Thought Leadership
Die Zahl der “Cyber”-Nennungen in Geschäftsberichten der DAX-40-Konzerne ist seit 2015 um mehr als 1.400 Prozent gestiegen. Auch ISO-Zertifizierungen werden häufiger dokumentiert.
DAX-Konzerne berichten deutlich ausführlicher über Cybersicherheit als noch vor einem Jahrzehnt. Das zeigt eine Auswertung der Net Group, die Geschäftsberichte von 2015 und 2024 verglichen hat.
Deutlicher Anstieg der Berichterstattung
2015 thematisierten erst zwölf DAX-40-Unternehmen Begriffe mit dem Präfix “Cyber” in ihren Berichten, 2024 waren es 39. Die Gesamtzahl solcher Begriffe wuchs um 1.422 Prozent. Von den Unternehmen, die das Thema bereits 2015 adressierten, haben 92 Prozent die Anzahl der Nennungen seither erhöht.
Qiagen verzeichnet die stärkste Zunahme mit einer Verzwanzigfachung. Volkswagen steigerte die Nennungen um 900 Prozent, Mercedes-Benz um 850 Prozent, Allianz und Daimler Truck um jeweils 800 Prozent. Die meisten Cyber-Begriffe finden sich bei Fresenius mit 124 Nennungen.
Die Commerzbank bildet eine Ausnahme: 2024 enthält ihr Bericht keine einzige Cyber-Nennung mehr, als einziges DAX-40-Unternehmen. Damit sei der Finanzdienstleister das einzige DAX-40-Unternehmen ohne entsprechende Formulierungen im aktuellen Geschäftsbericht.
Risikoeinschätzungen werden konkreter
16 Unternehmen beziffern mittlerweile Eintrittswahrscheinlichkeiten und mögliche Schadenssummen, 24 verzichten auf solche Angaben. Sartorius etwa betrachtete Cyberrisiken 2015 noch als gering, rechnet 2024 aber mit zehn bis 40 Prozent Eintrittswahrscheinlichkeit und Schäden von 50 bis 100 Millionen Euro.
SAP stufte Cybervorfälle 2014 als “unwahrscheinlich” ein, heute gelten sie als “wahrscheinlich” mit potenziellen Auswirkungen über 500 Millionen Euro. Porsche und Volkswagen erwähnten 2015 Cyberrisiken noch gar nicht, führen sie heute aber als konkrete operative Bedrohung auf. Porsche nennt Cyberangriffe inzwischen als eines der größten Unternehmensrisiken.
Mehr ISO-27001-Zertifizierungen
Der Anteil der Unternehmen, die auf eine ISO-27001-Zertifizierung verweisen, stieg von fünf auf 38 Prozent. Weitere zehn Prozent befinden sich im Zertifizierungsprozess. 75 Prozent stellten 2015 keinen Bezug zu ISO 27001 her, 2024 sind es nur noch 15 Prozent.
„Unternehmen reagieren nicht mehr nur auf Cyberrisiken – sie bauen systematisch Strukturen zur Absicherung auf. Dass dies nun auch in der Berichterstattung sichtbar wird, ist ein wichtiger Reifegrad-Indikator”, so Net-Group-Geschäftsführer Priit Kongo.
