Die Bedrohungslage durch Cyberangriffe verschärft sich weltweit und Unternehmen geben mehr Geld denn je aus, um sich mit den Kosten und Folgen immer komplexerer Angriffe auseinanderzusetzen. Das zeigt die 9. »Cost of Cybercrime«-Studie, die die Unternehmensberatung Accenture gemeinsam mit dem Ponemon Institute in elf Ländern und 16 Branchen durchgeführt hat. In Deutschland wurden im Rahmen der Untersuchung 289 Führungskräfte aus 40 Unternehmen befragt. Bei diesen Firmen stiegen die durchschnittlichen Kosten im Zusammenhang mit Cyberangriffen im vergangenen Jahr um 18 Prozent auf rund 13 Mio. US-Dollar. Bezogen auf die letzten fünf Jahre haben sie sich fast verdoppelt (+40 %).

Malware ist die häufigste Art von Cyberangriffen in Deutschland, gefolgt von personenbezogenen Attacken durch Phishing und Social Engineering. Auf Personen ausgerichtete Angriffsarten wie gezielte Ransomware (+4 %) und schädliche Unternehmens-Insider (+3 %) weisen die höchsten Zuwachsraten auf. Außerdem nehmen Attacken durch Malware (+3 %) und Denial-of-Service (+3 %) zu. Um dieser Bedrohungslage Herr zu werden, investieren Unternehmen verstärkt. So fließen heute 15 Prozent des Cybersicherheitsbudgets in Maßnahmen gegen schnell wachsende Cyberangriffe mit Personenbezug wie Phishing oder Ransomware.

Auch die Kosten, die den Unternehmen für einzelne Vorfälle entstehen, steigen: Attacken durch böswillige Insider sind die teuersten Angriffsarten. Die Kosten hierfür lagen 2018 in Deutschland bei rund 231.269 US-Dollar. Dies ist ein Anstieg von elf Prozent im Vergleich zum Vorjahr. Am stärksten stiegen jedoch die Kosten für Ransomware-Attacken. Hier haben sich die Kosten mit einem Zuwachs von 92 Prozent auf 74.400 US-Dollar nahezu verdoppelt, da es mittlerweile deutlich länger dauert diese Angriffsart zu bewältigen (+26 % in 2018).

Nur 17 Prozent der CISOs sagen, dass die Mitarbeiter für die Cybersicherheit mitverantwortlich sind

»Menschen, Daten und Technologien – alle Bereiche eines Unternehmens bergen Risiken. Häufig sind IT-Sicherheitsteams nicht intensiv genug daran beteiligt, schützenswerte Innovationen zu identifizieren und sie danach gezielt zu sichern«, stellt Uwe Kissmann, Geschäftsführer bei Accenture Security fest. »Dieser isolierte Ansatz ist schädlich für das Geschäft und kann zu schlecht abgegrenzten Verantwortungsbereichen innerhalb der gesamten Organisation führen. Auch der Irrglaube, dass Sicherheit und der Aufbau von Cyber-Resilienz nicht von allen Mitarbeitern mitgetragen werden muss, kann zu dieser Fehleinschätzung führen. Unsere Studie zeigt, dass es höchste Zeit ist, einen holistischen, proaktiven und präventiven Ansatz für das Cyber-Risikomanagement zu entwickeln, der uneingeschränktes Engagement von Partnern im gesamten Ökosystem beinhaltet. Es geht darum, den Geschäftserfolg zu schützen und nicht die IT.«

Weitere wichtige Ergebnisse der Studie sind:

2018 verzeichneten die im Rahmen der Studie befragten Unternehmen weltweit im Durchschnitt je 145 Cyberangriffe, die zur Infiltration ihrer Kernnetzwerke beziehungsweise Unternehmenssysteme führten. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren. In Deutschland verzeichneten die Studienteilnehmer durchschnittlich 81 Attacken, was einem Rückgang von fünf Prozent gegenüber dem Vorjahr entspricht.

