[datensicherheit.de, 07.03.2017] Rechtsanwalt Dr. Thomas Lapp, Vorsitzender der Nationalen Initiative für Informations- und Internetsicherheit (NIFIS) sieht Datenschutz, Hackerabwehr und den Kampf gegen Industriespionage als „die Kostentreiber für die IT-Sicherheit“. Demnach werde die deutsche Wirtschaft 2017 „massiv in ihre IT-Sicherheit investieren“. Dies lege der aktuelle Report „IT-Sicherheit und Datenschutz 2017“ nahe, den der NIFIS e.V. vorgelegt hat.

Mittelständische Unternehmen befragt

Der Bericht basiert laut NIFIS auf einer Umfrage unter 100 Fach- und Führungskräften überwiegend aus mittelständischen Unternehmen in Deutschland. Demnach schätze beinahe die Hälfte (48 Prozent), dass die deutschen Unternehmen 2017 rund ein Drittel mehr für die IT- und Informationssicherheit ausgeben würden als noch im Jahr zuvor.
14 Prozent erwarteten sogar einen Anstieg um 50 Prozent, acht Prozent eine Verdoppelung. 28 Prozent gingen davon aus, dass die Ausgaben 2017 auf Vorjahresniveau bleiben würden. Lediglich zwei Prozent rechneten mit einem sinkenden Aufwand für die IT-Sicherheit.
Langfristig – bis zum Jahr 2025 – gingen 58 Prozent der von NIFIS befragten Fach- und Führungskräfte von einem Ausgabenanstieg um 50 Prozent aus. 14 Prozent prognostizierten eine Verdoppelung, 16 Prozent eine Ausweitung um 30 Prozent. Zwölf Prozent erwarteten ein Verharren des Ausgabevolumens auf dem heutigen Stand. Kein einziger der Befragten gehe davon aus, dass 2025 weniger für IT-Sicherheit ausgegeben werde als heutzutage.

Für interne und externe Bedrohungen sensibilisiert

Seit den Vorgängen um NSA und andere Geheimdienste sei die deutsche Wirtschaft bezüglich Datenschutz sensibilisiert, stimmten 87 Prozent der befragten Fach- und Führungskräfte zu. 71 Prozent gingen schon für 2017 von einer Verstärkung der Bemühungen in der deutschen Wirtschaft aus, um Spähangriffen entgegenzuwirken. Bemerkenswert sei, dass 83 Prozent den Datendiebstahl durch die eigenen Mitarbeiter als sehr ernstzunehmende Gefahr einstuften. Für 78 Prozent gehöre der Schutz vor externen Hackerangriffen zu den Topthemen des Jahres 2017.
Nach möglichen Abwehrmaßnahmen befragt, räumten 93 Prozent ein, dass es keinen sicheren Schutz vor Spähattacken gebe. Dennoch hielten es 95 Prozent für geraten, bei Cloud-Services auf europäische oder noch besser auf deutsche Anbieter zurückzugreifen. Für 91 Prozent sei es dabei von Bedeutung, dass nicht nur die Daten nicht in die USA gelangen, sondern darüber hinaus auch der Anbieter keinen Sitz in den USA hat. Zudem verlangten 92 Prozent der Befragten nach einer wirksamen Verschlüsselung der Daten. 88 Prozent verträten die Auffassung, dass die Unternehmen in Deutschland ihre Beschäftigten noch besser in Bezug auf den vertraulichen Umgang mit Daten schulen sollten. Für die Abwicklung geschäftskritischer Transaktionen sei den Unternehmen auf jeden Fall zur Nutzung sicherer virtueller Datenräume zu raten, meinten 87 Prozent.

