Myst - stock.adobe.com
IT-Analysen: Warum Sie nicht jeder Statistik trauen sollten
Seit Jahren hält sich die Aussage einer Umfrage hartnäckig und wird oft zitiert. Firmen sollten vorsichtig mit solchen Zahlen umgehen und die Quellen belegen.
Oft werden Statistiken als Marketingwaffe genutzt, um Kunden in eine bestimmte Richtung – im besten Falle zum Kauf einer Lösung – zu lenken. Gerade im Cybersecurity-Umfeld wird gern mit der Angst der Nutzer gespielt, aber kann man allen Zahlen Glauben schenken? Generell sind Umfragen und Statistiken ein valides Mittel, Trends oder Branchenschwächen aufzudecken, sollten aber generell kritisch betrachtet und mit Vorbehalt wiederverwendet werden.
Seit Jahren macht eine ursprünglich der National Cybersecurity Alliance (NCSA) zugeschriebene Studienaussage die Runde und hält sich hartnäckig. Hier ging es um die Frage Wie viele kleine und mittlere Unternehmen müssen nach einem Cyberangriff Insolvenz anmelden?. Die Studie wolle belegt haben, dass 60 Prozent nach einer Cyberattacke insolvent sind, 70 Prozent nach drei Jahren und ein kleinerer Prozentanteil nach sechs Monaten. Soweit die Behauptung.
Bereits 2016 zitierte die Börse Online diese Zahlen und führte die NCSA als Referenz an. Im Jahr 2018 findet sich ein entsprechender deutschsprachiger Artikel in der Taiwan News, in dem zwar auch die NCSA erwähnt, aber auf eine andere, englische Quelle verlinkt wird (Inc.com). Auch businesswire bezieht sich in einem Artikel in 2018 auf die 60 Prozent der Unternehmen, die angeblich nach einem Cyberangriff dicht machen müssen.
Das Schweizer Unternehmen Savernova, Anbieter einer Cloud-basierten E-Mail-Lösung, benutzte 2021 die Statistik in einem Blogeintrag, der nach wie vor auf ihrer Webseite zu finden ist. In dem Blog geht es darum, warum besonders KMUs von Cyberattacken gefährdet sind, eine klassische Strategie, Umfragezahlen zum Marketing-Tool zu machen.
Auch auf LinkedIn machten diese Informationen die Runde und wurden unter anderem von Branchenfachleuten (in diesem Fall Head of Cybersecurity) im Februar 2023 zitiert. ITK-Händler ALSO nutzte die Informationen in einer Pressemeldung zu einer Kooperation im Bereich der Cyberresilienz. Die Pressemeldung vom Juni 2021 ist auf der ALSO-Webseite zu finden und macht keine Angaben zur Quelle dieser Aussage.
Am interessantesten ist vielleicht, dass auch Security-Experte Kaspersky mit genau diesen Zahlen hausieren geht, ohne Referenz und auch ohne Angabe eines Datums. Auch hier handelt es sich um einen Blog zum Thema Sicherheitstipps für kleine Unternehmen.
Nicht von den Fakten untermauert
Eine wirkliche Quelle für diese Zahlen ließ sich allerdings nicht finden, eine Phantomstatistik also. Die Aussagen halten sich so hartnäckig und werden immer wieder zitiert, häufig in englischen Beiträgen, Präsentationen oder Blogs, dass sich die NCSA Anfang Mai 2022 gezwungen sah, sich von ihr zu distanzieren. Die Organisation veröffentlichte eine unmissverständliche Erklärung zu einer Studie, die offenbar aus dem Jahr 2011 stammt.
