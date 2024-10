Die Bedrohung durch einen erfolgreichen Cyberangriff zählt zu den größten Geschäftsrisiken für Unternehmen aller Größen und Branchen. Dies ist auch das Ergebnis des Allianz Risk Barometer 2024, bei dem sich Risikoexperten mit den Risiken für Unternehmen mit beschäftigen. Geschäfts- und IT-Führungskräfte haben guten Grund, Cyberbedrohungen als hohes Risiko einzustufen - und in ein starkes Cybersicherheitsprogramm für ihr Unternehmen zu investieren.

Seit dem Auftauchen der ersten Computerviren in den 1970er Jahren und des Morris-Wurms als erstem großen internetbasierten Angriff im Jahr 1988 haben Umfang und Raffinesse von Cyberangriffen erheblich zugenommen. Außerdem ist die Zahl der Geräte, die mit dem Internet und den Unternehmensnetzen verbunden sind, in den letzten Jahrzehnten regelrecht explodiert. Auch die Abhängigkeit von IT-Systemen für alltägliche Geschäftsaufgaben hat in den letzten Jahren stark zugenommen, was zum Teil auf die Initiativen zur digitalen Transformation in Unternehmen zurückzuführen ist.

Folglich kann ein einziger erfolgreicher Angriff katastrophale Auswirkungen haben, mit dem Potenzial, personenbezogene Daten preiszugeben, den Betrieb eines Unternehmens zum Stillstand zu bringen, kritische Infrastrukturen lahmzulegen und sogar Menschen körperlich zu gefährden.

Die Bedeutung der Cybersicherheit wurde erkannt, und die Verantwortlichen in vielen Unternehmen haben ihr zunehmend Priorität eingeräumt und versuchen, strengere Richtlinien, Verfahren und Technologien zur Abwehr von Cyberbedrohungen aller Art zu implementieren - Datenschutzverletzungen, Ransomware-Angriffe, Phishing und mehr.

Solche Einsicht treibt die Budgets für die Cybersicherheit in die Höhe. Das Beratungs- und Marktforschungsunternehmen Gartner geht davon aus, dass sich die kombinierten Ausgaben für Sicherheit und Risikomanagement von Anwenderunternehmen weltweit im Jahr 2024 auf 215 Milliarden US-Dollar belaufen werden, was einem Anstieg von 14,3 Prozent gegenüber den für 2023 geschätzten 188,1 Milliarden US-Dollar entspricht.

Fast jedes Unternehmen ist auf IT-Systeme angewiesen, um zu funktionieren, was die Folgen eines erfolgreichen Cyberangriffs deutlich erhöht hat. „Wir sind so abhängig von der Technologie geworden, dass die meisten Unternehmen nicht mehr ohne sie auskommen“, sagte Carl Eyler, Direktor des National Cybersecurity Institute an der Excelsior University, einer Online-Schule mit Sitz in Albany, New York.

Kosten und Folgen der Cyberkriminalität für Unternehmen

Die Zahlen zu den Kosten der Internetkriminalität sind beeindrucken. Nachfolgend einige exemplarische Gesamtzahlen:

Der deutschen Wirtschaft entsteht jährlich durch Diebstahl von Daten und IT-Equipment, analoge und digitale Industriespionage sowie Sabotage ein Schaden von 206 Milliarden Euro. Wie der Branchenverband Bitkom ermittelt hat, liegt dieser Wert zum dritten Mal in Folge über 200 Milliarden Euro.

Laut dem „Cost of a Data Breach Report 2023“ von IBM, der auf einer Studie des Forschungsunternehmens Ponemon Institute basiert, die Verstöße zwischen März 2022 und März 2023 untersuchte, betrugen die durchschnittlichen Kosten einer Datenschutzverletzung bei 553 Unternehmen weltweit 4,45 Millionen US-Dollar. Dies war ein neuer Höchststand für den Jahresbericht und bedeutete einen Anstieg um 2 Prozent gegenüber dem Vorjahr und um 15 Prozent gegenüber dem Jahr 2020.

In fast der gleichen Weise ergab die PwC-Umfrage zum digitalen Vertrauen, dass die durchschnittlichen Kosten eines erfolgreichen Cyberangriffs bei 4,4 Millionen US-Dollar liegen, wobei 36 Prozent der Befragten angaben, dass ihr Unternehmen in den letzten drei Jahren von einer Datenschutzverletzung mit geschätzten Kosten von mehr als 1 Million US-Dollar betroffen war.

