter denen, die hier wirkungsvolle Möglichkeiten sehen, würden rund drei Viertel ein staatliches Warnsystem vor Cyber-Angriffen für ein gutes Instrument halten. Knapp zwei Drittel wünschen Informationen, um über neue IT-Risiken und Schutzmöglichkeiten auf dem Lau-fenden zu bleiben, und 60 Prozent der Unternehmen wollen unmittelbar bei der Abwehr eines Cyber-Angriffs unterstützt werden. Diese konkrete Hilfe wünschen sich überdurchschnittlich häufig Unterneh-men mit weniger als 1000 Mitarbeitern, die oftmals über eine knappere Ausstattung an Mitarbeitern im Bereich der IT-Security verfügen.

Die gewünschte Hilfe staatlicher Stellen soll also genau in die Bereiche fließen, in denen die Unternehmen bislang Schwachstellen in der eigenen Aufstellung beim Schutz vor Cyber-Attacken sehen. So gaben beispiels-weise 58 Prozent der Führungskräfte an, nicht genau zu wissen, welche Arten von Angriffen es aktuell in ihrer Branche gibt. 74 Prozent wünschen sich Warnungen im Falle eines Angriffs.

Einige Befragte nennen neben den vorge-gebenen Antwortmöglichkeiten spontan auch, dass der Staat gesetzliche Vorschrif-ten erlassen sowie Standards und Pflichten verbindlich definieren solle.

Abb. 11 – Praktische Hilfe durch den StaatKnappe Mehrheit hält Unterstützung des Staates beim Schutz vor IT-Angriffen für möglich.

In Prozent der Nennung

Politiker


61 37

53 45

Schutz vor Cyber-AngriffenVertrauen in die Möglichkeit staatlicher Unterstützung bei Politikern stärker als in der Wirtschaft.

Zweifel an Unter-stützungsmöglichkeit

Unterstützung möglich


23

Schutz vor Cyber-AngriffenWenn eine wirkungsvolle Unterstützung durch den Staat möglich erachtet wird, sollte sie sich auf folgende Bereiche beziehen:

74

62

60

11

Staatliches Warnsystem bei Cyber-Angriffen

Informationen über neue IT-Risiken oder Schutzmöglichkeiten

Unterstützung bei der Abwehr eines Cyber-Angriffs

Andere Angaben

In Prozent der Nennung, die eine wirkungsvolle Unterstützung für möglich halten.

Aus den Ergebnissen der Studie lässt sich ableiten, dass der Schutz der Infrastruktur, aber auch die Unterstützung der Unterneh-men bei der Abwehr von Cyber-Attacken von den Befragten auch als hoheitliche Aufgabe verstanden wird. Sowohl die Entscheidungsträger aus der Wirtschaft als auch Politiker wünschen mehrheitlich, dass diese Aufgabe zentralisiert wahrgenom-men wird.

Nach Meinung der Befragten muss die Kompetenz der staatlichen Stellen für diese Aufgaben weiter ausgebaut werden. Dies betrifft sowohl die Schaffung regula-torischer Rahmenbedingungen als auch die Unterstützung bei der Abwehr von Angriffen. Die Unternehmen sehen Koope-rationen zwischen privater Wirtschaft und staatlichen Stellen als wichtigen Beitrag zur Stärkung der Kompetenz und letztlich zur Erhöhung der Sicherheit. Aufgabe der Politik wird es sein, hierfür effektive und sichere Rahmenbedingungen zu schaffen.

Abb. 12 – Möglichkeiten staatlicher HilfeStaatliche Unterstützung beim Schutz vor Cyber-Angriffen auf mehreren Ebenen sinnvoll.

