Das US-amerikanische Marktforschungsunternehmen Ponemon Institute nahm sich in einer zeitaufwändigen Studie der Kosten an, die Cyber-Kriminalität in den Unternehmen verursacht. "Wir sind der Meinung, dass ein besseres Verständnis der Kosten der Cyber-Kriminalität den Unternehmen hilft, die notwendigen Investitionen und Aufwände zu bestimmen, um die Folgen eines Angriffes zu vermeiden oder möglichst gering zu halten", schreiben die Studienautoren.
Herkömmliche Studien lieferten die dafür erforderliche Datenbasis nicht. Für die Deutschland betreffende Analyse der repräsentative Studie "2014 Cost of Cyber Crime", die von HP in Auftrag gegeben wurde, führten die Ponemon-Mitarbeiter Interviews mit 408 Vertretern aus 46 Unternehmen. Jede der beteiligten Firmen hat mindestens 1000 Mitarbeiter mit Zugang zum Unternehmensnetzwerk.
Schadenshöhe hängt von der Unternehmensgröße ab
Insgesamt mussten die befragten Unternehmen durchschnittlich 6,1 Millionen Euro pro Jahr für die Beseitigung der Schäden durch die Angriffe aufwenden. Die von den Marktforschern in den mehr als 400 Interviews ermittelte jährliche Kostenspanne liegt zwischen 425.000 und 20,2 Millionen Euro.
Nur in den USA sind die Verluste höher: durchschnittlich 9,5 Millionen Euro betragen dort die Aufwendungen für die Entdeckung, Beseitigung und Untersuchung der entstandenen Schäden.
Enthalten sind auch Kosten eventueller Betriebsstörungen und entgangene Einnahmen durch Kundenabwanderung. Über deutlich geringere jährliche Kosten berichten die japanischen, französischen, britischen, australischen und russischen Unternehmen, die an der Befragung teilgenommen haben.
Die relativen Schäden pro Netzwerkzugang sind in Unternehmen mit vielen IT-Arbeitsplätzen geringer als in Firmen mit wenigen IT-Arbeitsplätzen. Große Organisationen müssen durchschnittlich 442 Euro pro Kopf kompensieren, während es bei kleinen Unternehmen 1354 Euro sind.
Teuer wurde es insbesondere dann, wenn die Angreifer sensible Informationen erbeuteten, der Betriebsablauf gestört wurde oder Umsatzverluste zu verzeichnen waren. Kaum ins Gewicht fielen hingegen Schäden an den Geräten selbst.
Mehr Fokus auf Social Engineering und Phishing
Ausnahmslos alle an der Studie beteiligten deutschen Unternehmen waren von Viren, Würmern und Trojanern auf den Endgeräten betroffen und bei 98 Prozent konnten die Angreifer Schadsoftware ins Unternehmensnetzwerk einschleusen. Trotzdem verursachten diese beiden Angriffsarten im aktuellen Erhebungszeitraum nicht wie in den beiden vorherigen Perioden die höchsten Kosten: Sie waren "nur" für 14 beziehungsweise 7 Prozent der finanziellen Folgebelastungen verantwortlich.
Deutlich teurer kamen die Unternehmen die Beseitigung der Schäden durch den Identitätsdiebstahl durch gefälschte Mails oder Webseiten (Phishing) oder durch das Erschleichen persönlicher Daten durch soziale Manipulation (Social Engineering). Ein Fünftel der Aufwände gingen auf ihr Konto. Für den zweitgrößten Kostenblock stehen Web-basierte Attacken wie SQL Injection und Cross-site Scripting, die für 15 Prozent der Folgekosten verantwortlich sind.
Zwischen einem und 74 Tage benötigten die Unternehmen, die Vorfälle in den Griff zu bekommen; durchschnittlich dauerte es 21 Tage. Die Dauer scheint laut der Analyse von Ponemon abhängig von der Angriffsart auf die Unternehmens-IT zu sein. Am schnellsten sind die Folgen beseitigt, die durch Viren, Würmer, Trojaner, Botnetze und Schadsoftware entstehen. Sie sind nach zwei bis drei Tagen wieder im Griff.
Mehr Aufwand verursachen gestohlene Geräte (12,4 Tage), Phishing- und Social-Engineering-Vorfälle (18,8 Tage) oder Denial-of-Service-Angriffe (20 Tage). Am längsten sind die Mitarbeiter beschäftigt, wenn der Angriff auf die Unternehmens-IT von intern kommt. Erst nach durchschnittlich 54 Tagen waren deren Folgen beseitigt.
Investitionen in effiziente Gegenmaßnahmen
Am kosteneffektivsten sind laut Ponemon-Studie der Einsatz von Security-Intelligence-Systemen (Security Information and Event Management). Die Interpretation der gegebenen Informationen legt nahe, dass Firmen, die derartige Technologien einsetzen, die Angriffe schneller entdecken und ihnen effizienter entgegen wirken können.
Das zweitgrößte absolute Einsparpotenzial liegt in der umfangreichen Nutzung von Verschlüsselungs-Technologien. Setzt man diese Einsparungen ins Verhältnis zu den jeweils erforderlichen Investitionen, liegen ebenfalls diese beiden Technologien vorne. Der Return on Investment von Verschlüsselung beträgt 23 Prozent, der von Security Intelligence 21 Prozent.
Außerdem schnitten Unternehmen, die Steuerungsmechanismen für das Sicherheits-Management (Security Governance) installiert haben oder nach geläufigen Industriestandards zertifiziert sind, in der Ponemon-Studie besser ab.
Die Ernennung eines in der Unternehmenshierarchie weit oben stehenden Sicherheitsbeauftragten und die Einstellung von qualifiziertem Sicherheitspersonal zählen ebenfalls zu den Maßnahmen, die sich schnell bezahlt machen.
Die ausführlichen Studienergebnisse erhalten Sie hier.