Eine Anfang 2023 durchgeführte Umfrage ergab, dass die durchschnittliche Lösegeldzahlung als Reaktion auf einen erfolgreichen Ransomware-Angriff in den vorangegangenen 12 Monaten 1,54 Millionen US-Dollar betrug. Dies geht aus dem Bericht „The State of Ransomware 2023“ hervor, der von Sophos, einem Anbieter von Cybersicherheitssoftware, in Auftrag gegeben wurde, der 3.000 IT- und Cybersicherheitsexperten befragte. Das sei fast doppelt so viel wie die durchschnittliche Zahlung von 812.380 US-Dollar in der Version 2022 der jährlichen Umfrage. Darüber hinaus gaben die Umfrageteilnehmer 2023 durchschnittlich 1,82 Millionen US-Dollar an geschätzten Wiederherstellungskosten an, die unter anderem Ausfallzeiten, Arbeitszeit, Gerätekosten und entgangene Geschäftsmöglichkeiten umfassen.

Laut Prognosen des Marktdaten- und Forschungsunternehmens Statista werden sich die jährlichen Kosten der Cyberkriminalität weltweit im Jahr 2023 auf 8,15 Billionen US-Dollar belaufen und bis zum Jahr 2028 auf 13,82 Billionen US-Dollar ansteigen.

Die Liste der Vorfälle im Bereich der Cybersicherheit lässt sich beliebig verlängern. Ein Ransomware-Angriff auf MGM Resorts International im September 2023, bei dem Social-Engineering-Techniken eingesetzt wurden, um Zugang zu privilegierten Benutzerkonten zu erlangen, kostete das Hotel- und Gaststättenunternehmen schätzungsweise 100 Millionen US-Dollar und beeinträchtigte den Zugang zu Kundenzimmern, Kasinospielen und anderen Dienstleistungen. MGM teilte mit, dass es davon ausgeht, dass seine Cybersicherheitsversicherung alle Kosten abdeckt, aber es gab auch bekannt, dass die Angreifer persönliche Daten einiger Kunden gestohlen haben, darunter Führerschein-, Sozialversicherungs- und Passnummern.

Caesars Entertainment war im selben Monat von einem ähnlichen Angriff betroffen. Nach Angaben des Wall Street Journal zahlte das Unternehmen ein Lösegeld in Höhe von 15 Millionen US-Dollar und gab ebenfalls bekannt, dass die Angreifer sensible persönliche Daten von Kunden erlangt hatten. In einem SEC-Filing erklärte Caesars, es habe Maßnahmen ergriffen, um „sicherzustellen, dass die gestohlenen Daten von den unbefugten Angreifern gelöscht werden, obwohl wir dieses Ergebnis nicht garantieren können.“

Ein weiteres bekanntes Beispiel ist ein Ransomware-Angriff auf die Colonial Pipeline im Jahr 2021, der zu Engpässen bei der Gasversorgung in mehreren US-Bundesstaaten führte und den Pipeline-Betreiber 4,4 Millionen US-Dollar an Lösegeldzahlungen kostete, von denen ein Teil später vom US-Justizministerium zurückgefordert wurde. Und das dänische Logistikunternehmen A.P. Moller-Maersk erlitt Verluste in Höhe von über 300 Millionen US-Dollar, nachdem ein Malware-Angriff 2017 die Systeme zum Betrieb seiner Schifffahrtsterminals in aller Welt lahmgelegt hatte.

Ein Unternehmen, das feststellt, dass seine Cybersicherheitsmaßnahmen durchbrochen wurden, sieht sich in der Regel mit einer langen Liste von Ausgaben konfrontiert, um den Angriff abzuwehren, die betroffenen Systeme wiederherzustellen und sich von dem Vorfall zu erholen.

Neben der erforderlichen Arbeitszeit der Mitarbeiter müssen Unternehmen laut Eyler auch mit Kosten für externen technischen Support, interne und externe Rechtsberatung, Kosten für die Meldung von Datenschutzverletzungen und Bußgelder rechnen. Außerdem entstehen ihnen Kosten durch entgangene Umsätze und Geschäfte. „Man weiß nicht, wie umfangreich die Kosten sein werden, wenn man von einer Datenschutzverletzung betroffen ist“, so Eyler.

Der Ruf eines Unternehmens bei den Kunden wird wahrscheinlich ebenfalls in Mitleidenschaft gezogen, was zu weiteren Geschäftseinbußen in der Zukunft führen kann. Sembhi sagte, dass die Kosten und Folgen eines Angriffs sogar Unternehmen in den Ruin treiben könnten - vor allem solche, die nicht über genügend Ressourcen und Reserven verfügen, um die Folgen eines solchen Ereignisses zu überstehen. „Bei kleinen Unternehmen kann ein einziger Angriff das Aus bedeuten“, warnte er.