„Neben den Forderungen zur Zusammenarbeit mit staatlichen Stellen muss das Thema Cyber- Sicherheit noch intensiver in der Führungsebene von Unternehmen verankert werden. Die Ge-schäftsleitung beschäftigt sich zwar mit den Risiken aus Cyber- Angriffen, dies aber häufig anlassbezogen. Oftmals fehlt eine Strategie und das ausreichende Verständnis für die Kritikalität und der möglichen Auswirkung für ihr Unternehmen.“ Peter J. Wirnsperger, Cyber Risk Leader Deloitte

24

4. Organisationsbereich Cyber- und Informationsraum

Die Bundeswehr hat zum April 2017 einen neuen Bereich aufgestellt. Der Organisati-onsbereich Cyber- und Informationsraum (OrgBer CIR) ergänzt die bisherigen militärischen Organisationsbereiche und ist gleichberechtigt zur Streitkräftebasis, dem Zentralen Sanitätsdienst sowie zu den drei Teilstreitkräften Heer, Marine und Luftwaffe. Die Aufgaben des OrgBer CIR gehen über den Schutz der IT-Systeme der Bundeswehr hinaus und umfassen auch die Beteiligung am Schutz kritischer Infra-strukturen, den Aufbau eines Cyber-Lage-bildes, die Durchführung von Cyber-Opera-tionen, das Erkennen von Propaganda und Desinformation sowie die Teilhabe an der Meinungsbildung im Informationsraum.

Neben den eingangs beschriebenen all-gemeinen Risiken erkennen die Befragten auch eine Gefährdung der Bundeswehr. So sehen 46 Prozent der Studienteilnehmer es als ein großes Risiko an, dass durch einen Cyber-Angriff militärische Geheimnisse gestohlen werden oder die Einsatzfähigkeit der Bundeswehr beeinträchtigt wird.

Die überwiegende Mehrheit der Befragten aus Politik und Wirtschaft findet die Grün-dung des Organisationsbereiches CIR sehr wichtig.

In der Frage, ob Deutschland selbst in der Lage sein sollte, Cyber-Angriffe durchzufüh-ren, zeigen sich Politiker und Wirtschafts-führer gespalten. Nur jeweils knappe Mehr-heiten votieren für die Schaffung solcher Fähigkeiten. Bei den Politikern gehen die Meinungen entlang der Parteizugehörigkeit auseinander.

Diejenigen, die sich für die Schaffung von Angriffsfähigkeiten aussprechen, halten deren Einsatz mit jeweils großer Mehrheit

für gerechtfertigt, um Gruppen zu attackie-ren, die ihrerseits Cyber- Angriffe gestartet haben, zur allgemeinen Auf deckung von Straftaten wie organi sierter Kriminalität und Terrorismus, aber auch, um im Ausland Informationen zu beschaffen, die für die Sicherheit und den Schutz des Landes wichtig sind. Auf große Zustimmung stößt die Simulation von Cyber-Angriffen durch staatliche Stellen, um die Sicherheit der Computernetzwerke im Land zu überprüfen.

„Das Meinungsbild der Umfrage und unsere Diskussionen mit Entscheidungsträgern in staatlichen Institutionen zeigen viele offene Fragen: Das betrifft Bereiche des nationalen und internationalen rechtlichen Rahmens, aber auch die Frage der Zuordnung von Verantwort-lichkeiten und die Legitimation für die Durch-führung eigener Cyber-Operationen innerhalb unserer demokratischen gesellschaftlichen Struktur.“

Katrin Rohmann, Public Sector Leader Deloitte

Weniger wichtig4%

Wichtig27%

Sehr wichtig68%

Gar nicht wichtig1%

halten CIR für einen wichtigen bis sehr wichtigen Schritt.

95%


25

Abb. 13 – Organisationsbereich Cyber- und Informationsraum der BundeswehrKlare Mehrheit für die Gründung eines eigenen Organisationsbereichs, der sich mit Cyber-Attacken und deren Abwehr beschäftigt.

Abb. 14 – Offensiven Operationen gegen Cyber-AngriffeZustimmung zu offensiven Operationen abhängig von deren Zielsetzung.

In Prozent der Nennung

In Prozent der Nennung Antwort „Wirkungsvolle Unterstützung möglich“

sind Cyber-Angriffe seitens des deutschen Staates gerechtfertigt, wenn Gruppen attackiert werden,die selbst Cyber-Angriffe starten.

Für

89%

sind Cyber-Angriffe seitens des deutschen Staates gerecht-fertigt, wenn Gruppen attackiert werden, die selbst Cyber-Angriffe starten.

89%

Attackieren von Gruppen, die selbst Cyber-Angriffe starten

Aufdeckung von Straftaten wie organisierter Kriminalität

und Terrorismus

Beschaffung von Informationen aus dem Ausland zum Schutz und

zur Sicherheit Deutschlands

Beschaffung anderer Informationen aus dem Ausland

89

88

75

26

Weniger wichtig4%

Wichtig27%

Sehr wichtig68%

Gar nicht wichtig1%

halten CIR für einen wichtigen bis sehr wichtigen Schritt.

