Cyberattacken belasten Unternehmen zunehmend

Aggressive Malware-Attacken

Es waren hauptsächlich weitreichende und öffentlichkeitswirksame Malware-Attacken im Jahr 2017, die zu enormen Kostenbelastungen wurden, wie all-about-security.de dazu ausführte. So haben WannaCry und Petya bei internationalen Unternehmen Umsatzausfälle von mehreren hundert Millionen US-Dollar verursacht. Wie die Ponemon-Studien seit ihrer Erstauflage im Jahr 2009 zeigen haben die Angriffszahlen jedes Jahr stetig zugenommen.

• Im Durchschnitt verzeichnet jedes Unternehmen pro Jahr 130 Sicherheitsverletzungen durch eine Infiltration des Kernnetzwerks oder Unternehmenssystems. Das sind 27 Prozent mehr als noch 2016 und doppelt so viele wie vor fünf Jahren.
• Finanzdienstleister und Energieunternehmen stehen besonders im Fadenkreuz der Angreifer. Hier liegen die jährlichen Kosten durch Cyberangriffe bei 18,3 beziehungsweise 17,2 Millionen US-Dollar pro Unternehmen.
• Mit der Zahl der Angriffe nimmt auch die Zeit zu, die Unternehmen benötigen, um die Folgen der Angriffe zu beseitigen. Zu den zeitaufwändigsten Vorfällen gehören solche mit böswilligen Insidern und Ransomware-Attacken, deren Schadensbehebung im Durchschnitt 50 beziehungsweise 23 Tage in Anspruch nimmt.
• Am kostenintensivsten sind Malware- und Internetattacken. Sie verursachen auf Unternehmensseite einen Schaden von 2,4 beziehungsweise 2 Millionen US-Dollar pro Vorfall.

Dazu kommentiert Uwe Kissmann, Geschäftsführer von Accenture Security in Europa:

„Mit den zunehmend kostspieligen und verheerenden Folgen von Cyberkriminalität für Unternehmen wird die strategische Planung und Überwachung der Investitionen in IT-Sicherheit immer wichtiger. Unsere Studie zeigt, dass gezielte Investitionen in innovative Technologien zweifellos einen signifikanten Unterschied machen können, wenn Cyberkriminelle zuschlagen“

„In der realen Welt beobachten wir häufig, dass die IT Landschaft von Unternehmen mitunter sehr stark durch ältere ‚Legacy‘-Systeme geprägt ist. Bei solchen Systemen muss ein spezieller Fokus auf deren proaktiven und professionellen Schutz gelegt werden, da ihre technologische Basis häufig nicht mehr von neuesten Security-Produkten unterstützt wird und sie aus diesem Grunde ein bevorzugtes Einfallstor für Angreifer darstellen.“

Ausgaben für Sicherheitstechnologie steigen

Von den neun untersuchten Sicherheitstechnologien entfielen die höchsten prozentualen Ausgaben auf:

• Fortgeschrittene Perimeterkontrollen, also den Aufbau digitaler Schutzwälle nach außen. Unternehmen konnten damit jedoch lediglich operative Kosten von jeweils einer Million US-Dollar im Zusammenhang mit der Identifizierung und Behebung von Cyberangriffen einsparen. Das lässt auf Ineffizienzen bei der Zuweisung von Ressourcen schließen.
• Die effektivsten Instrumente zur Reduzierung von Verlusten durch Cyberkriminalität sind dagegen Security Intelligence-Systeme sowie Werkzeuge, die Informationen aus verschiedenen Quellen aufnehmen und Unternehmen dabei unterstützen, interne und externe Bedrohungen zu identifizieren und zu priorisieren. Damit konnten Kosteneinsparungen in Höhe von 2,8 Millionen US-Dollar erreicht werden.
• Automatisierungs- und Orchestrierungstechnologien sowie maschinelles Lernen wurden nur von knapp einem Drittel der Unternehmen eingesetzt. Allerdings führten sie mit insgesamt 2,2 Millionen US-Dollar zur dritthöchsten Kosteneinsparung bei Sicherheitstechnologien.

Wachsende finanzielle Konsequenzen von Cyberattacken

Die Studie quantifiziert vier unterschiedlich stark ausgeprägte Schadensbilder von Cyberangriffen:

• Geschäftsunterbrechung
• Informationsverlust
• Einnahmeverlust
• Beschädigung von Ausrüstung

Am schädlichsten bewerten die Unternehmen aktuell den einhergehenden Informationsverlust. Im Gegensatz dazu sind die anteiligen Kosten für Betriebsunterbrechungen wie Geschäftsprozessausfälle nach einem Angriff von 39 Prozent im Jahr 2015 auf 33 Prozent in der diesjährigen Studie zurückgegangen.

Dazu kommentierte Dr. Larry Ponemon, Chairman und Gründer des Ponemon Institute:

„Die Basis eines starken und effektiven Sicherheitsprogramms bildet die Identifikation und Absicherung der wichtigsten Unternehmensressourcen“

„Bei der Verbesserung der Cybersicherheit wurden zwar deutliche Fortschritte erzielt. Ein besseres Verständnis der Kosten von Cyberkriminalität könnte den Unternehmen aber helfen, die Lücke zwischen ihren eigenen Schwachstellen und der zunehmenden Kreativität und Zahl der Angreifer zu schließen.“

Starke Kostenunterschiede zwischen Ländern und Angriffsarten

Australien weist mit 5,4 Millionen US-Dollar die niedrigsten durchschnittlichen Gesamtkosten eines Cyberangriffs auf, während das Vereinigte Königreich im vergangenen Jahr den geringsten Kostenanstieg von 7,2 auf 8,7 Millionen US-Dollar verzeichnete. In Japan legten die Kosten durch Cyberattacken um 22 Prozent auf 10,5 Millionen US-Dollar zu, der dritthöchste Anstieg unter den betrachteten Ländern.

Die Kosten variieren auch erheblich mit Blick auf die unterschiedlichen Angriffsarten. So geben US-Unternehmen zur Schadensbehebung bei allen Formen von Cyberattacken am meisten aus. An der Spitze rangierten hier Schadsoftware- und Internetangriffe mit 3,8 und 3,4 Millionen US-Dollar pro Vorfall. Bei Unternehmen aus Deutschland und Australien entfällt mit 23 Prozent der höchste Kostenanteil auf Schadsoftwareangriffe, während in Frankreich webbasierte Attacken mit 20 Prozent das größte Gewicht haben. „Denial of Service“-Attacken stehen in Deutschland und Großbritannien für 15 Prozent der jährlichen Schadenskosten.