Secure by Design: Wie man Sicherheitslücken in der digitalen Transformation schließt

Sicherheit nach Plan: Wie man Sicherheitslücken in der digitalen Transformation schließt
Das globale Netzwerk BDO veranstaltete ein Webinar zum Thema „Secure by design: Schließung der Sicherheitslücken bei der digitalen Transformation“, das sich mit der Integration von Cybersicherheit in digitale Initiativen und dem Risikomanagement von GenAI befasste. 

In Zusammenarbeit zwischen BDO und dem internationalen Marktanalyseunternehmen IDC (International Data Corporation) wurden praktische Informationen über den aktuellen Stand der Sicherheit und Transformation zusammengestellt.

Zu den Referenten gehörten Vertreter des BDO-Netzwerks: Wayne Anderson (Geschäftsführer für Cybersicherheit, BDO USA), Brad Storan (Leiter Offensive Security und DFIR, BDO Großbritannien) und Jason Gottschalk (Partner für Cybersicherheit, BDO Großbritannien) teilten ihre Erkenntnisse zur Bereitschaft von Unternehmen im Hinblick auf Cyberbedrohungen.  Sie besprachen die aktuellen Herausforderungen bei der Einführung künstlicher Intelligenz (KI) und praktische Strategien zur Verbesserung der Cyberresilienz.

Umfang und Methodik der IDC-Studie
Die IDC-Studie umfasste sieben Länder – Kanada, die USA, Großbritannien, Australien, Deutschland, die Niederlande und Belgien – und bezog Vertreter aus 15 verschiedenen Branchen ein, in denen Unternehmen mit 100 bis über 5.000 Mitarbeitern tätig sind. Im Rahmen der Studie wurden 411 Teilnehmer befragt, die alle Verantwortung oder Einfluss auf Fragen der Cybersicherheit in ihren Unternehmen haben, was eine hohe Repräsentativität und praktische Relevanz der Ergebnisse gewährleistet.

Was hat die IDC-Studie zur Cyber-Bereitschaft ergeben?
Im Fokus steht das IDC-Whitepaper „Cybersecurity Readiness and the Age of Digital Transformation” (Juli 2025), das auf der Grundlage einer Umfrage unter Befragten in sieben Ländern (411 Teilnehmer aus verschiedenen Branchen) erstellt wurde. Zu den wichtigsten Ergebnissen gehören:
  • Nur 40 % der Unternehmen integrieren Cybersicherheit bereits in der Planungsphase digitaler Veränderungen, was häufig zu Verzögerungen und Störungen bei der Umsetzung führt.
  • Gleichzeitig haben 31 % der Unternehmen bereits Richtlinien für die Nutzung von GenAI eingeführt, was darauf hindeutet, dass die Geschwindigkeit der Innovation die angemessene Risikosteuerung übertrifft.
  • Von den 81 % der befragten Unternehmen, die ihre Budgets für Cybersicherheit als ausreichend oder besser bewerten, fühlen sich nur 26 % „sehr sicher” in Bezug auf ihre Bereitschaft für Cyberbedrohungen.
  • In solchen Unternehmen werden mehr als fünf Vorfälle pro Jahr registriert, was unterstreicht, dass nicht die Höhe der Ausgaben, sondern der Grad der operativen Bereitschaft der entscheidende Faktor ist.

Generative KI: ihre Schattennutzung und Angriffssimulationen
Die Referenten haben die wichtigsten Risiken von GenAI umrissen und zwei Schlüsselbegriffe definiert – Shadow AI und AI Red Teaming –, die für Unternehmen heute von besonderer Bedeutung sind. Shadow AI bezeichnet die Verwendung von KI-Tools und -Modellen ohne offizielle Genehmigung, angemessene Verwaltung und Kontrollen, was trotz Produktivitätssteigerungen erhebliche Risiken für die Sicherheit und Compliance mit sich bringt.

Gleichzeitig wird AI Red Teaming als wirksame Antwort auf diese Herausforderungen angesehen: Durch das Testen und Simulieren böswilliger Szenarien können Unternehmen Schwachstellen in KI-Systemen aufdecken und die Sicherheit ihrer Implementierung erhöhen.