95%

26

1. Bisherige begriffliche Abgrenzungen wie innere und äußere Sicherheit, zwischen kriminellen Handlungen, Radikalismus, Terrorismus und Krieg greift im Cyber- Raum nicht mehr. Besonders vor dem Hintergrund ist das Verständnis über die Verteilung zwischen privater und staatlicher Verantwortung bei Schutz und Abwehr von Cyber-Angriffen zu schärfen. Denn auch Angriffen kann eine Motivation zugrunde liegen, die über die wirtschaftliche Schädigung des Angegriffenen hinaus geht. Für diese Abgrenzungen müssen in der nationalen Debatte Positionen gefunden und in die internationale Diskussion dieser Fragen eingebracht werden.

2. Einem Großteil der befragten Führungs-kräfte sind die jeweiligen Aufgaben und bestehenden Maßnahmen der verschie-denen staatlichen Stellen, die sich mit Cyber-Abwehr beschäftigen, nicht klar. Die Aufgabenzuordnung innerhalb des öffentlichen Sektors wird nicht erkannt. Eine fortgesetzte gezielte Aufklärung über den Status quo der staatlichen Cyber-Abwehr erscheint notwendig. Eine zentrale Anlaufstelle wird gewünscht und erachten wir ebenfalls als zielführend. Dabei könnten die vorhandenen Struktu-ren genutzt und ausgebaut werden.

Handlungs-empfehlungen

3. Angesichts einer von den Befragten wahrgenommenen steigenden Gefähr-dung bei gleichzeitig schnell veränder-lichen Risiken ist ein umfassenderer und effizienterer Austausch zwischen privatem und öffentlichem Sektor über Cyber-Security in Deutschland unerläss-lich. Ziel sollte es sein, die strategischen Weichenstellungen aber auch operative Abwehrmaßnahmen schnell und wirk-sam auf die aktuellen Bedrohungen anzupassen.

4. Die Kompetenzen zur Organisation der Cyber-Security aus Wirtschaft und staat-lichen Stellen sollte gebündelt werden. Die Wirtschaft signalisiert die Bereit-schaft, sich hierbei aktiv einzubringen. Neue flexible und innovative Formen dieser Kooperation müssen entwickelt werden.

5. Die Weiterentwicklung von Regulierung sollte Aspekte der Selbstregulierung der Wirtschaft und einzelner Branchen mit regulatorischen staatlichen Vorgaben kombinieren. Standardisierungen von Sicherheitsmaßnahmen sollten in ein europäisches oder globales Rahmenwerk eingebettet sein und mit Bezug auf die Einschätzung der Kritikalität von Bedro-hungen und erfolgreichen Cyber-Attacken den Austausch und die Einleitung von Abwehrmaßnahmen unterstützen.

Diese Veröffentlichung enthält ausschließlich allgemeine Informationen, die nicht geeignet sind, den besonderen Umständen des Einzelfalls gerecht zu werden, und ist nicht dazu bestimmt, Grundlage für wirtschaftliche oder sonstige Entscheidungen zu sein. Weder die Deloitte GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited, noch ihre Mitgliedsunternehmen oder deren verbundene Unternehmen (insgesamt das „Deloitte Netzwerk“) erbringen mittels dieser Veröffentlichung professionelle Beratungs- oder Dienstleistungen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Veröffentlichung erlitten hat.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), eine „private company limited by guarantee“ (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch „Deloitte Global“ genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf www.deloitte.com/de/UeberUns.

Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kunden bei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters – für rund 263.900 Mitarbeiter von Deloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich.

Stand 10/2017

Peter J. WirnspergerCyber Risk Leader Tel: +49 (0)40 32080 4675 [email protected]

Ansprechpartner

Katrin RohmannPublic Sector Leader Tel: +49 (0)30 25468 [email protected]

Documents

Report 2017 – Teil 1 › content › dam › Deloitte › de › ... · 2020-05-13 · folgenden Gefahren für Unternehmen. Unternehmen geben Auskunft über die Zahl der erfolgten