Cyberkriminalität kostet jedes deutsche Unternehmen im Schnitt mehr als 11 Millionen US-Dollar jährlich – Steigerung um 42 Prozent in einem Jahr

Cyberattacken werden für Unternehmen weltweit immer teurer. Im Jahr 2017 lagen die durchschnittlichen Kosten für Angriffe bei 11,7 Millionen US-Dollar pro Unternehmen. Dies geht aus einer aktuellen Studie von Accenture und dem Ponemon Institute hervor, für die mehr als 2.000 Sicherheits- und IT-Verantwortliche aus über 250 Organisationen befragt wurden. Die Zahlen entsprechen einer Steigerung von 23 Prozent zum Vorjahr und 62 Prozent innerhalb der letzten fünf Jahre. Im weltweiten Vergleich lagen die Kosten bei US-Unternehmen mit durchschnittlich 21,2 Millionen US-Dollar auf dem höchsten Niveau. Deutsche Unternehmen verzeichneten den stärksten Anstieg innerhalb eines Jahres. Von 2016 auf 2017 stiegen die Kosten von 7,8 auf 11,2 Millionen US-Dollar.

Der Kostensprung dürfte wesentlich mit den weitreichenden und öffentlichkeitswirksamen Malware-Attacken im Jahr 2017 zusammenhängen. WannaCry and Petya haben bei internationalen Unternehmen Umsatzausfälle von mehreren hundert Millionen US-Dollar verursacht. Diese Entwicklung dürfte sich verstetigen. Seit Erstauflage der Ponemon-Studie 2009 haben die Angriffszahlen jedes Jahr zugelegt. Weitere Ergebnisse der Opens external link in new window„Cost of Cyber Crime Study“:

Im Durchschnitt verzeichnet jedes Unternehmen pro Jahr 130 Sicherheitsverletzungen durch eine Infiltration des Kernnetzwerks oder Unternehmenssystems. Das sind 27 Prozent mehr als noch 2016 und doppelt so viele wie vor fünf Jahren.

• Finanzdienstleister und Energieunternehmen stehen besonders im Fadenkreuz der Angreifer. Hier liegen die jährlichen Kosten durch Cyberangriffe bei 18,3 beziehungsweise 17,2 Millionen US-Dollar pro Unternehmen.

• Mit der Zahl der Angriffe nimmt auch die Zeit zu, die Unternehmen benötigen, um die Folgen der Angriffe zu beseitigen. Zu den zeitaufwändigsten Vorfällen gehören solche mit böswilligen Insidern und Ransomware-Attacken, deren Schadensbehebung im Durchschnitt 50 beziehungsweise 23 Tage in Anspruch nimmt.

Am kostenintensivsten sind Malware- und Internetattacken. Sie verursachen auf Unternehmensseite einen Schaden von 2,4 beziehungsweise 2 Millionen US-Dollar pro Vorfall.

„Mit den zunehmend kostspieligen und verheerenden Folgen von Cyberkriminalität für Unternehmen wird die strategische Planung und Überwachung der Investitionen in IT-Sicherheit immer wichtiger. Unsere Studie zeigt, dass gezielte Investitionen in innovative Technologien zweifellos einen signifikanten Unterschied machen können, wenn Cyberkriminelle zuschlagen“, sagt Uwe Kissmann, Geschäftsführer von Accenture Security in Europa. „Um mit den immer raffinierteren Angriffen Schritt zu halten, müssen Unternehmen eine dynamische und flexible Sicherheitsstrategie verfolgen. Statt nur auf den Umfang der Sicherheitslösung abzustellen, muss der Aufbau von Widerstandsfähigkeit von innen heraus im Zentrum stehen. Gefragt ist ein branchenspezifischer Ansatz, der die gesamte Wertschöpfungskette umfasst. Gerade hier sollte man nicht den Marketingversprechen der Anbieter von Cybersicherheitslösungen erliegen“, sagt Kissmann. „In der realen Welt beobachten wir häufig, dass die IT Landschaft von Unternehmen mitunter sehr stark durch ältere ‚Legacy‘-Systeme geprägt ist. Bei solchen Systemen muss ein spezieller Fokus auf deren proaktiven und professionellen Schutz gelegt werden, da ihre technologische Basis häufig nicht mehr von neuesten Security-Produkten unterstützt wird und sie aus diesem Grunde ein bevorzugtes Einfallstor für Angreifer darstellen.“

