Skip to main content
main-content

04.10.2017 | IT-Sicherheit | Im Fokus | Onlineartikel

Sicherheitsstrategien helfen gegen teure Cyberattacken

Autor:
Sven Eisenkrämer

Erfolgreiche Cyberangriffe auf die Unternehmens-IT bedeuten für die betroffenen Firmen hohe Verluste. Im Durchschnitt bis zu knapp einer Million US-Dollar kostet es, wenn Unternehmen Schäden durch Attacken beheben müssen. Und die Attacken werden teurer.

Unternehmen in aller Welt haben zunehmend ein Problem: Die zur Verfügung stehenden Budgets für die eigene IT-Sicherheit sinken. Gleichzeitig steigen die Kosten, die durch erfolgreiche Cyberangriffe von Kriminellen entstehen. Das hat eine Studie des IT-Sicherheitsanbieters Kaspersky Lab ergeben.

Empfehlung der Redaktion

2017 | Buch

Cyberstrategien für Unternehmen und Behörden

Maßnahmen zur Erhöhung der Cyberresilienz

Cyberrisiken entstehen durch den Einsatz von Informationstechnologien, beinhalten aber auch organisatorische und technische Risiken und sind somit nicht nur ein Problem der IT-Abteilung, sondern der Unternehmensleitung. Eine Cyberstrategie sollte daher ein Teil der Unternehmensstrategie sein und nicht nur ein Teil der IT-Strategie. 


Wie die Spezialisten des russischen Softwareherstellers im Report "IT-Sicherheit: Kostenverursacher oder strategische Investition?" ("IT Security: cost-center or strategic investment?") durch Befragungen von Unternehmen jeder Größe und aus jeder Branche herausgefunden haben, ist das durchschnittliche IT-Sicherheitsbudget beispielsweise in größeren Konzernen von 25,5 Millionen US-Dollar im Jahr 2016 auf nur noch 13,7 Millionen US-Dollar (umgerechnet also 11,7 statt zuvor 21,7 Millionen Euro) im laufenden Jahr gesunken. Insgesamt steigt zwar der Anteil des Postens IT-Security in den gesamten IT-Budgets (fast ein Viertel der IT-Ausgaben fließen in die Sicherheit), doch das löst das Problem nicht, wenn die Etats im Gesamten deutlich kleiner werden.

Budgets sinken, Kosten durch Attacken steigen

Laut Kaspersky steigen nämlich die Belastungen, die durch Sicherheitsvorfälle entstehen, gleichzeitig deutlich an. Alle Kosten – wie beispielsweise die Schadensbehebung und Umsatzausfall durch stillgelegte IT – einberechnet, schlägt ein einziger Sicherheitsvorfall in einem kleinen oder mittleren Unternehmen (KMU) im Durchschnitt mit 87.800 US-Dollar (knapp 75.000 Euro) zu Buche. Das sind 1.100 Euro mehr als noch im Vorjahr.

Wegen der hohen Dunkelziffer ist es schwer vorherzusagen, wie hoch das Schadenspotenzial und die Kosten [durch Cyberangriffe, d. Red.] wirklich sind. Die Hochrechnungen und die polizeilichen Fallzahlen lassen die Dimension zwar erahnen, jedoch sind exakte Werte schwer zu erheben." Michael Bartsch und  Stefanie Frey in "Schadenspotenzial und Kosten" aus dem Springer-Buch "Cyberstrategien für Unternehmen und Behörden" (2017), Seite 31.

In größeren Unternehmen sorgt ein erfolgreicher Angriff auf die IT gleich für Kosten, die mehr als zehn Mal so hoch sind, wie in KMUs. In der Kaspersky-Studie haben die Experten einen Anstieg auf durchschnittlich 992.000 US-Dollar (etwa 844.000 Euro) pro Sicherheitsvorfall in Konzernen ermittelt. 2016 kostete eine Attacke ein Opfer-Unternehmen noch 861.000 Dollar (732.000 Euro) im Schnitt.