Mangelnder Überblick über Datensicherheit

„Viele Unternehmen übrigens unterschiedlicher Firmengröße haben keinen wirklichen Überblick darüber, welche möglicherweise sensiblen Daten inhouse oder bei externen Cloud-Diensten gespeichert werden. Wenn ein Mitarbeiter vertrauliche Kundendaten auf seinem Smartphone hält und dieses mit einem US-amerikanischen Cloud-Service synchronisiert, liegt bereits eine Verletzung des Datenschutzes vor, weil die Kunden dieser Auslagerung in die USA in der Regel zuvor nicht wirksam zugestimmt haben“, erläutert Lapp. 79 Prozent der Fach- und Führungskräfte stimmten ihm zu und forderten, dass die deutschen Firmen stärker dahingehend kontrolliert werden sollten, ob sie ihre sensiblen und vertraulichen Daten ausreichend gut schützen, und bei Verstößen mit Sanktionen rechnen müssen.
Der deutsche Gesetzgeber sehe beim Datenschutz für fahrlässige Verstöße bis zu 50.000 Euro Bußgeld vor, in schweren Fällen bis zu 300.000 Euro. Bei Vorsatz drohe eine Freiheitsstrafe von bis zu zwei Jahren. Lapp: „Schon jetzt gilt, dass das Bußgeld den wirtschaftlichen Vorteil, der aus dem Verstoß erzielt wurde, überschreiten muss und die genannten Beträge gegebenenfalls auch überschritten werden können. Ab Mai 2018 wird durch die Datenschutzgrundverordnung der EU (EU DSGVO) der Rahmen für das Bußgeld je nach Verstoß auf zwei Prozent bzw. vier Prozent des weltweiten Vorjahresumsatzes erhöht, so dass mit wirklich empfindlichen Geldbußen gerechnet werden muss.“

Weitere Informationen zum Thema:

NIFIS
Studie „IT-Sicherheit und Datenschutz 2017“

datensicherheit.de, 23.10.2016
NIFIS warnt vor voreiligem Nutzen von Cloud-Lösungen

datensicherheit.de, 19.05.2016
NIFIS warnt vor Risiken offener WLANs

[datensicherheit.de, 02.04.2016] Firmeneigene Webserver sind genauso von DDoS-Attacken (Distributed Denial of Service) betroffen wie externe Schnittstellen, beispielsweise in Form öffentlicher Websites, Kundenportale oder Transaktionssysteme. Vor allem Unternehmen aus der Fertigungsbranche leiden laut einer Studie von KASPERSKY lab aus dem Jahr 2015 unter „DDoS-Beschuss auf firmeninterne Web-Dienste“.

Jedes sechste Unternehmen weltweit Opfer einer DDoS-Attacke

Diese Studie zeige, dass jedes sechste befragte Unternehmen weltweit Opfer einer DDoS-Attacke gewesen sei, bei Großunternehmen sogar jedes vierte. Die meisten Attacken richteten sich gegen externe Ressourcen – so habe knapp die Hälfte der befragten Unternehmen Angriffe auf öffentliche Firmenwebseiten bestätigt. 38 Prozent hätten eine DDoS-Attacke auf Kundenportale und Login-Seiten und 37 Prozent auf Kommunikationsdienste beklagt. Bei einem Viertel hätten Transaktionsdienste unter „DDoS-Beschuss“ gestanden.

Auch firmeninterne Ressourcen im Fadenkreuz

Laut KASPERSKY lab seien auch interne Web-Ressourcen von DDoS-Attacken betroffen, denn ein Viertel habe Angriffe auf Dateiserver, 15 Prozent auf geschäftskritische Server und weitere 15 Prozent auf die Netzwerkkonnektivität von ISPs (Internet Service Provider) bestätigt.

Jeder online Aktive potenzielles DDoS-Opfer

Man müsse DDoS-Angriffe sehr ernst nehmen – sie seien relativ einfach durchzuführen und hätten gleichzeitig einen weitreichenden Effekt auf die Unternehmenskontinuität, betont Evgeny Vigosky, „Head of DDoS Protection“ bei KASPERSKY lab. Ihre Studie zeige, dass DDoS-Angriffe die bekannten Auswirkungen wie Ausfall der Website, Reputationsschaden oder unglückliche Kunden zur Folge hätten. Hinzu komme, dass auch interne Systeme eines Unternehmens betroffen seien. Es spiele keine Rolle, wie klein ein Unternehmen ist oder ob es über eine Website verfügt. Wer online unterwegs ist, sei ein potenzielles DDoS-Opfer.