Als Beispiel für diesen Trend wurden Daten aus Studien von Anfang 2024 angeführt: 78 % der Nutzer integrieren „ihre eigene KI” in ihre Arbeitsprozesse.
  • 31 % der Unternehmen haben bereits Richtlinien für die Nutzung von GenAI durch Mitarbeiter eingeführt.
  • Laut der Umfrage sind 77 % der Unternehmen über das Risiko von Prompt Injection besorgt, weitere 11 % sind „sehr besorgt”.
  • Für GenAI-Lösungen ist es wichtig, AI Red Teaming und Tests nach Praktiken wie OWASP Top 10 für LLM einzuführen.

Infographic about security issues when implementing artificial intelligence (AI) in organisations: 80%25+ of managers consider confidential data leaks to be the main threat; 78%25 of employees use shadow AI (BYOAI) at work; 77%25 of companies are concerned about new vulnerabilities and attacks, including prompt injection; 55%25 of executives do not fully understand AI regulations and need compliance recommendations. Data from ISMG, Microsoft, LinkedIn, and Gartner research.
 
Praktische Schritte, die Ihnen helfen, Ihre Ausgaben in echte Bereitschaft umzuwandeln
  1. Risikoorientierte Investitionen (threat-led approach): Konzentrieren Sie Ihr Budget auf die kritischsten Bedrohungen und stimmen Sie Ihre Ausgaben auf Ihre geschäftlichen Prioritäten ab.
  2. Verbesserung der Vorbereitungsbereitschaft für Vorfälle: Finanzieren Sie eine 24/7-Überwachung, automatisierte Bedrohungserkennung, Endgeräteschutz und Playbooks für die Reaktion.
  3. Konsolidierung des Technologie-Stacks: Konsolidieren Sie Tools mit sich überschneidenden Funktionen, um eine einheitliche Sichtbarkeit zu erreichen und die Komplexität zu reduzieren.
  4. Entwicklung strategischer Kompetenzen im eigenen Unternehmen: Stärken Sie die Governance, das Risikomodellierung und die Programme zur Sensibilisierung der Mitarbeiter, insbesondere in Bezug auf GenAI-Risiken.
  5. Testen, messen, verbessern: Modellieren Sie APT-Angriffe, verfolgen Sie Metriken (Erkennungsrate, Patch-Geschwindigkeit, Trainingseffizienz) – nicht nur die Anzahl der Vorfälle.

Infographic ‘Strategies for Smart Cybersecurity Budget Allocation’: 5 Key Steps — 1) Investing with current cyber threats and business priorities in mind; 2) improving incident readiness through 24/7 monitoring and automated detection; 3) consolidating technology solutions for unified visibility and reduced complexity; 4) developing strategic capabilities and managing risks, including AI risks; 5) testing, tracking KPIs, and continuously improving protection.
 
Die beliebtesten Strategien zur Risikominimierung
Die gängigsten Praktiken, die Unternehmen zur Minimierung der mit dem Einsatz künstlicher Intelligenz verbundenen Risiken anwenden, sind die Schulung von Mitarbeitern (49 %), gefolgt von der Einführung spezialisierter KI-Lösungen für die Sicherheit (46 %) und der Verschärfung der Kontrollen für den Datenzugriff (41 %). Gleichzeitig verfügen nur 31 % der Unternehmen über formalisierte Nutzungsrichtlinien, was darauf hindeutet, dass Lücken in der Verwaltung und den Regeln für den Einsatz von KI schneller geschlossen werden müssen.
 
Infographic on cybersecurity and AI management priorities in companies: 49%25 — employee security training; 46%25 — implementation of special AI security solutions; 41%25 — strengthening data access control; 31%25 — development of AI usage policies.

Herausforderungen auf dem Weg zur Nachhaltigkeit
Organisationen, insbesondere mittlere und große Unternehmen, stehen nach wie vor vor grundlegenden Herausforderungen im Bereich der Sicherheit. Diese Lücken bestehen trotz ausreichender Budgets und Überwachung auf Vorstandsebene, was auf eine Diskrepanz zwischen Strategie und Umsetzung hindeutet.
  • Risikomanagement durch Dritte
  • Beseitigung von Schwachstellen
  • Sicherheit durch Design

Infographic with key areas of cyber protection and AI security: third-party risk management, vulnerability elimination and continuous vulnerability management, as well as security by design. 

