Kostenoptimierung als größtes Hindernis

Die vier größten Herausforderungen unter allen Befragten sind:

• Fokus auf Kostenreduktion statt langfristiger Sicherheit (45 Prozent)
• Fehlende oder kaum standardisierte Sicherheitskriterien in der Lieferantenbewertung (41,6 Prozent)
• Zu wenig Bewusstsein für Cybersicherheit in Einkaufsabteilungen (40,1 Prozent)
• Mangelnde Abstimmung mit der eigenen IT-/Sicherheitsabteilung (39,6 Prozent)

Mit 45 Prozent stellt die Ausrichtung auf Kostenreduktion die am häufigsten genannte Herausforderung dar. Dieses Spannungsfeld zwischen Effizienz und Schutzmaßnahmen zeigt, dass Cybersicherheit im Einkauf möglicherweise noch oft als nachrangig behandelt wird.

Mangel an Standards und Abstimmung

Rund 42 Prozent der Befragten bemängeln fehlende oder kaum standardisierte Sicherheitskriterien in der Lieferantenbewertung. Zudem beklagen fast 40 Prozent eine mangelnde Abstimmung mit der eigenen IT- oder Sicherheitsabteilung; dieser Faktor wird besonders in größeren Unternehmen genannt (über 52 Prozent bei Unternehmen mit mehr als 1000 Mitarbeitenden).

Unternehmensgröße bestimmt Herausforderungen

Die Umfrage offenbart Unterschiede je nach Unternehmensgröße. Kleinere Unternehmen (100–249 Mitarbeitende) kämpfen demnach besonders mit fehlendem technischem Know-how (35,8 Prozent) und nicht standardisierten Sicherheitskriterien (54,7 Prozent).

Große Unternehmen ab 1000 Mitarbeitenden sehen vor allem Abstimmungsprobleme mit der IT- oder Sicherheitsabteilung (52,6 Prozent).

Während bei kleineren Betrieben also offenbar Kompetenzen fehlen, erschweren in größeren Unternehmen oft komplexe Strukturen eine effektive Sicherheitsintegration.

Verwaltungen fehlt Know-how, Versorger mahnen Cybersicherheitsbewusstsein an

Auch zwischen den Branchen gibt es deutliche Unterschiede. Die öffentliche Verwaltung meldet besonders häufig fehlendes Know-how und fehlende Standards (jeweils 60,0 Prozent). In der Finanzbranche fällt mit 53,8 Prozent vor allem der Mangel an Schulungen ins Gewicht.

Im Handel hingegen sind die Werte durchweg niedrig: Nur 13 Prozent sehen fehlendes Know-how als Problem, lediglich 17,4 Prozent bemängeln mangelnde Lieferantentransparenz. Versorgungsunternehmen beklagen zu beinahe 100 Prozent ein fehlendes Bewusstsein für Cybersicherheit in den Einkaufsabteilungen.

„Dass Versorgungsunternehmen den Mangel an Cybersicherheitsbewusstsein im Einkauf beklagen, ist sehr ernst zunehmen", kommentiert Michael Veit, Security-Experte bei Sophos. „Gerade in sensiblen Sektoren sollten Sicherheitsaspekte nicht der Kostenoptimierung geopfert werden.“

Der Appell: Noch mehr Priorität auf Cybersicherheit auch in Einkaufsabteilungen

Die Ergebnisse der Umfrage zeigen: Cybersicherheit wird auch im Einkauf der Unternehmen zunehmend als kritischer Faktor erkannt. Allerdings fehlt es vielerorts noch an Wissen, interner Abstimmung und strukturellen Vorgaben. Unternehmen sind daher gefordert, dem Thema mehr Priorität einzuräumen – sowohl durch Schulungen als auch durch klare Richtlinien in der Lieferantenbewertung.

„Viele Einkaufsabteilungen stehen heute vor der Herausforderung, Cybersicherheitsaspekte strukturiert in ihre Prozesse zu integrieren“, so Michael Veit. „Doch oft fehlen Know-how, klare Kriterien oder der enge Schulterschluss mit der IT. Dabei ist gerade die Lieferkette ein entscheidender Hebel für die Sicherheitslage eines Unternehmens. Deshalb braucht es im Einkauf klare Sicherheitsvorgaben, geschulte Mitarbeitende und enge Abstimmung mit den IT-Verantwortlichen. Die Resilienz zum Beispiel ganzer Versorgungsnetze hängt längst nicht mehr nur von Firewalls ab, sondern auch davon, welche Entscheidungen im Einkauf getroffen werden.“

Über die Umfrage:

Die Erhebung wurde von Techconsult im Auftrag von Sophos durchgeführt. Befragt wurden 201 Einkaufsverantwortliche aus Unternehmen verschiedenster Branchen und Größen – darunter Industrie, Telekommunikation, Finanzwesen, öffentliche Verwaltung und Non-Profit-Organisationen.

Social Media von Sophos für die Presse

Wir haben speziell für Sie als Journalist*in unsere Social-Media-Kanäle angepasst und aufgebaut. Hier tauschen wir uns gerne mit Ihnen aus. Wir bieten Ihnen Statements, Beiträge und Meinungen zu aktuellen Themen und natürlich den direkten Kontakt zu den Sophos Security-Spezialisten.

Folgen Sie uns auf LinkedIn und X/Twitter

LinkedIn: https://www.linkedin.com/groups/9054356/
X/Twitter: @sophos_info