Fertigungsbranche besonders gefährdet

Vor allem die Fertigungsbranche habe unter DDoS-Attacken auf interne Ressourcen gelitten, so seien bei einem Viertel der befragten Unternehmen aus diesem Bereich geschäftskritische Server und bei mehr als einem Drittel Dateiserver per DDoS attackiert worden. Jede fünfte Organisation aus den Branchen Telekommunikation, Transport und IT sowie im öffentlichen Bereich habe unter DDoS-Einfluss auf die eigene Netzwerkkonnektivität gelitten.

5.500 Unternehmens-IT-Entscheider aus 26 Ländern befragt

Für diese Studie sind nach Angaben von KASPERSKY lab weltweit über 5.500 Unternehmens-IT-Entscheider aus 26 Ländern zu IT-Sicherheitsthemen befragt worden.

Weitere Informationen zum Thema:

KASPERSKY lab, 2015
„Denial of Service: How Business Evaluate the Threat of DDoS Attacks“

[datensicherheit.de, 15.10.2014] Cyber-Kriminalität (1) kommt deutschen Unternehmen immer teurer zu stehen. In diesem Jahr haben die Angriffe deutsche Unternehmen im Schnitt 6,1 Millionen Euro (2) gekostet, während es im Vorjahr noch 5,7 Millionen Euro waren. Die Daten sind Ergebnisse der diesjährigen Studie „Cost of Cyber Crime“, die das Ponemon Institut im Auftrag von HP zum dritten Mal in Deutschland und zum fünften Mal in den USA durchgeführt hat. Insgesamt wurden in der Studie sieben Länder abgedeckt, wobei Russland 2014 zum ersten Mal in die Studie aufgenommen wurde.

Die höchsten Kosten für Cyber-Kriminalität verzeichnen in diesem Vergleich die USA mit durchschnittlich 12,7 Millionen US-Dollar (3), ein deutlicher Anstieg um 96 Prozent im Vergleich zur ersten Erhebung im Jahr 2010. Deutschland belegt in der Rangfolge der Gesamtkosten 2014 wie im Vorjahr Rang 2. Dahinter folgen Japan (6,91 Millionen US-Dollar), Frankreich (6,38 Millionen US-Dollar), Großbritannien (5,93 Millionen US-Dollar), Australien (3,99 Millionen US-Dollar) und Russland (3,33 Millionen US-Dollar).

In US-amerikanischen Firmen gab es laut der aktuellen Ponemon-Studie im Schnitt 2,34 erfolgreiche Angriffe pro Woche. Ein Unternehmen in Deutschland verzeichnete 2014 im Durchschnitt 1,43 erfolgreiche Cyber-Angriffe in der Woche, im Jahr 2013 waren es 1,3.

Erstmals sind Phishing und Social Engineering – also der Diebstahl von Identitäten und das Erschleichen von persönlichen Daten durch soziale Manipulation – für die deutschen Unternehmen die teuersten Angriffsformen. Sie verursachen laut der diesjährigen Ponemon-Studie 20 Prozent der Cyberkriminalitätskosten – ein Anstieg um 7 Prozent gegenüber dem Vorjahr. Der zweitgrößte Kostenblock wird durch Web-basierte Attacken wie SQL Injection oder Cross-Site Scripting verursacht.

Höchste Ausgabent in die Netzwerksicherheit

Die Security-Investitionen der Firmen sind allerdings noch nicht auf diese Kostenverursacher ausgerichtet. Zum Schutz vor der Cyber-Kriminalität investieren Unternehmen vor allem in Netzwerk-Sicherheit (30 Prozent des Security-Budgets), gefolgt von Security-Investitionen auf der Daten-Ebene (24 Prozent). Investitionen in Applikations-Sicherheit und in Schulung der Mitarbeiter folgen erst auf den Plätzen 3 und 4 (19 Prozent und 13 Prozent des Security-Budgets).

