Wir alle wissen, dass Cyber-Sicherheit ein entscheidender Faktor des Unternehmensrisikos ist. Aber wie kritisch ist er wirklich? In manchen Vorstandsetagen scheint das Thema IT-Security nur ein Lippenbekenntnis zu sein, und dennoch gelingt es ihnen oft, ernsthafte Konsequenzen zu vermeiden. Vor diesem Hintergrund ist ein neuer Bericht des globalen Versicherers Hiscox sehr interessant. Dieser sagt, dass viele europäische und amerikanische Unternehmen nach Sicherheitsverstößen kurz vor der Insolvenz standen oder stehen. Trotz der Tatsache, dass die Ausgaben für IT-Security steigen,  können immer weniger globale Unternehmen von sich behaupten, „Experten“ bei der Cyber-Abwehr zu sein.

Es war noch nie so wichtig, genau zu wissen, wohin Investitionen in die Cybersicherheit fließen sollen. Was also tun die Experten, um einen drohenden Bankrott zu vermeiden? Dem Bericht zufolge ist es vor allem eine Mischung aus grundlegenden Best-Practices und der Bereitschaft, aus früheren Vorfällen zu lernen.

Existenzbedrohung

Der Bericht ist auf der Grundlage von Interviews mit 5.000 Unternehmen in den USA, dem Vereinigten Königreich, Belgien, Frankreich, Deutschland, Spanien, den Niederlanden und Irland entstanden. Einige der Ergebnisse waren nicht überraschend. Aber es gibt einige interessante Punkte. Zum Beispiel:

  • Sieben von acht Ländern stufen eine Cyberattacke als die größte Bedrohung für ihre Unternehmen ein
  • Die Hälfte (48 %) der Befragten berichtete von einem Cyberangriff in den letzten 12 Monaten (43 % im Vorjahr)
  • Ein Fünftel (19 %) der Befragten berichtete über einen Ransomware-Angriff (16 % im Vorjahr). Zwei Drittel der Opfer bezahlten ihre Angreifer

So weit, so (leider) erwartbar. Allerdings klafft eine große Lücke in der Wahrnehmung zwischen denen, die einen Angriff erlitten haben, und denjenigen, die keinen Angriff erlitten haben. Mehr als die Hälfte (55 %) der Opfer von Cyberangriffen sehen in der Cybersicherheit ein hohes Risiko, aber nur 36 % derjenigen, die noch nicht betroffen waren. Ebenso geben 41 % der Angegriffenen an, dass sich ihr Risiko erhöht hat, während es bei der anderen Gruppe weniger als ein Viertel (23 %) ist.

Ein weiterer interessanter Aspekt: Cyberkriminelle scheinen es zunehmend auf kleinere Unternehmen abgesehen zu haben. Unternehmen mit einem Umsatz von 100.000 bis 500.000 Euro müssen inzwischen mit ebenso vielen Angriffen rechnen wie Unternehmen mit einem Jahresumsatz von 1 bis 9 Millionen Euro.

WEITERFÜHRENDER ARTIKEL:
#ShieldsUp – Jetzt ist der Zeitpunkt, Cybersecurity Prozesse zu prüfen

Folgekosten

Dieser Punkt ist wichtig, da ein Fünftel der befragten, angegriffenen Unternehmen angaben, dass ihre Zahlungsfähigkeit bedroht war, was einem Anstieg von 24 % gegenüber dem Vorjahr entspricht. Obwohl in dem Bericht nicht extra aufgeschlüsselt, können die Kosten einer Sicherheitsverletzung Folgendes umfassen:

  • Betriebliche Ausfälle
  • Anwalts-/Rechtshilfekosten
  • IT-Überstunden und Kosten für forensische Untersuchungen durch Dritte
  • Behördliche Geldbußen
  • Verlust von Kunden
  • Produktions- und Umsatzeinbußen
  • Langfristiger Reputationsschaden

Dies erklärt zu einem Teil auch, warum die Ausgaben für IT-Security gestiegen sind. Nach Angaben der Befragten stiegen die durchschnittlichen Ausgaben für Cybersicherheit im vergangenen Jahr um 60 % auf rund 5,3 Millionen Euro. Das entspricht einer Steigerung um 250% seit 2019, so der Bericht

Wie werden Unternehmen attackiert?

