Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs
Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie jedes Unternehmen wurde bereits angegriffen. Umso erstaunlicher, dass es vielen Verantwortlichen, also den Geschäftsführenden & Vorständen, immer noch am Verständnis für die Notwendigkeit von Cybersecurity-Inevstionen mangelt. – Neuste Zahlen jedenfalls legen diesen Schluss nahe: Laut Studie [1] stufen nur 39,1 % der Mitglieder aus Vorstand und Geschäftsführung das Risiko im beruflichen Umfeld Opfer von Cyberkriminalität oder Datendiebstahl zu werden als hoch bis sehr hoch ein. Gleichzeitig haben sie zu 89,4 % das Gefühl, das Cybersicherheit in Ihrem Unternehmen ernst genommen wird. – Irgendwie seltsam, wenn sie selbst das Thema nicht ernst (genug) nehmen. Dabei sind sie diejenigen, die die Macht haben, den Schutz ihres Unternehmens zu verbessern: durch Investitionen in moderne Cybersicherheitsstrategien und -technologien. Sie müssen sich notwendigerweise mit dem Thema auseinandersetzen und Basiswissen aufbauen, ob sie wollen oder nicht.
Cybersecurity darf nicht länger als ein technisches Problem in die IT abgeschoben werden. Für mehr Widerstandsfähigkeit muss sie als gesamt-organisatorische Aufgabe mit oberster Verantwortung verstanden werden, als existenzbedrohendes Risiko eingestuft werden und als solches priorisiert behandelt werden. Denn Cybersicherheit beinhaltet viel mehr als das Beheben technischer Sicherheitsmängel; es geht um die Schaffung eines Sicherheitsbewusstseins in allen Bereichen des Unternehmens sowie um die nahtlose Integration von Sicherheitspraktiken in den alltäglichen Geschäftsablauf. Wodurch klar wird, dass Cybersecurity eine Gemeinschaftsaufgabe ist; die durch die Unternehmensführung initiiert werden muss.
Natürlich gelingt ein zuverlässiger Schutz vor komplexen, technisch raffinierten Angriffsmethoden nicht mit veralteten, isolierten Security-Lösungen. Effizienz und Effektivität bei der Abwehr von Cyber-Angreifern entsteht durch integrierte Cybersicherheitsplattformen, die Daten verschiedenster Quellen zusammenführen, analysieren, alarmieren, reporten und ggf. sogar erste Gegenmaßnahmen automatisiert einleiten. Unternehmen, denen eigene Ressourcen dafür fehlen, setzen auf Managed Security Services von erfahrenen Security-Dienstleistern. So oder so, Cybersicherheit verursacht Kosten. Dass Investitionen in State-of-the-Art-Cybersecurity-Maßnahmen jedoch kosteneffektiver sind als die Bewältigung der direkten und indirekten Kosten eines erfolgreichen Angriffs, werden wir nachfolgend aufzeigen.
Facts & Figures
80 – 90 % aller erfolgreichen Ransomware-Angriffe erfolgt über nicht verwaltete Geräte
[2]
206 Mrd Euro gesamtwirtschaftlicher Schaden in Deutschland im Jahr 2023 durch Cyberangriffe [3]
Am häufigsten entstehen Schäden durch Phishing, Passwortdiebstahl und Malware [3]
32 % der befragten CMOs nennen den Verlust von Kunden als Folge von Datenschutzverletzungen/-vorfällen an [4]
Die wichtigsten drei Gefahrenquellen: 1. Kompromittierung der Lieferkette durch Software-Abhängigkeiten, 2. Fachkräftemangel 3. Menschliches Versagen und ausgenutzte Altsysteme [5]
68 % der deutschen Unternehmen überprüfen, ihre Cybersicherheit regelmäßig [6]
60 % der KMU-Entscheidenden in Deutschland wissen mit dem Begriff „Ransomware“ nichts anzufangen [6]
Hoffnung: Die Ausgaben für IT-Sicherheit in Deutschland steigen stetig, in 2025 auf 10,3 Mrd Euro in (Bitkom Prognose) im Vergleich zu 6,9 Mrd in 2021 [3]
Die wahren Folgekosten eines Cyberangriffs
Ein Cyberangriff kann weitreichende und oft unterschätzte, finanzielle und nicht-finanzielle Folgen für Unternehmen haben. Die direkten Kosten, wie etwa für die Wiederherstellung von Daten und Systemen und Bußgeldzahlungen, sind nur die Spitze des Eisbergs.