Ausgaben für Sicherheitstechnologie geraten aus dem Gleichgewicht

Von den neun untersuchten Sicherheitstechnologien entfielen die höchsten prozentualen Ausgaben auf fortgeschrittene Perimeterkontrollen, also den Aufbau digitaler Schutzwälle nach außen. Unternehmen konnten damit jedoch lediglich operative Kosten von jeweils einer Million US-Dollar im Zusammenhang mit der Identifizierung und Behebung von Cyberangriffen einsparen. Das lässt auf Ineffizienzen bei der Zuweisung von Ressourcen schließen. Die effektivsten Instrumente zur Reduzierung von Verlusten durch Cyberkriminalität sind dagegen Security Intelligence-Systeme sowie Werkzeuge, die Informationen aus verschiedenen Quellen aufnehmen und Unternehmen dabei unterstützen, interne und externe Bedrohungen zu identifizieren und zu priorisieren. Damit konnten Kosteneinsparungen in Höhe von 2,8 Millionen US-Dollar erreicht werden. Automatisierungs- und Orchestrierungstechnologien sowie maschinelles Lernen wurden nur von knapp einem Drittel der Unternehmen eingesetzt. Allerdings führten sie mit insgesamt 2,2 Millionen US-Dollar zur dritthöchsten Kosteneinsparung bei Sicherheitstechnologien.

Wachsende finanzielle Konsequenzen von Cyberattacken

Die Studie quantifiziert vier unterschiedlich stark ausgeprägte Schadensbilder von Cyberangriffen: Geschäftsunterbrechung, Informationsverlust, Einnahmeverlust und Beschädigung von Ausrüstung. Als am schädlichsten identifizieren Unternehmen aktuell den einhergehenden Informationsverlust, der von 43 Prozent der befragten Organisationen erwähnt wird. Im Gegensatz dazu sind die anteiligen Kosten für Betriebsunterbrechungen wie Geschäftsprozessausfälle nach einem Angriff von 39 Prozent im Jahr 2015 auf 33 Prozent in der diesjährigen Studie zurückgegangen.

„Die Basis eines starken und effektiven Sicherheitsprogramms bildet die Identifikation und Absicherung der wichtigsten Unternehmensressourcen“, sagt Dr. Larry Ponemon, Chairman und Gründer des Ponemon Institute. „Bei der Verbesserung der Cybersicherheit wurden zwar deutliche Fortschritte erzielt. Ein besseres Verständnis der Kosten von Cyberkriminalität könnte den Unternehmen aber helfen, die Lücke zwischen ihren eigenen Schwachstellen und der zunehmenden Kreativität und Zahl der Angreifer zu schließen.“

Starke Kostenunterschiede zwischen Ländern und Angriffsarten

Australien weist mit 5,4 Millionen US-Dollar die niedrigsten durchschnittlichen Gesamtkosten eines Cyberangriffs auf, während das Vereinigte Königreich im vergangenen Jahr den geringsten Kostenanstieg von 7,2 auf 8,7 Millionen US-Dollar verzeichnete. In Japan legten die Kosten durch Cyberattacken um 22 Prozent auf 10,5 Millionen US-Dollar zu, der dritthöchste Anstieg unter den betrachteten Ländern.

Die Kosten variieren auch erheblich mit Blick auf die unterschiedlichen Angriffsarten. So geben US-Unternehmen zur Schadensbehebung bei allen Formen von Cyberattacken am meisten aus. An der Spitze rangierten hier Schadsoftware- und Internetangriffe mit 3,8 und 3,4 Millionen US-Dollar pro Vorfall. Bei Unternehmen aus Deutschland und Australien entfällt mit 23 Prozent der höchste Kostenanteil auf Schadsoftwareangriffe, während in Frankreich webbasierte Attacken mit 20 Prozent das größte Gewicht haben. „Denial of Service“-Attacken stehen in Deutschland und Großbritannien für 15 Prozent der jährlichen Schadenskosten.

Über die Studie

Für die Studie wurden im Auftrag von Accenture durch das Ponemon Institute weltweit 2.182 Sicherheits- und IT-Verantwortliche aus 254 Organisationen in sieben Ländern (USA, Großbritannien, Australien, Deutschland, Japan, Frankreich und Italien) befragt. Dabei wurden die Kosten aller Cyberattacken über einen Zeitraum von einem Jahr erhoben. Die jährliche Untersuchung erfolgt auf Fiskaljahresbasis und weicht damit vom Kalenderjahr ab Bestandteil Untersuchung waren Ausgaben für die Identifikation, Wiederherstellung, Untersuchung und Reaktion auf einen Vorfall. Ebenfalls berücksichtigt wurde der monetäre Effekt von Betriebsunterbrechungen und Kundenabwanderung.

Autor: kro

Diesen Artikel empfehlen