Um besser zu verstehen, wie Ihr Unternehmen den Bankrott vermeiden kann, müssen wir zunächst wissen, wie Kriminelle so viel Schaden anrichten können. Dem Bericht zufolge sind die wichtigsten Angriffsvektoren folgende:

  • Cloudserver (41%)
  • Geschäftliche E-Mails (40%)
  • Unternehmenseigene Server (37%)
  • Remote Access Server (31%)
  • Mobilgeräte der Mitarbeiter (29%)
  • DDoS-Attacken (26%)

Dies deckt sich mit den Ergebnissen anderer Berichte. Hybrides Arbeiten, pandemiebedingte Investitionen in die Cloud-Infrastruktur und Sicherheitsprobleme im Home Office gehören zu den größten Risiken denen Unternehmen heute ausgesetzt sind. In Kombination mit menschlichem Versagen haben diese Faktoren eine große Angriffsfläche für Bedrohungsakteure geschaffen.

Was nun?

Besorgniserregend ist die Tatsache, dass der von Hiscox geschätzte Cyber-Abwehr Score im Vergleich zum Vorjahr um 2,6 % gesunken ist. Daneben kam es zu einem starken Rückgang der Zahl der als „Abwehrexperten“ eingestuften Unternehmen – von 20 % auf nur noch 4,5 %. Der Anteil der Unternehmen, die als „Anfänger“ eingestuft wurden, ging allerdings ebenfalls deutlich zurück, so dass die meisten als „Mittelstufe“ eingestuft wurden. Cyber-Abwehrbereitschaft ist wichtig: Gemessen am Prozentsatz der Einnahmen sind die durchschnittlichen Kosten durch erfolgreiche Angriffe zweieinhalb Mal höher für Firmen die als „Cyber-Anfänger“ eingestuft werden, so der Bericht.

Wie sieht also ein gut aufgestelltes Unternehmen bei der Cyber-Abwehr aus? Glücklicherweise hängt das nicht nur davon ab, wie viel Geld zur Verfügung steht. Es werden mehrere „Best-Practices“ genannt, darunter die folgenden:

  • Etablierung der Cybersicherheit mit klar definierten Rollen und Unterstützung durch den Vorstand oder die Geschäftsleitung
  • Sicherstellen, dass Top-Führungskräfte einen klaren Überblick über die Cybersicherheit haben und sich mit ihr beschäftigen
  • Best-Practice Empfehlungen wie z.B. im Digital Security Guide im Blick haben
  • Verteilung der Investitionen auf die fünf Schlüsselfunktionen – Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung
  • Planung der Reaktion auf Zwischenfälle und der Simulation von Angriffen im Lichte der aktuellen geopolitischen Entwicklungen
  • Regelmäßige Bewertung der Daten- und Technologieinfrastruktur des Unternehmens
  • Wirksame Schulungen zum Thema Cybersicherheit anbieten
  • Einhaltung der Sicherheitsanforderungen auch bei Lieferanten und Partnern
  • Konzentrieren Sie sich auf grundlegende Dinge wie Patching, Pentesting und regelmäßige Backups

Zusammengenommen tragen diese Schritte dazu bei, das Risiko zu minimieren, dass ein Angriff das Unternehmen in den Ruin treibt.

WEITERFÜHRENDE ARTIKEL:
KMUs im Fadenkreuz von Ransomware 
Tipps zur Kommunikation des Themas „Datensicherheit“ in Ihrem Unternehmen

 

Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!