Die wirtschaftlichen Folgen sind trotzdem kostspielig: Der Verlust von Informationen gehört für deutsche Unternehmen zu den teuersten Folgen von Cyberattacken (6 Mio. US-Dollar), gefolgt von Kosten, die durch Betriebsstörungen entstehen (4,8 Mio. US-Dollar).

Im Branchenvergleich verursacht Cyberkriminalität bei Banken und Energieversorgern in Deutschland die höchsten Kosten. In Banken sind die Kosten von 16,55 Mio. US-Dollar im Jahr 2017 auf 18,37 Mio. US-Dollar in 2018 gestiegen und bei Energieversorgern von 15,11 Mio. US-Dollar in 2017 auf 17,84 Mio. US-Dollar in 2018.

Der globale Ländervergleich zeigt, dass die USA den höchsten Zuwachs an Kosten durch Cyberkriminalität im Jahr 2018 mit 29 Prozent verzeichneten. Die durchschnittlichen Kosten lagen bei 27,4 Mio. US-Dollar pro Unternehmen. Japan erreichte mit 13,6 Mio. US-Dollar den zweithöchsten Wert, gefolgt von Deutschland mit 13,1 Mio. US-Dollar und Großbritannien mit 11,5 Mio. US-Dollar. Die Länder mit den niedrigsten Durchschnittskosten pro Unternehmen waren Brasilien und Australien mit 7,2 Mio. US-Dollar beziehungsweise 6,8 Mio. US-Dollar.

»Ein gesteigertes Bewusstsein für die negativen Auswirkungen von Cyberangriffen, sowie eine informierte und zielgerichtete Einführung innovativer Sicherheitstechnologien sind der beste Weg, um sich vor Cyberrisiken zu schützen«, erklärt Uwe Kissmann. »Die größten Kosteneinsparungen lassen sich mit modernen Identitäts- und Zugriffsrichtlinien, dem Einsatz von Automatisierung, künstlicher Intelligenz, maschinellem Lernen sowie der Ausgabe von Sicherheitsinformationen und einer besseren Risikoverteilung erzielen. Das funktioniert jedoch nur bei vollständiger Implementierung über alle Unternehmensbereiche hinweg und klarem Fokus auf den Schutz der wichtigsten Daten und Informationen. Unterlässt man dies, verbrauchen bereits generische Schutzmaßnahmen sowohl das Budget als auch die personellen Mittel.«

5,2 Billionen US-Dollar Umsatz könnten Unternehmen weltweit durch Cyberattacken in den nächsten fünf Jahren entgehen. Das jedenfalls schätzen die Analysten von Accenture in der aktuellen Studie »Securing the Digital Economy: Reinventing the Internet for Trust«. Am stärksten betroffen ist die Hightech-Industrie mit mehr 753 Milliarden US-Dollar. Es folgen Biowissenschaften (642 Milliarden US-Dollar) und Automobilindustrie (505 Milliarden US-Dollar). »Beim Thema Cybersecurity hinken die meisten Unternehmen der Raffinesse der Cyberkriminellen hinterher. Das führt zu einem Vertrauensverlust in die digitale Wirtschaft«, so Uwe Kissmann, Geschäftsführer von Accenture Security in Europa. Mathias Brandt

Cyberkriminalität könnte Unternehmen weltweit in den nächsten fünf Jahren rund 5,2 Billionen US-Dollar kosten

Weltweit drohen Unternehmen in den kommenden fünf Jahren Mehrkosten und Umsatzverluste durch Cyberangriffe in Höhe von rund 5,2 Bio. US-Dollar. Grund dafür ist, dass die Abhängigkeit von komplexen internetfähigen Geschäftsmodellen die Fähigkeit zur Einführung wichtiger Sicherheitsvorkehrungen zum Schutz kritischer Vermögenswerte übertrifft. Zu diesem Ergebnis kommt die aktuelle Studie des Beratungsunternehmens Accenture »Securing the Digital Economy: Reinventing the Internet for Trust« [1].

