Nachlässigkeiten können teuer werden
Serie IT-Sicherheit – Folge 4: Was Einbrüche in die IT-Infrastruktur kosten
11. Juni 2019
Brechen Cyberkriminelle in ein IT-Netzwerk ein, können sie Schäden in Millionenhöhe verursachen. Die Kosten sind meist so hoch, dass sie sich in der Jahresbilanz negativ bemerkbar machen.
Ausgaben für die IT-Sicherheit sind ein großer Posten im Budget von Unternehmen. Laut Branchenverband Bitkom gaben Firmen in Deutschland 2018 insgesamt 4,1 Milliarden Euro für die Abwehr von Cyberangriffen aus. 2019 sollen es 4,4 Milliarden Euro werden.
Laut Bitkom-Präsident Achim Berg haben die Unternehmen keine Wahl: „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen“, sagte er bei der Vorstellung einer Studie. Zahlen, die das Ponemon Institute im Auftrag des IT-Konzerns IBM ermittelt hat, unterstreichen Bergs Warnung. Laut der 2018 Cost of a Data Breach Study erlitten deutsche Unternehmen, die Opfer eines Cyber-Angriffs wurden, einen Schaden von durchschnittlich 4,7 Millionen US-Dollar. Und den muss eine Firma erst einmal verkraften.
165 Euro pro gestohlenem Datensatz
Falls sich kleinere Unternehmen aufgrund ihres geringeren Geschäftsvolumens von solchen Zahlen nicht angesprochen fühlen, gibt ihnen vielleicht ein anderes Ergebnis der Ponemon-Studie zu denken. Die Analysten gewichteten zusätzlich die Kosten von Einbrüchen, bei denen Informationen entwendet wurden, mit der Zahl der gestohlenen Datensätze. Das Ergebnis: Jeder in deutschen Unternehmen abhandengekommene Datensatz verursachte im Durchschnitt einen Schaden von rund 165 Euro.
Die Studie gibt überdies einen Überblick, wo die Kosten entstehen. Die Analysten unterscheiden zwei Kategorien: Aufwände für die Entdeckung des Einbruchs und Kosten, die nach der Entdeckung anfallen.
Kosten für Entdeckung und Bekämpfung des Angriffs
Typische Aktivitäten zur Entdeckung und zum Aufrechterhalten des Betriebes sind:
- Bekämpfung des Angriffs und Sicherung des Betriebs
- Ermittlungen und forensische Untersuchungen, um die Verursacher festzustellen
- Analyse, wer von der Datenschutzverletzung betroffen ist
- Organisation des Teams, das auf den Angriff reagiert (Incident-Response-Teams)
- Durchführung geeigneter Kommunikationsmaßnahmen
- Vorbereitung der erforderlichen Dokumente für Opfer der Datenschutzverletzung und Aufsichtsbehörden
- Training von Call-Center-Mitarbeitern und Implementierung von fallbezogenen Prozessen im Call-Center
Kosten für Aktivitäten nach der Entdeckung des Datenschutzvergehens
Mit der Entdeckung des Einbruchs ins IT-System und der Eindämmung der Folgen ist der Fall aber noch nicht erledigt. Es gibt auch danach viel zu tun – und zu bezahlen. Typische Aktivitäten und Kostenquellen im Nachgang eines aufgedeckten Angriffs sind:
- Audit- und Beratungsleistungen zur Verbesserung und Zertifizierung der IT-Sicherheit
- Juristischer Beistand für mögliche Klagen
- Juristische Beratung für die Umsetzung von Compliance-Vorgaben
- Gewährung kostenloser oder vergünstigter Dienstleistungen für betroffene Kunden und Partner als Bindungsmaßnahme
- Verlorener Umsatz aufgrund von Kundenabwanderung und Vertrauensverlust
- Maßnahmen zur Wiederherstellung der Reputation
Dass die in der Ponemon-Studie ermittelten Kosten und die notwendigen Maßnahmen der Realität entsprechen, kann man auf einer Webseite von Hydro und in einer Präsentation nachlesen. Die Dokumente stellte der international tätige Aluminiumhersteller nach einem Angriff am 19. März dieses Jahres online, um Öffentlichkeit und Partner zu informieren. Mehr als 41 Millionen Euro hat der Vorfall nach vorläufigen Schätzungen Hydro allein im ersten Quartal gekostet. Eine Schadenssumme, von der das taiwanesische Unternehmen TSMC nur träumen kann. Der Chiphersteller musste nach einem WannaCry-Angriff einen Umsatzverlust von rund zwei Prozent des Jahresumsatzes hinnehmen – etwa 170 Millionen US-Dollar.
Bisher erschienen in unserer Serie zur IT-Sicherheit folgende Artikel:
Datensicherheit – ein Thema, das alle angeht