Hinzu kommen indirekte Ausgaben, die sich in Form von Reputations- und Vertrauensverlusten bei Kunden sowie rechtlichen Konsequenzen niederschlagen.
Während sich die direkten Kosten abschätzen lassen, sind die indirekten Kosten schwer kalkulierbar. Die indirekten Kosten sind im Grunde kein Risiko, sondern eine echte Unsicherheit. Und genau darin liegt die Schwierigkeit der Behandlung im Risikomanagement. Wir widmen uns deshalb im nächsten Abschnitt den Kosten, die sich beziffern lassen. Am Beispiel eines echten Vorfalls zeigen wir die Folgekosten eines Cybervorfalls und für dessen Aufarbeitung.
Direkte Kosten durch einen Cybervorfall, ein Fallbeispiel aus der Praxis
Die Ausgangslage: Ein deutscher Mittelständler mit etwa 150 Mitarbeitenden, drei Standorten mit 25 Servern und 150 Clients (Workstations, Computer, Notebooks) wurde Opfer eines Cyberangriffs: Eine Ransomware-Gruppe war ins Unternehmen eingedrungen und hatte alle Server verschlüsselt. Das Unternehmen hatten damit kein Zugriff mehr auf Daten oder Services. Alle Kommunikationssysteme, alle Geräte, alle Benutzeraccounts mussten erst einmal als nicht mehr vertrauenswürdig eingestuft werden. Das Unternehmen rief einen im Incident Response erfahrenen Enginsight-Partner zur Hilfe und begann die Aufarbeitung. Die entstandenen Aufwände zeigt die nachfolgende Tabelle.
MAßNAHME | KOSTEN | HINWEIS |
Erstmaßnahmen | ||
Erstellen neuer, vorläufiger Kommunikationswege zur Wiederherstellung der wichtigsten Geschäftstätigkeiten | 5.000 € | Hierunter fallen u. a. M365-Tenant, neue Domain, Zugriff auf Banking-Software. |
Kosten für zusätzliche Datenträger zur Imagesicherung der Endgeräte | 3.000 € | Wiederherstellung Dateien, Beweissicherung, Forensik |
Dienstleistung Sicherung, Bereinigung und Neuinstallation der Endgeräte | 20.000 € | |
Dienstleistung Auditierung/Härtung M365-Tenant | 10.000 € | |
Dienstleistung Kommunikation mit LKA, BKA, Landesdatenschutz, Endkunden, Lieferanten | 15.000 € | |
Dienstleistung Neukonzeptionierung Rechenzentrum und Sicherheitsstrategie | 10.000 € | |
Dienstleistung Forensik | 80.000 € | Forensik dient der Beweissicherung wie Aufklärung, um erneute Angriffe nach gleichem Muster vorzubeugen. |
Neuanschaffungskosten | ||
Fünf neue Endgeräte für Erstmaßnahmen (günstige Option) | 2.500 € | Neuanschaffung nicht kompromittierter Hardware gibt Sicherheit, dass keine Altlasten zurückbleiben. |
Anschaffungskosten neues Rechenzentrum | 100.000 € | Das alte Rechenzentrum war schon 10 Jahre alt und hatte nicht genug Platz, um eine zweite Infrastruktur aufzubauen. |
Neue Netzwerkinfrastruktur | 50.000 € | Switche, Firewalls, VPN etc. |
Neue Sicherheitssoftware mit automatischer Angriffserkennung und Reaktion | 15.000 € | |
Dienstleistung Neuaufbau | 40.000 € | |
Schulungskosten Mitarbeitende | 20.000 € | Security-Awareness- und Datenschutz-Schulung dienen der Prävention von Angriffen aus dem Bereich Social Engineering. |
Sonstige bekannte Folgekosten | ||
Ca. 5 Tage Ausfallzeit von 150 Mitarbeitenden | 250.000 € | Die Arbeitsfähigkeit nach ca. 14 Tagen lag bei 80 %, insofern fällt der angegebene Betrag eigentlich noch zu gering aus. |
GESAMT | 620.500 € | |
Zuzüglich Folgekosten, deren Höhe uns unbekannt ist | ||
Vertragsstrafen wegen Überschreitung von Lieferterminen/Abgabefristen | ||
Bußgelder wegen Datenschutzverletzungen | Über die Höhe des Bußgeldes entscheidet die zuständige Aussichtsbehörde. Es kann, je Art, Schwere und Dauer des Verstoßes bis zu 20 Millionen Euro betragen bzw. bis zu 4 Prozent ihres weltweiten Vorjahresumsatzes (Art. 83 DSGVO). Bußgelder werden von der Cyberversicherung abgedeckt. | |
Rechtsanwaltskosten | ||
Personalkosten | Es wurde vermehrt versucht Mitarbeitende abzuwerben und einige Stellen mussten neu besetzt werden, was Folgekosten für Bewerbungsprozesse, Einarbeitung, Schulung etc. bedingt. | |
Reputations- und Imageverlust | Wie oben beschrieben, kaum prognostizierbar, mit langfristiger Wirkung. |
Investitionskosten für moderne IT-Absicherung am Fallbeispiel im Vergleich
Zur Gegenüberstellung der oben genannten Kosten, die durch die Erst- und Folgemaßnahmen nach dem Ransomware-Angriff entstanden waren, listet die folgende Tabelle die jährlichen Kosten für eine Basic-IT-Absicherung (Implementierungs- plus Lizenzkosten) des betroffenen Unternehmens auf.