Das Internet wird in puncto Cybersecurity immer instabiler, sagten mehr als die Hälfte der weltweit in der Studie Befragten (59 %). Das kann für Unternehmen verheerende Folgen haben. Cyberkriminalität kann die betrieblichen Abläufe, die Innovationsfähigkeit und das Wachstum einer Firma erheblich gefährden und Kosten in Billionen-Höhe verursachen. Die Studienergebnisse zeigen, dass im weltweiten Branchenvergleich die Hightech-Industrie mit mehr als 753 Mrd. US-Dollar möglicher Verluste am gefährdetsten ist, gefolgt von der Life-Science- und der Automobilindustrie mit 642 Mrd. US-Dollar beziehungsweise 505 Mrd. US-Dollar.

»Beim Thema Cybersecurity hinken die meisten Unternehmen der Raffinesse der Cyberkriminellen hinterher. Das führt zu einem Vertrauensverlust in die digitale Wirtschaft«, Uwe Kissmann, Geschäftsführer von Accenture Security in Europa. »Um resistent gegen Cyberangriffe zu werden, müssen Unternehmen das Fachwissen der Chief Information Security Officers (CISO) in den Vorstand tragen und dafür sorgen, dass Security ein integraler Bestandteil aller neuen Projekte wird. Wenn es um Sicherheit und Datenschutz geht, sollten alle Geschäftsführer in die Verantwortung genommen werden. Hier ist eine entschlossene Führung durch Chief Executive Officers (CEO) nötig, nicht nur durch CISOs. Es gilt, den erfolgssichernden Beitrag einer stabilen Cybersecurity in seiner Geschäftsrelevanz zu erkennen und ihn entsprechend zu positionieren.«

Cyberkriminalität hindert Entwicklung der digitalen Wirtschaft

Vier von fünf der globalen Teilnehmer (79 %) glauben, dass sich die Entwicklung der digitalen Wirtschaft deutlich verlangsamen wird, wenn es keine Verbesserung der Cybersicherheit gibt. Das ist problematisch, da laut der Studie 91 Prozent der deutschen Unternehmen der Meinung sind, dass eine vertrauenswürdige digitale Wirtschaft entscheidend für das zukünftige Wachstum ihres Unternehmens ist. Rund 81 Prozent der deutschen Befragten sagen, dass das wirtschaftliche Potenzial des Internets und des Internet of Things (IoT) durch den Aufbau einer vertrauenswürdigeren Digitalwirtschaft mobilisiert werden kann. Unternehmenslenker befinden sich an einem kritischen Wendepunkt: Sie müssen das Vertrauen in die digitale Welt aufbauen.

Die Studie zeigt, dass drei Viertel (75 %) aller Studienteilnehmer der Meinung sind, dass die Problemstellungen rund um Cybersicherheit Zusammenarbeit erfordern. Kein Unternehmen könne diese Herausforderung allein lösen. Angesichts der zunehmenden Bedrohung durch Cyberkriminalität befürworten mehr als die Hälfte (56 %) der weltweit befragten Führungskräfte schärfere Richtlinien, die von einer übergeordneten Instanz oder einer Aufsichtsbehörde erlassen werden.

»Bei der Entstehung des Internets konnte niemand das heutige Ausmaß an Komplexität und Vernetzung vorhersehen. Heute braucht es nur einen Klick, um einem verheerenden Cyberangriff zum Opfer zu fallen«, erklärt Uwe Kissmann. »Entscheidend ist die Erkenntnis, dass die Mehrheit des Schadens nicht etwa durch die Beschädigung der IT entsteht, sondern durch die daraus folgenden Ausfälle der unternehmerischen Kernprozesse, welche in einem digitalen Geschäftsmodell viel stärker mit der IT verzahnt sind.« Um eine Zukunft zu gestalten, die von einer starken und vertrauenswürdigen digitalen Wirtschaft lebt, müssen Führungskräfte im Ökosystem zusammenarbeiten, um ihre gesamten Wertschöpfungsketten erfolgreich abzusichern – über jeden Partner, Lieferanten und Kunden hinweg. Wichtig ist hierbei auch ein CISO, der sich im Spagat zwischen geschäftsstrategischen Fragestellungen und einem hochdynamischen, technologischen Umfeld wie der Cybersecurity wohlfühlt, um als wertschöpfender Sparringpartner auf C-Level wahrgenommen zu werden.

