Cyberangriffe verursachen 13 Milliarden Euro Schaden pro Jahr allein in Deutschland

Deutschen Unternehmen sind in den letzten fünf Jahren Schäden von insgesamt 65,2 Milliarden Euro durch Internet-Attacken entstanden. Das ergibt eine jährliche Schadenssumme für die deutsche Wirtschaft von rund 13 Milliarden Euro – so viel wie die Bundesregierung im Jahr 2016 in die komplette Infrastruktur des Landes investieren will. Besonders stark betroffen ist die herstellende Industrie.

Zu diesem Ergebnis kommt eine aktuelle Studie des Center for Economics and Business Research (Cebr) im Auftrag des Spezialisten für Anwendungssicherheit Veracode [1]. Vor allem Web- und Cloud-Anwendungen als Einfallstor bereiten Unternehmen demnach Sorge. Zudem untersucht die Studie, wer im Unternehmen im Falle eines Cyber-Sicherheitsvorfalls die Verantwortung tragen sollte.

grafik world economic forum global risks 2016

Abbildung: Globale Top-Gefahren nach Wahrscheinlichkeit und Auswirkungen. Quelle: World Economic Forum, Global Risks 2016 Report

 

Für die Studie wurden deutsche Unternehmen mit über 1.000 Beschäftigten befragt. Im Schnitt wurde jedes befragte Unternehmen in den letzten fünf Jahren zweimal Opfer eines Cyberangriffs. Überdurchschnittlich oft traf es Firmen im Baugeschäft mit 2,7 und die Logistikunternehmen mit 2,5 Attacken aus dem Netz. Die Schäden durch diese Angriffe in den letzten fünf Jahren verteilen sich höchst unterschiedlich auf verschiedene Branchen:

  • Die herstellende Industrie hat mit 27 Milliarden Euro Schaden die höchsten Schäden erlitten.
  • Die Versorgungs-, Industrie- und Bergbaubranche hat Schäden von 9,2 Milliarden Euro zu beklagen.
  • Die Baubranche verzeichnete mit 6,5 Milliarden Euro die dritthöchste Schadenssumme.

Hintergrund der hohen Schadenssummen in diesen Branchen sind die oftmals starke Vernetzung ihrer Geschäfte, zum Beispiel durch das Fortschreiten von Industrie-4.0-Technologien, sowie die wertvollen Daten, die hier gesammelt werden. Vor dem Hintergrund dieser enormen Kosten haben neun von zehn (89 Prozent) der befragten Unternehmen vor, ihre IT-Sicherheitsausgaben zu erhöhen. Allein für Unternehmen der herstellenden Industrie prognostiziert Cebr einen jährlichen Anstieg von 578.000 Euro über die nächsten fünf Jahre.

Ausgaben für IT-Sicherheit erhöhen

»Kein Unternehmen in Deutschland sollte Investitionen in die Cybersicherheit vernachlässigen,« erklärt Markus Schaffrin, Sicherheitsexperte beim Branchenverband der Internetwirtschaft eco. »Die Studie zeigt, dass erfreulicherweise die meisten großen Unternehmen das erkannt haben und planen, ihre Ausgaben für IT-Sicherheit zu erhöhen. Die restlichen sollten sich fragen: Wie teuer ist es für ein Unternehmen, wenn es gehackt wird und Cyberkriminelle Produktionsanlagen lahmlegen, geistiges Eigentum oder private Daten entwenden?«

»Wir sehen, dass sich die IT-Sicherheit grundsätzlich wandeln muss«, erläutert Julian Totzek-Hallhuber, Solution Architect bei Veracode. »Unternehmen setzen heute eine Vielzahl von Anwendungen für verschiedene Geschäftsbereiche ein. Doch diese selbstentwickelten oder zugekauften Anwendungen weisen immer wieder Sicherheitslücken auf, die es Cyberkriminellen ermöglichen, anzugreifen und großen Schaden anzurichten.«

Exploits

Vor allem Exploits, also das Ausnutzen von Schwachstellen, in Cloud- und Web-Anwendungen (66 Prozent) und gleichauf mobile Apps und Unternehmensinsider (je 65 Prozent) bereiten den befragten Unternehmen Sorgen, wenn es um Angriffsmöglichkeiten für Cyberkriminelle geht. Für den Fall eines Cyber-Sicherheitsvorfalls, fürchtet sich knapp die Hälfte der befragten Unternehmen vor den direkten Aufwendungen für Gegenaktionen, eventuelle Strafzahlungen oder Rechtsstreitigkeiten und Umsatzeinbußen (46 Prozent). Noch größer ist aber die Angst vor langfristigen Schäden für die Unternehmensreputation (59 Prozent).

grafik cebr veracode arten von cyberattacken

Einstellung von Entscheidern

Neben den direkten und indirekten Schäden durch Cyberattacken untersucht die Studie auch die Einstellung von Entscheidern in großen deutschen Unternehmen zur unternehmensinternen Verantwortlichkeit bei erfolgreichen Cyberattacken und zur IT-Sicherheit im Allgemeinen. Die wichtigsten Ergebnisse sind:

  • 90 Prozent aller IT-Sicherheitsbeauftragten (CISO) denken, dass die aktuellen IT-Sicherheitsrichtlinien die Innovationskraft ihres Unternehmens schädigen. Auf der CEO-Ebene sind es nur etwas mehr als 60 Prozent.
  • Die Entscheider sind aber auch bereit, Verantwortung zu übernehmen: 80 Prozent der CISOs würden sich bei einem erfolgreichen Cyberangriff selbst in der Verantwortung sehen, bei CEOs sind es immerhin 44 Prozent.
  • Generell stellt die Studie eine hohe emotionale Bindung der befragten IT-Entscheider an ihr jeweiliges Unternehmen fest. Rund 37 Prozent würden eine Cyberattacke daher auch als persönlichen Angriff verstehen.

grafik cebr veracode cybersicherheit innovation

[1] Die Studie wurde vom Centre for Economics and Business Research (Cebr) im Auftrag von Veracode durchgeführt. Wichtigste Datenbasis war eine Befragung von Entscheidern und Führungskräften aus großen deutschen Unternehmen (mehr als 1.000 Mitarbeiter) durch GMI Research im November 2015. Hierbei wurden 205 Unternehmen befragt. Die Befragung enthielt Erfahrungen der Unternehmen mit der Bedrohung durch Cyberangriffe und deren Auswirkungen sowie generelle Einstellungen zum Thema IT-Sicherheit. Auf Basis dieser Daten konnte Cebr mit Hilfe eigener Recherchen die Schäden für die deutsche Wirtschaft einschätzen. Die komplette Studie mit allen Ergebnissen und Einschätzungen finden Sie hier: 160512 Veracode Cebr report German final