Wenn kriminelle Hacker Unternehmen angreifen, führt das häufig zu enormen Kosten bei den Opfern (Symbolbild).
Svilen Georgiev | stock.adobe.com
Unternehmen in aller Welt haben zunehmend ein Problem: Die zur Verfügung stehenden Budgets für die eigene IT-Sicherheit sinken. Gleichzeitig steigen die Kosten, die durch erfolgreiche Cyberangriffe von Kriminellen entstehen. Das hat eine Studie des IT-Sicherheitsanbieters Kaspersky Lab ergeben.
Wie die Spezialisten des russischen Softwareherstellers im Report "IT-Sicherheit: Kostenverursacher oder strategische Investition?" ("IT Security: cost-center or strategic investment?") durch Befragungen von Unternehmen jeder Größe und aus jeder Branche herausgefunden haben, ist das durchschnittliche IT-Sicherheitsbudget beispielsweise in größeren Konzernen von 25,5 Millionen US-Dollar im Jahr 2016 auf nur noch 13,7 Millionen US-Dollar (umgerechnet also 11,7 statt zuvor 21,7 Millionen Euro) im laufenden Jahr gesunken. Insgesamt steigt zwar der Anteil des Postens IT-Security in den gesamten IT-Budgets (fast ein Viertel der IT-Ausgaben fließen in die Sicherheit), doch das löst das Problem nicht, wenn die Etats im Gesamten deutlich kleiner werden.
Budgets sinken, Kosten durch Attacken steigen
Laut Kaspersky steigen nämlich die Belastungen, die durch Sicherheitsvorfälle entstehen, gleichzeitig deutlich an. Alle Kosten – wie beispielsweise die Schadensbehebung und Umsatzausfall durch stillgelegte IT – einberechnet, schlägt ein einziger Sicherheitsvorfall in einem kleinen oder mittleren Unternehmen (KMU) im Durchschnitt mit 87.800 US-Dollar (knapp 75.000 Euro) zu Buche. Das sind 1.100 Euro mehr als noch im Vorjahr.
Wegen der hohen Dunkelziffer ist es schwer vorherzusagen, wie hoch das Schadenspotenzial und die Kosten [durch Cyberangriffe, d. Red.] wirklich sind. Die Hochrechnungen und die polizeilichen Fallzahlen lassen die Dimension zwar erahnen, jedoch sind exakte Werte schwer zu erheben." Michael Bartsch und Stefanie Frey in "Schadenspotenzial und Kosten" aus dem Springer-Buch "Cyberstrategien für Unternehmen und Behörden" (2017), Seite 31.
In größeren Unternehmen sorgt ein erfolgreicher Angriff auf die IT gleich für Kosten, die mehr als zehn Mal so hoch sind, wie in KMUs. In der Kaspersky-Studie haben die Experten einen Anstieg auf durchschnittlich 992.000 US-Dollar (etwa 844.000 Euro) pro Sicherheitsvorfall in Konzernen ermittelt. 2016 kostete eine Attacke ein Opfer-Unternehmen noch 861.000 Dollar (732.000 Euro) im Schnitt.
Schwer zu bemessende Kosten durch Cyberangriffe
Die Springer-Autoren und Spezialisten für Cybersicherheit, Michael Bartsch und Dr. Stefanie Frey, schreiben im Buchkapitel "Schadenspotenzial und Kosten" aus ihrem Buch "Cyberstrategien für Unternehmen und Behörden": "Cyberangriffe verursachen nicht nur einen direkten Schaden, sondern generieren auch Kosten, die oft schwer zu bemessen sind."
Zu diesen Kosten gehören beispielsweise:
- Betriebsbeeinträchtigungen und -unterbrechungen,
- Vorfallbearbeitung,
- Krisenmanagement,
- Wiederherstellungskosten,
- Vertragsstrafen und Bußgelder,
- Reputationskosten
Außerdem fallen durch die Schadensbehebung zusätzliche Präventionskosten an, schreiben Bartsch und Frey, "damit der stattgefundene Cybervorfall sich nicht wiederholen kann und das betroffene Unternehmen besser auf Cyberangriffe vorbereitet ist".
Zwischenfälle mit Drittunternehmen sorgen für größte Verluste
Die größten Verluste streichen Unternehmen allerdings durch Zwischenfälle mit Drittunternehmen und deren Cyber-Fehler ein, wie die Kaspersky-Studie zeigt. Bis zu 120.000 Euro zahlten KMUs für Zwischenfälle, die ihre Infrastruktur betrafen und von Dritten, wie Zulieferern, ausgelöst wurden. Große Konzerne verloren im Schnitt 1,5 Millionen Euro in Folge von Sicherheitsverstößen von Zulieferern mit denen sie Daten austauschten und fast 1,4 Millionen Euro wegen unzureichender Sicherheitsmechanismen bei Infrastructure-as-a-Service-Anbietern deren Kunde sie waren.
Bartsch und Frey fordern:
Jedes Unternehmen muss analysieren, welche Eigenschäden und welche potenziellen Fremdschäden (aus der Abhängigkeit von Kunden und Lieferanten) entstehen können."
Mehr als die Hälfte der deutschen Unternehmen seien bereits Opfer eines Cyberangriffs geworden, durch die ein Schaden in Höhe von 51 Milliarden Euro entstanden ist. "Nur knapp die Hälfte der Unternehmen verfügt aber über ein Notfallmanagement und bei mehr als der Hälfte der Unternehmen besteht keine Sicherheitskultur (in Form von Schulungen und Awareness)", heißt es im Buchkapitel von Bartsch und Frey. "Der Eigenschutz, der in der Regel in den gängigen Betriebssystemen integriert ist, reicht in vielen Fällen nicht aus."
Ganzheitlicher Ansatz zur Cybersicherheit gefordert
Bartsch und Frey kommen zum Schluss: "Diese ständig steigende Bedrohungslage, die Professionalisierung der Täter und die technisch ausgereiften Angriffe haben zur Folge, dass man dieser Herausforderung nur mit einem ganzheitlichen Cybersicherheitsansatz entgegentreten kann." In ihrem Buch stellen sie Lösungsansätze für Unternehmen und Behörden vor und gehen unter anderem auf die Entwicklung einer umfassenden Strategie zur Cybersicherheit ein.
Schema wichtiger Bausteine einer Cybersicherheitsstrategie.
Michael Bartsch, Dr. Stefanie Frey | "Cyberstrategien für Unternehmen und Behörden" (Springer Vieweg, 2017)
Für die Cyberstrategie-Entwicklung müssen Unternehmen die strategischen Cyberziele, Handlungsfelder, Maßnahmen und Meilensteine definieren und einen Umsetzungsplan erstellen, damit der Cyberstrategieprozess nachhaltig überprüft und bei Bedarf angepasst werden kann." Michael Bartsch und Stefanie Frey in "Grundsätze der Strategieentwicklung" aus dem Springer-Buch "Cyberstrategien für Unternehmen und Behörden" (2017), Seite 75.