Kaspersky-Studie

Ein Sicherheitsvorfall verursacht Schäden von einer halben Million Dollar

17.09.2015 von Ronald Wiltscheck
551.000 Dollar muss ein großes Unternehmen durchschnittlich in Folge eines IT-Sicherheitsvorfalles aufbringen. Guter Ansatzpunkt für IT-Dienstleister, um ins Geschäft zu kommen.
 
  • Warum Konzerne stärker geschädigt werden als Mittelständler
  • Welche Folgekosten drohen
  • Ausgaben für Anwälte und externe Dienstleister
  • Schäden durch Produktionsausfälle

Bei mittelständischen Unternehmen betragen die Kosten pro Sicherheitsvorfal im Schnitt 38.000 Dollar. Dies geht aus einer aktuellen von Kaspersky Lab bei B2B International beauftragen Studie hervor. Zu den kostenintensivsten IT-Sicherheitsvorfällen gehören Mitarbeiterbetrug, Cyberspionage, Netzwerkeinbrüche (Network Intrusions) sowie Fehler von Drittanbietern.

Klassische Ausgaben als Folge eines Sicherheitsvorfalls sind der Mehraufwand für professionelle Dienstleistungen - wie externe IT-Experten, Anwälte oder Berater - sowie Umsatzverluste aufgrund verloren gegangener Geschäftsoptionen oder von IT-Ausfällen. Neben den oben genannten direkten Kosten kommen noch indirekte Ausgaben - beispielsweise für Personal, Trainings und Infrastrukturaktualisierungen - hinzu, die durchschnittlich zwischen 8.000 (KMUs) und 69.000 Dollar (große Unternehmen) betragen.

5 Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.

Ein Vorfall im unternehmenseigenen IT-Sicherheitssystem kann erhebliche Folgen nach sich ziehen. Für die betroffenen Firmen ist es allerdings schwer, einen vollständigen Überblick der Folgekosten zu erhalten. Die Methoden, die hierfür von Kaspersky Lab verwendet wurden, basieren auf Daten der Vorjahre. Damit können Ausgaben oder Vermögensverluste in Folge von IT-Sicherheitsvorfällen rekonstruiert werden.

Zu den direkten Ausgaben für Security-Vorfälle kommen noch Folgekosten.
Foto: Kaspersky Lab

"Es gibt bisher nicht allzu viele Berichte über die Folgen von IT-Sicherheitsvorfällen, bei denen reale Geldverluste von Unternehmen rekonstruiert wurden", erklärt Holger Suhl, General Manager DACH bei Kaspersky Lab. "Es ist auch nicht einfach, verlässliche Methoden zur Erhebung dieser Daten zu finden. Wir haben dies dennoch umgesetzt, weil wir wissen wollten, wie das theoretische Wissen über die Cyberbedrohungslandschaft mit den realen Geschäftspraktiken der Firmen zusammenhängt. Als Ergebnis sehen wir eine Auflistung von Bedrohungen, die die höchsten Schäden verursachen und vor denen sich Unternehmen bestmöglich schützen sollten."

Diverse Kostenaufstellung für Großunternehmen

Die Kaspersky-Studie gibt einen detaillierten Überblick über die Kosten, die für Großunternehmen im Zuge eines Cybersicherheitsvorfalls anfallen können, mit folgenden Ausgaben für:

Mittelstand versus große Unternehmen

Holger Suhl, General Manager DACH bei Kaspersky Lab: "Es gibt bisher nicht allzu viele Berichte über die Folgen von IT-Sicherheitsvorfällen, bei denen reale Geldverluste von Unternehmen rekonstruiert wurden."
Foto: Kaspersky Lab

Neun von zehn Unternehmen, die an der Studie teilgenommen haben, hatten mindestens einen Sicherheitsvorfall im Untersuchungszeitraum zu beklagen. Fast die Hälfte (46 Prozent) haben aufgrund einer internen oder externen Cyberbedrohung sensible Firmendaten verloren.

Allerdings führten nicht alle Vorfälle zu ernsthaften Konsequenzen oder zum Verlust sensibler Firmendaten. Am häufigsten wird ein Sicherheitsvorfall über eine Malware-Attacke, Phishing, Mitarbeiter- oder Software-Schwachstellen verursacht. Die Kostenschätzungen zeigen, wie schwerwiegend IT-Sicherheitsvorfälle für Unternehmen jeglicher Größe ausfallen können - allerdings mit unterschiedlichen Auswirkungen für mittelständische und große Organisationen.

Große Unternehmen zahlen deutlich mehr, wenn ein Cybervorfall durch einen Fehler eines vertrauten Partners beziehungsweise Drittanbieters verursacht wird. Ähnlich kostenintensiv sind Betrügereien von Mitarbeitern, Cyberspionage und Netzwerkeinbrüche (Network Intrusions). Mittelständische Firmen müssen dagegen bei allen Sicherheitsvorfällen in ähnlich hohem Maße zur Tasche greifen - egal ob es sich hier um Cyberspionage, DDoS-Attacken oder Phishing handelt. (rw)