Die größten absoluten Einsparungen von Cyberkriminalitätskosten bringt laut Ponemon-Studie der Einsatz von Security-Intelligence-Systemen (Security Information and Event Management). Damit sparen Firmen im Schnitt 2,4 Millionen Euro pro Jahr ein. Das zweitgrößte absolute Einsparpotenzial liegt in der umfangreichen Nutzung von Verschlüsselungs-Technologien (Einsparungen von 1,6 Millionen Euro pro Jahr). Setzt man diese Einsparungen ins Verhältnis zu den jeweils erforderlichen Investitionen, liegen ebenfalls diese beiden Technologien vorne. Der Return on Investment von Verschlüsselung beträgt 23 Prozent, der von Security Intelligence 21 Prozent.

Auch die Einführung von Steuerungspraktiken für das Sicherheits-Management (Security Governance) birgt große Einsparungspotenziale. Die Zertifizierung nach Industriestandards kann laut Ponemon-Studie zu einer Reduktion der Cyberkriminalitätskosten um knapp eine Million Euro führen. Die Ernennung eines hochrangigen Sicherheitsbeauftragten und die Einstellung von qualifiziertem Sicherheitspersonal haben ebenfalls große Auswirkungen auf die Cyberkriminalitätskosten (Kosteneinsparungen von 670.000 bzw. 600.000 Euro im Jahr).

Ergebnisse für Deutschland:

• Phishing und Social Engineering verursachen in Unternehmen immer mehr Kosten. Mit 20 Prozent machten diese Angriffe 2014 den höchsten jährlichen Kostenteil aus, was ein deutlicher Anstieg im Vergleich zu 2013 und 2012 ist. Damals lagen die Anteile bei 13 und 9 Prozent. Am wenigsten Kosten fallen für Botnetze an (4 Prozent).
• Auf Rang zwei der teuersten Cyber-Attacken stehen webbasierte Angriffe. Sie verursachen wie auch im Vorjahr 15 Prozent der Kosten.
• Die Studie stellt zudem einen klaren Zusammenhang zwischen den Kosten für Cyber-Kriminalität und der Unternehmensgröße her. Während bei großen Unternehmen Cyber-Kriminalität Kosten von 442 Euro pro Kopf verursacht, sind es bei kleinen Unternehmen 1.354 Euro.
• Je nach Unternehmensgröße spielen auch verschiedene Angriffe eine unterschiedliche Rolle. Bei kleineren Unternehmen verursachen Viren, Würmer und Trojaner 21 Prozent der Kosten, bei größeren Unternehmen sind es 9 Prozent. Dagegen fallen für webbasierte Angriffe (23 Prozent) und Phishing/Social Engineering (18 Prozent) die höchsten Kosten in großen Unternehmen an. Seit 2012 sind die Kosten durch diese Art der Angriffe um 64.425 Euro gestiegen.
• Durchschnittlich dauert es 21 Tage, die Folgen eines Cyber-Angriffs zu beseitigen. Dafür fallen Kosten von 358.074 Euro oder 17.122 Euro pro Tag an. Im Vergleich zu den Vorjahreszahlen ist das ein Plus von 1,58 Prozent. Mit 54 Tagen dauert die Bereinigung von Angriffen böswilliger Insider (4) am längsten.
• Nach Branche gesehen haben Finanzdienstleister (9,8 Millionen Euro) und Energieversorger (8,3 Millionen Euro) die höchsten Kosten, die durch Cyberkriminalität verursacht wurden. Der Einzelhandel verzeichnet mit 1,4 Millionen Euro die niedrigsten Kosten.
• Die im Verhältnis teuerste Folge der Angriffe sind Datenverluste. Sie machen 45 Prozent der gesamten externen (5) Kosten aus, 2 Prozent mehr als im Jahr 2013. Betriebsstörungen folgen mit einem Kostenanteil von 29 Prozent (ein Plus von 2 Prozent zum Vorjahr).
• Die Eindämmung und Beseitigung von Folgen der Angriffe sind für Unternehmen die teuersten internen Maßnahmen, allerdings mit sinkender Tendenz. Auf sie entfallen 37 Prozent der internen Kosten nach 39 Prozent im Vorjahr. Die übrigen Kosten verteilen sich – wie auch im Vorjahr – auf die Nachforschung (17 Prozent), Incident Management (13 Prozent) und nachgelagerte Schritte (3 Prozent).