Studie „Cost of Cyber Crime“: Deutsche Firmen müssen Security-Investitionen neu ausrichten

In Deutschland Kostenanstieg durch Cyber-Kriminalität auf 6,1 Millionen Euro pro Unternehmen und Jahr / Phishing und Social Engineering verursachen die höchsten Kosten

[datensicherheit.de, 15.10.2014] Cyber-Kriminalität (1) kommt deutschen Unternehmen immer teurer zu stehen. In diesem Jahr haben die Angriffe deutsche Unternehmen im Schnitt 6,1 Millionen Euro (2) gekostet, während es im Vorjahr noch 5,7 Millionen Euro waren. Die Daten sind Ergebnisse der diesjährigen Studie „Cost of Cyber Crime“, die das Ponemon Institut im Auftrag von HP zum dritten Mal in Deutschland und zum fünften Mal in den USA durchgeführt hat. Insgesamt wurden in der Studie sieben Länder abgedeckt, wobei Russland 2014 zum ersten Mal in die Studie aufgenommen wurde.

Die höchsten Kosten für Cyber-Kriminalität verzeichnen in diesem Vergleich die USA mit durchschnittlich 12,7 Millionen US-Dollar (3), ein deutlicher Anstieg um 96 Prozent im Vergleich zur ersten Erhebung im Jahr 2010. Deutschland belegt in der Rangfolge der Gesamtkosten 2014 wie im Vorjahr Rang 2. Dahinter folgen Japan (6,91 Millionen US-Dollar), Frankreich (6,38 Millionen US-Dollar), Großbritannien (5,93 Millionen US-Dollar), Australien (3,99 Millionen US-Dollar) und Russland (3,33 Millionen US-Dollar).

In US-amerikanischen Firmen gab es laut der aktuellen Ponemon-Studie im Schnitt 2,34 erfolgreiche Angriffe pro Woche. Ein Unternehmen in Deutschland verzeichnete 2014 im Durchschnitt 1,43 erfolgreiche Cyber-Angriffe in der Woche, im Jahr 2013 waren es 1,3.

Erstmals sind Phishing und Social Engineering – also der Diebstahl von Identitäten und das Erschleichen von persönlichen Daten durch soziale Manipulation – für die deutschen Unternehmen die teuersten Angriffsformen. Sie verursachen laut der diesjährigen Ponemon-Studie 20 Prozent der Cyberkriminalitätskosten – ein Anstieg um 7 Prozent gegenüber dem Vorjahr. Der zweitgrößte Kostenblock wird durch Web-basierte Attacken wie SQL Injection oder Cross-Site Scripting verursacht.

Höchste Ausgabent in die Netzwerksicherheit

Die Security-Investitionen der Firmen sind allerdings noch nicht auf diese Kostenverursacher ausgerichtet. Zum Schutz vor der Cyber-Kriminalität investieren Unternehmen vor allem in Netzwerk-Sicherheit (30 Prozent des Security-Budgets), gefolgt von Security-Investitionen auf der Daten-Ebene (24 Prozent). Investitionen in Applikations-Sicherheit und in Schulung der Mitarbeiter folgen erst auf den Plätzen 3 und 4 (19 Prozent und 13 Prozent des Security-Budgets).

Die größten absoluten Einsparungen von Cyberkriminalitätskosten bringt laut Ponemon-Studie der Einsatz von Security-Intelligence-Systemen (Security Information and Event Management). Damit sparen Firmen im Schnitt 2,4 Millionen Euro pro Jahr ein. Das zweitgrößte absolute Einsparpotenzial liegt in der umfangreichen Nutzung von Verschlüsselungs-Technologien (Einsparungen von 1,6 Millionen Euro pro Jahr). Setzt man diese Einsparungen ins Verhältnis zu den jeweils erforderlichen Investitionen, liegen ebenfalls diese beiden Technologien vorne. Der Return on Investment von Verschlüsselung beträgt 23 Prozent, der von Security Intelligence 21 Prozent.

Auch die Einführung von Steuerungspraktiken für das Sicherheits-Management (Security Governance) birgt große Einsparungspotenziale. Die Zertifizierung nach Industriestandards kann laut Ponemon-Studie zu einer Reduktion der Cyberkriminalitätskosten um knapp eine Million Euro führen. Die Ernennung eines hochrangigen Sicherheitsbeauftragten und die Einstellung von qualifiziertem Sicherheitspersonal haben ebenfalls große Auswirkungen auf die Cyberkriminalitätskosten (Kosteneinsparungen von 670.000 bzw. 600.000 Euro im Jahr).

Ergebnisse für Deutschland:

• Phishing und Social Engineering verursachen in Unternehmen immer mehr Kosten. Mit 20 Prozent machten diese Angriffe 2014 den höchsten jährlichen Kostenteil aus, was ein deutlicher Anstieg im Vergleich zu 2013 und 2012 ist. Damals lagen die Anteile bei 13 und 9 Prozent. Am wenigsten Kosten fallen für Botnetze an (4 Prozent).
• Auf Rang zwei der teuersten Cyber-Attacken stehen webbasierte Angriffe. Sie verursachen wie auch im Vorjahr 15 Prozent der Kosten.
• Die Studie stellt zudem einen klaren Zusammenhang zwischen den Kosten für Cyber-Kriminalität und der Unternehmensgröße her. Während bei großen Unternehmen Cyber-Kriminalität Kosten von 442 Euro pro Kopf verursacht, sind es bei kleinen Unternehmen 1.354 Euro.
• Je nach Unternehmensgröße spielen auch verschiedene Angriffe eine unterschiedliche Rolle. Bei kleineren Unternehmen verursachen Viren, Würmer und Trojaner 21 Prozent der Kosten, bei größeren Unternehmen sind es 9 Prozent. Dagegen fallen für webbasierte Angriffe (23 Prozent) und Phishing/Social Engineering (18 Prozent) die höchsten Kosten in großen Unternehmen an. Seit 2012 sind die Kosten durch diese Art der Angriffe um 64.425 Euro gestiegen.
• Durchschnittlich dauert es 21 Tage, die Folgen eines Cyber-Angriffs zu beseitigen. Dafür fallen Kosten von 358.074 Euro oder 17.122 Euro pro Tag an. Im Vergleich zu den Vorjahreszahlen ist das ein Plus von 1,58 Prozent. Mit 54 Tagen dauert die Bereinigung von Angriffen böswilliger Insider (4) am längsten.
• Nach Branche gesehen haben Finanzdienstleister (9,8 Millionen Euro) und Energieversorger (8,3 Millionen Euro) die höchsten Kosten, die durch Cyberkriminalität verursacht wurden. Der Einzelhandel verzeichnet mit 1,4 Millionen Euro die niedrigsten Kosten.
• Die im Verhältnis teuerste Folge der Angriffe sind Datenverluste. Sie machen 45 Prozent der gesamten externen (5) Kosten aus, 2 Prozent mehr als im Jahr 2013. Betriebsstörungen folgen mit einem Kostenanteil von 29 Prozent (ein Plus von 2 Prozent zum Vorjahr).
• Die Eindämmung und Beseitigung von Folgen der Angriffe sind für Unternehmen die teuersten internen Maßnahmen, allerdings mit sinkender Tendenz. Auf sie entfallen 37 Prozent der internen Kosten nach 39 Prozent im Vorjahr. Die übrigen Kosten verteilen sich – wie auch im Vorjahr – auf die Nachforschung (17 Prozent), Incident Management (13 Prozent) und nachgelagerte Schritte (3 Prozent).