Schwer zu bemessende Kosten durch Cyberangriffe

Die Springer-Autoren und Spezialisten für Cybersicherheit, Michael Bartsch und Dr. Stefanie Frey, schreiben im Buchkapitel "Schadenspotenzial und Kosten" aus ihrem Buch "Cyberstrategien für Unternehmen und Behörden": "Cyberangriffe verursachen nicht nur einen direkten Schaden, sondern generieren auch Kosten, die oft schwer zu bemessen sind."

Zu diesen Kosten gehören beispielsweise: 

  • Betriebsbeeinträchtigungen und -unterbrechungen, 
  • Vorfallbearbeitung, 
  • Krisenmanagement, 
  • Wiederherstellungskosten, 
  • Vertragsstrafen und Bußgelder, 
  • Reputationskosten 

Außerdem fallen durch die Schadensbehebung zusätzliche Präventionskosten an, schreiben Bartsch und Frey, "damit der stattgefundene Cybervorfall sich nicht wiederholen kann und das betroffene Unternehmen besser auf Cyberangriffe vorbereitet ist".

Zwischenfälle mit Drittunternehmen sorgen für größte Verluste

Die größten Verluste streichen Unternehmen allerdings durch Zwischenfälle mit Drittunternehmen und deren Cyber-Fehler ein, wie die Kaspersky-Studie zeigt. Bis zu 120.000 Euro zahlten KMUs für Zwischenfälle, die ihre Infrastruktur betrafen und von Dritten, wie Zulieferern, ausgelöst wurden. Große Konzerne verloren im Schnitt 1,5 Millionen Euro in Folge von Sicherheitsverstößen von Zulieferern mit denen sie Daten austauschten und fast 1,4 Millionen Euro wegen unzureichender Sicherheitsmechanismen bei Infrastructure-as-a-Service-Anbietern deren Kunde sie waren. 

Bartsch und Frey fordern: 

Jedes Unternehmen muss analysieren, welche Eigenschäden und welche potenziellen Fremdschäden (aus der Abhängigkeit von Kunden und Lieferanten) entstehen können."

Mehr als die Hälfte der deutschen Unternehmen seien bereits Opfer eines Cyberangriffs geworden, durch die ein Schaden in Höhe von 51 Milliarden Euro entstanden ist. "Nur knapp die Hälfte der Unternehmen verfügt aber über ein Notfallmanagement und bei mehr als der Hälfte der Unternehmen besteht keine Sicherheitskultur (in Form von Schulungen und Awareness)", heißt es im Buchkapitel von Bartsch und Frey. "Der Eigenschutz, der in der Regel in den gängigen Betriebssystemen integriert ist, reicht in vielen Fällen nicht aus."

Ganzheitlicher Ansatz zur Cybersicherheit gefordert

Bartsch und Frey kommen zum Schluss: "Diese ständig steigende Bedrohungslage, die Professionalisierung der Täter und die technisch ausgereiften Angriffe haben zur Folge, dass man dieser Herausforderung nur mit einem ganzheitlichen Cybersicherheitsansatz entgegentreten kann." In ihrem Buch stellen sie Lösungsansätze für Unternehmen und Behörden vor und gehen unter anderem auf die Entwicklung einer umfassenden Strategie zur Cybersicherheit ein.


Für die Cyberstrategie-Entwicklung müssen Unternehmen die strategischen Cyberziele, Handlungsfelder, Maßnahmen und Meilensteine definieren und einen Umsetzungsplan erstellen, damit der Cyberstrategieprozess nachhaltig überprüft und bei Bedarf angepasst werden kann." Michael Bartsch und  Stefanie Frey in "Grundsätze der Strategieentwicklung" aus dem Springer-Buch "Cyberstrategien für Unternehmen und Behörden" (2017), Seite 75. 

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

2017 | OriginalPaper | Buchkapitel

Das Internet der bösen Dinge

Penetrationstests in Internet-of-Things-Umgebung und IT-Sicherheitsaudits für Produktionsanlagen
Quelle:
IT-Prüfung, Sicherheitsaudit und Datenschutzmodell

Das könnte Sie auch interessieren

20.04.2017 | IT-Sicherheit | Im Fokus | Onlineartikel

Mit Sicherheit zu mehr Performance

02.08.2016 | Risikomanagement | Im Fokus | Onlineartikel

Wer verantwortet die Cybersicherheit?

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!