Zum dritten Mal erschien vor kurzem die "2014 Cost of Cyber Crime Study: Germany". Sie wurde vom US-amerikanischen Ponemon Institute durchgeführt und von Hewlett Packard finanziert. Die Analyse der Schäden und Kosten durch Cyber-Kriminalität soll den Verantwortlichen in den Unternehmen helfen, die notwendigen Investitionen in die Sicherheit der Unternehmensnetzwerke und die Datensicherheit zu optimieren. Jürgen Seiter, Leiter Security Services Business D,A,CH und Osteuropa bei HP, erläutert im Interview die Erkenntnisse aus der Studie.

Die Ponemon-Studie "2014 Cost of Cyber Crime" fand heraus, dass die Schäden, die deutsche Unternehmen durch Cyber-Attacken erleiden, steigen. Vernachlässigen die IT-Verantwortlichen die IT-Sicherheit?

Jürgen Seiter: Nein, so pauschal kann man das nicht sagen. Einerseits steigt der Wert der Daten durch die Digitalisierung in den Unternehmen stetig an. Das heißt, dass der Verlust von oder der unerlaubte Zugriff auf Daten finanziell stärker ins Gewicht fallen. Und die Abhängigkeit der Unternehmen von einer funktionierenden IT nimmt ebenfalls zu. Zum anderen werden die Hacker immer raffinierter, sind immer besser organisiert und greifen viel gezielter an als früher.

Bedeutet das, dass die Unternehmen die IT-Security-Kosten weiter hochfahren müssen?

Jürgen Seiter: Höhere Budgets helfen nicht weiter, wenn man an den falschen Stellschrauben dreht. Es geht vor allem darum, die richtigen Investitionen zu tätigen. Die erwähnte Ponemon-Studie hat gezeigt, dass in diesem Jahr erstmals Phishing und Social Engineering - der Diebstahl von Identitäten und das Erschleichen von persönlichen Daten durch soziale Manipulation - in großen Unternehmen die höchsten Folgekosten verursachen.

Darauf sind viele unzureichend vorbereitet. Sie sollten bei den Security-Investitionen auch die Kostenverursacher im Blick haben. Maßnahmen zur Verbesserung der Applikations-Sicherheit und in Schulung der Mitarbeiter stehen nicht ganz oben auf der Prioritätenliste der IT-Verantwortlichen. Hier muss ein Umdenken stattfinden.

Also weniger Investitionen in Netzwerk-und Datensicherheit, mehr Geld für Mitarbeiterschulungen und Anwendungssicherheit?

Jürgen Seiter: Man muss zielgerichtet investieren und darf keinen Sicherheitsaspekt außer Acht lassen. Man muss die richtige Balance zwischen Netzwerk-, Daten-, Anwendungs- und Gerätesicherheit sowie Mitarbeiterschulung finden. Vor allem darf man sich nicht zurücklehnen. Sicherheit ist ein ständiger Prozess.

Eine Firewall allein reicht schon längst nicht mehr als Sicherheitskonzept aus, da diese nur auf Angriffe reagiert. Man muss aber proaktiv agieren. Die Angreifer sind sehr flexibel und erfindungsreich. Hier muss man immer am Puls der Zeit bleiben. HP betreibt beispielsweise acht Security Operations Centers, die ständig das weltweite Security-Geschehen verfolgen und darauf basierend neue Sicherheitsdienstleistungen entwickeln und anbieten.