CYBERSECURITY-LÖSUNG | KOSTEN |
Backup | 2.000 € |
Firewall | 8.000 € |
Endpoint Security | 3.600 € |
E-Mail-Security/-Verschlüsselung | 8.000 € |
Patchmanagement | 6.000 € |
Unfied Security Management (Enginsight) | 15.000 € |
SIEM (Enginsight) | 3.000 € |
Cyberversicherung | 4.500 € |
Security-Awareness-Schulung | 20.000 € |
zzgl. Kosten für die Erstellung einer Gesamtstrategie inkl. Notfallkonzept inkl. Test dessen | |
GESAMT | 70.100 € |
Investitionen in Up-to-date-Cybersecurity lohnt sich
620.500 € Angriffskosten vs. 70.100 € Kosten für eine umfassende Absicherung pro Jahr
Sie sehen es selbst: Die Kosten für die Implementierung von State-of-the-Art-Cybersecurity-Maßnahmen sind im Vergleich zu den Kosten eines erfolgreichen Cyberangriffs deutlich geringer, wie die Gegenüberstellung der Kosten aus dem Fallbeispiel zeigt. Selbst inklusive der Kosten für die Erstellung einer Gesamtstrategie, die wir außer Acht gelassen haben, liegen die tatsächlichen Angriffsfolgekosten weit darüber.
Kritiker könnten an dieser Stelle anmerken, dass hier nur die jährlichen Kosten der Absicherung betrachtet werden. Bitte bedenken Sie dabei, dass ein überstandener oder erfolgreich aufgearbeiteter Angriff nicht immunisiert gegen erneute Angriffe bzw. deren Erfolg; Angriffe können mehrfach jährlich erfolgen und demnach weitere Kosten und Ausfälle bis hin zur Existenzgefährdung verursachen.
Der Schutz vor Angriffen gelingt durch Investitionen in robuste Cybersicherheitsmaßnahmen und die kontinuierliche Überwachung und Anpassung der Cybersecurity-Strategie an neue Bedrohungen. Prävention rechnet sich. Sehen Sie Cybersecurity als essenzielle Investition in die Zukunftssicherheit Ihres Unternehmens an und investieren, bevor es zu spät ist!
Tipp: Wenn Sie nicht wissen, wie oder wo Sie anfangen sollen oder es als Herausforderung sehen, sich ständig über die neusten Security-Entwicklungen informiert zu halten, holen Sie Cybersecurity-Experten ins Boot, die Sie lösungsunabhängig beraten. Der erste Schritt zu einer wirksamen Security-Strategie kann die Ermittlung des Status quo Ihrer Security-Maßnahmen sein, z. B. in Form eines Security-Audits. Kommen Sie auf uns zu, wenn Sie Ihre Cybersecurity-Strategie updaten möchten und Hilfe dabei benötigen.
QUELLEN:
[1] „Cybersicherheit in Zahlen 2023/2024“ – Statista im Auftrag von G DATA
[2] MS Defense Report 2023
[3] Bitkom
[4] PricewaterhouseCoopers
[5] Foresight Cybersecurity Threats für 2030 – ENISA
[6] Sage Cybersecurity Report 2023