Security-Entwicklung liegt hinter dem Technologiefortschritt zurück

Das schnelle Wachstum neuer Technologien ist aufgrund der stärkeren Vernetzung eine zusätzliche Herausforderung. Vier von fünf deutschen Managern (78 %) räumen ein, dass ihr Unternehmen neue Technologien schneller einsetzt, als Sicherheitskonzepte angepasst werden können. Weltweit stellen Dreiviertel (76 %) fest, dass ihnen aufgrund neuer Technologien wie dem Internet der Dinge (IoT) oder dem industriellen Internet der Dinge (IIoT) die Kontrolle über die Cybersicherheit entgleitet. Die überwiegende Mehrheit der befragten Manager aus Deutschland (77 %) gab an, dass es immer schwieriger sei, ihre Systeme vor den Schwachstellen Dritter zu schützen. Auch der Verbraucherschutz ist für viele Führungskräfte ein wesentliches Thema. So glauben 76 Prozent der global Befragten, dass die Online-Identitäten von Verbrauchern nicht sicher sind, wenn zu viele ihrer persönlichen Daten bereits uneingeschränkt verfügbar sind.

Die Studie schlägt drei Handlungsoptionen zur Verbesserung der Internetsicherheit vor:

1. Governance: (Globale) Zusammenarbeit mit anderen Unternehmen – Firmen müssen die Zusammenarbeit mit Führungskräften, Regierungsvertretern und Aufsichtsbehörden stärken, um besser zu verstehen, wie man Cyberangriffe verhindert.

2. Geschäftsarchitektur: Schutz und Sicherheit mit einem Modell, das auf digitalem Vertrauen beruht – Unternehmen müssen sich intensiv mit den Grundprinzipien der Cybersicherheit beschäftigen und ihre Geschäftsmodelle über das gesamte Ökosystem von Partnern und Lieferketten hinweg schützen.

3. Technologie: Die Geschäftsentwicklung fördern und die Sicherheit verbessern – Es gilt, neue Technologien anzuwenden, IoT-Security zu beherrschen und sich auf die Quantum-Herausforderung vorzubereiten. Gleichzeitig müssen Software-Sicherheit und Update-Funktionen auf mobilen und IoT-Geräten von Beginn an integriert sein.

[1] Für die Studie Securing the Digital Economy: Reinventing the Internet for Trust von Accenture wurden im Zeitraum Oktober und November 2018 rund 1.711 Führungskräfte von Unternehmen (davon 108 aus Deutschland) mit einem Jahresumsatz von mindestens einer Mrd. US-Dollar in 13 Ländern befragt: Australien, Brasilien, Kanada, China, Frankreich, Deutschland, Indien, Italien, Japan, Spanien, Schweiz, Großbritannien und die Vereinigten Staaten. Vertiefende Interviews wurden mit CEOs (61 %), Chief Operating Officers (20 %), Chief Innovation Officers (9 %) und Chief Strategy Officers (9 %) geführt. Die durchschnittlichen Kosten der Cyberkriminalität wurden prozentual zum Umsatz jeder Branche berechnet – einschließlich der Kosten für die Bekämpfung eines massiven Cyberangriffs, auf der Grundlage unserer Analyse von 460 schwerwiegenden Zwischenfällen. Die Kosten der Cyberkriminalität umfassen sowohl die Unternehmenskosten, die bei der Bekämpfung von Cyberkriminalität anfallen, als auch die, die durch Einkommensverluste entstehen. Diese Branchenprozentsätze wurden auf die globalen Industrieumsätze angewendet, um ein fünf-Jahres-Modell des Value-at-Risk für die Branche zu erstellen.