„Die National Cyber Security Alliance (NCSA) hat festgestellt, dass die Weitergabe und Verwendung dieser Drittanbieterstatistik aus dem Jahr 2011 zugenommen hat: 60% der Unternehmen schließen innerhalb von sechs Monaten nach einem Cyberangriff", so die NCSA in ihrer Erklärung. „Diese Statistik wurde nicht durch die Forschung des NCSA generiert und wir können ihre ursprüngliche Quelle nicht überprüfen. Das NCSA hat seit mehreren Jahren nicht mehr aktiv auf diese Statistik verwiesen, aber wir haben herausgefunden, dass sie in einer veralteten Infografik auf unserer Website enthalten war. Wir haben alle diese Verweise entfernt und empfehlen nicht, sie weiterhin zu verwenden. Medienvertreter, politische Entscheidungsträger, Kleinunternehmen und andere werden ermutigt, sich auf aktuellere und klarer belegte Daten zu verlassen.“
Solche Statistiken sorgen regelmäßig für Diskussionen, und das offensichtlich zu Recht. Die Tatsache, dass eine fragwürdige Umfrage aus dem Jahr 2011 noch immer die Runde macht, zeigt auch die Verantwortung der Medien und Fachleute beim Umgang mit entsprechenden Informationen. Journalisten erhalten regelmäßig Umfrageresultate zu den unterschiedlichsten Themenbereichen, aber wohl kaum einer ist so gefragt und wichtig wie Cybersicherheit. Dass es dieses Thema bis in die Massenmedien geschafft hat, heißt auch, dass das Bewusstsein dafür auf allen Ebenen geschärft wurde. Es bedeutet ebenfalls, dass die inflationäre Nutzung von Statistiken leicht zu Unachtsamkeit führen kann. Dann werden imposant klingende Zahlen leichtfertig und ohne große Quellenüberprüfung genutzt, da sie eine gute Headline bieten und vor allem Angst schüren, was sich wiederum perfekt als Verkaufsstrategie verwenden lässt.
Dass Cyberattacken eine reale Gefahr für Unternehmen und kritische Infrastruktur sind, ist unbestreitbar und auch Computerweekly.de beschäftigt sich regelmäßig damit. Für eine korrekte Berichterstattung lassen sich durchaus Statistiken und Umfragen benutzen, allerdings immer mit Vorsicht und gründlicher Quellenangabe. Neben vielen Security-Anbietern und Analystenhäusern lassen mittlerweile auch zahlreiche Versicherungen Studien anfertigen, um die Branchenstimmung besser einschätzen zu können. Zahlen zur Insolvenzgefahr lassen sich dabei nicht immer finden. Das Versicherungsunternehmen HISCOX gibt jährlich eine Studie beim Forschungsinstitut Forrester in Auftrag. Dieser Cyber Readiness Report beleuchtet unter anderem die Kosten und die Folgen eines Cyberangriffs. Dabei gaben 21 Prozent der Befragten sowohl 2022 und 2023 an, dass sie bei einem Cyberangriff eine Insolvenz befürchteten oder sich davon bedroht sahen. Darüber hinaus steigt auch der Prozentanteil der etwas über 5.000 Studienteilnehmer, die wachsende Kosten als Folge einer Cyberattacke bemerkten.
Insolvenzen sind durchaus eine Gefahr
Es scheint jedoch klar zu sein, dass ein Cyberangriff in großem Stil einem Unternehmen, das sich bereits in Schwierigkeiten befindet, einen tödlichen Schlag versetzen kann, was auch in Deutschland bereits der Fall war. Eines der bekanntesten Beispiele war wohl der Fahrradhersteller Prophete, der Ende 2022 seine Tore schließen musste. Das Unternehmen wurde von einem Cyberangriff für mehrere Wochen lahmgelegt. Da die Firma bereits vorher in einer wirtschaftlichen Schieflage war, bedeutete dieser Angriff letztlich den Todesstoß für Prophete.
Dieses Beispiel verdeutlicht die reale Gefahr von Cyberattacken. Studien können helfen, die Bedrohungen besser zu verstehen, müssen aber auf jeden Fall einem kritischen Blick standhalten. Glauben Sie nicht alles, was Ihnen als Zahlen vorgelegt wird. Machen Sie sich ein umfassenderes Bild als nur einer reißerischen Aussage Glauben zu schenken. Dies sollte für alle Umfrageresultate oder Statistiken gelten, nicht nur im Security-Bereich. Gemäß dem Motto: Traue keiner Statistik, die du nicht selber gefälscht hast.
Dieser Artikel wurde auf Basis eines Beitrags von LeMagIT erstellt.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