Grundlagen der modernen Ausfallsicherheit
  • Bewerten Sie kontinuierlich Risiken und planen Sie im Voraus einen Mechanismus für die Reaktion und Entscheidungsfindung für den Fall „aller Gefahren“.
  • Entwerfen Sie Geschäftsprozesse so, dass einzelne Fehlerquellen durch Redundanzen und Backups beseitigt werden.
  • Entwerfen Sie jedes Cloud-System so, dass es durch integrierte Redundanz- und Disaster-Recovery-Funktionen kostengünstige Resilienz gewährleistet.
  • Überprüfen Sie regelmäßig kritische Prozesse durch routinemäßige Übungen und Audits, um sich ändernde Bedrohungen und Marktbedingungen zu erkennen.

Infographic with recommendations for improving business cyber resilience: continuous risk assessment and incident response planning; development of business processes with redundancy and backup to eliminate single points of failure; creation of a reliable cloud system with backup and disaster recovery capabilities; regularly checking critical processes against standard rules to identify new threats and changes in market conditions.
 
Die Experten von BDO in der Ukraine sind ebenfalls davon überzeugt, dass die effektive und sichere Einführung künstlicher Intelligenz einen systematischen Ansatz erfordert, der Risikomanagement, ausgereiftes Corporate Governance, kontinuierliche Überwachung und die Entwicklung von Cyber-Resilienz miteinander verbindet. Künstliche Intelligenz eröffnet Unternehmen nur dann erhebliche Chancen, wenn Sicherheit in die Strategie, die Prozesse und die Unternehmenskultur integriert ist. Dieser Ansatz ermöglicht es, Cybersicherheit von einer reaktiven Funktion zu einem strategischen Instrument für langfristiges Wachstum und Vertrauen zu machen.

BDO in der Ukraine empfiehlt:
  • Einführung eines umfassenden Ansatzes für Cybersicherheit, der sich an den tatsächlichen Bedrohungen für das Unternehmen orientiert.
  • Gewährleistung von Transparenz in den Lieferketten und angemessene Bewertung der Risiken durch Dritte.
  • Investition in Mitarbeiterschulungen und moderne Schutzinstrumente, insbesondere KI-Lösungen.
  • Sicherheitsrichtlinien regelmäßig zu aktualisieren und ihre Wirksamkeit zu testen.

Weitere Informationen zu Maßnahmen und Empfehlungen zur Cybersicherheit können Sie bei einer Beratung erhalten – wenden Sie sich bitte an das Team von BDO in der Ukraine.
KONTAKTIEREN SIE UNSOpens in a new window/tab

Wichtigste Schlussfolgerungen:

  • Cybersicherheit hinkt hinter der digitalen Transformation hinterher: Nur 40 % der Unternehmen integrieren Sicherheit bereits in der Planungsphase von Veränderungen, was zusätzliche Risiken bei der Skalierung von GenAI mit sich bringt.
  • Budget ≠ Einsatzbereitschaft: Obwohl 81 % der Unternehmen ihre Finanzierung als ausreichend bewerten, sind nur 26 % von ihrer Widerstandsfähigkeit gegenüber Cyberbedrohungen überzeugt.
  • Shadow AI ist ein wachsendes unkontrolliertes Risiko: Mitarbeiter nutzen aktiv Tools und LLM-Modelle ohne formelle Richtlinien und Aufsicht, was die Wahrscheinlichkeit von Datenlecks und Compliance-Verstößen erhöht.
  • LLM-Risiken erfordern neue Ansätze: 77 % der Unternehmen sind besorgt über Prompt Injection, was die Notwendigkeit von AI Red Teaming und OWASP-Standardtests für LLM unterstreicht.
  • Secure by Design – die Grundlage für Widerstandsfähigkeit: Ein effektives Risikomanagement durch Dritte und eine kontinuierliche Überwachung sind für eine sichere digitale Transformation von entscheidender Bedeutung.

Melden Sie sich für BDO in der Ukraine Nachrichten an.

ANMELDENOpens in a new window/tab

Ansprechpartner