Warum wirksame Cybersicherheit für Unternehmen wichtig ist

Warum starke Cybersicherheit für den Geschäftserfolg entscheidend ist

Fast jedes Unternehmen ist auf IT-Systeme angewiesen, um zu funktionieren, was die Folgen eines erfolgreichen Cyberangriffs deutlich erhöht hat. „Wir sind so abhängig von der Technologie geworden, dass die meisten Unternehmen nicht mehr ohne sie auskommen“, sagte Carl Eyler, Direktor des National Cybersecurity Institute an der Excelsior University, einer Online-Schule mit Sitz in Albany, New York.

• Daten sind heute einer der wertvollsten Aktivposten - oft sogar der wertvollste - in den meisten Unternehmen. Jegliche Sicherheitsprobleme, die die Datenqualität oder den Datenzugriff eines Unternehmens beeinträchtigen, können sich auf den Geschäftsbetrieb auswirken.
• Die Cyberkriminalität nimmt in fast jeder Hinsicht zu. Die Zahl der Angreifer nimmt zu, ebenso wie die Raffinesse ihrer Angriffe und der Zugang zu Tools und Technologien, mit denen sie diese Angriffe durchführen können. Die zunehmende Verfügbarkeit von Ransomware als Service und anderer As-a-Service-Malware hat es Angreifern beispielsweise leichter gemacht, zuzuschlagen, so Sarb Sembhi, Mitglied der Emerging Trends Working Group beim Berufsverband ISACA und CTO von Virtually Informed Ltd. Der Bericht „Cybersecurity Forecast 2024“von Google Cloud kommt zu ähnlichen Ergebnissen und warnt unter anderem davor, dass Angreifer KI zu ihrem Vorteil nutzen und dass neue Trends in der Malware-Entwicklung die Erstellung von Schadsoftware beschleunigen und ihre Entdeckung erschweren.
• Staatliche Vorschriften und Branchenanforderungen schreiben vielen Unternehmen Cybersicherheitsstandards vor und lassen ihnen keine andere Wahl, als der Cybersicherheit Priorität einzuräumen. Die Bundesregierung und die EU haben Gesetze und Vorschriften erlassen, die Unternehmen dazu verpflichten, sensible Daten zu schützen und vorgeschriebene Cybersicherheitspraktiken anzuwenden. Exemplarisch seien hier nur das IT-Sicherheitsgesetz, die DSGVO und die NIS2-Richtlinie genannt.
• Viele Verbraucher und Geschäftspartner erwarten nun, dass Unternehmen die notwendigen Investitionen in die Cybersicherheit tätigen, um Cyberkriminelle daran zu hindern, Kundendaten zu stehlen und alles andere zu tun, was Kunden und Partnern schaden könnte. Die Erfüllung dieser Anforderungen bietet Chancen für Unternehmen. "Die Schaffung und der Aufbau von Vertrauen bei den Kunden kann sich in Umsatzsteigerungen niederschlagen", so Erik Avakian, technischer Berater bei der Info-Tech Research Group und ehemaliger CISO des US-Bundesstaates Pennsylvania.

Kosten und Folgen der Cyberkriminalität für Unternehmen

Die Zahlen zu den Kosten der Internetkriminalität sind beeindrucken. Nachfolgend einige exemplarische Gesamtzahlen:

Der deutschen Wirtschaft entsteht jährlich durch Diebstahl von Daten und IT-Equipment, analoge und digitale Industriespionage sowie Sabotage ein Schaden von 206 Milliarden Euro. Wie der Branchenverband Bitkom ermittelt hat, liegt dieser Wert zum dritten Mal in Folge über 200 Milliarden Euro.

Laut dem „Cost of a Data Breach Report 2023“ von IBM, der auf einer Studie des Forschungsunternehmens Ponemon Institute basiert, die Verstöße zwischen März 2022 und März 2023 untersuchte, betrugen die durchschnittlichen Kosten einer Datenschutzverletzung bei 553 Unternehmen weltweit 4,45 Millionen US-Dollar. Dies war ein neuer Höchststand für den Jahresbericht und bedeutete einen Anstieg um 2 Prozent gegenüber dem Vorjahr und um 15 Prozent gegenüber dem Jahr 2020.

In fast der gleichen Weise ergab die PwC-Umfrage zum digitalen Vertrauen, dass die durchschnittlichen Kosten eines erfolgreichen Cyberangriffs bei 4,4 Millionen US-Dollar liegen, wobei 36 Prozent der Befragten angaben, dass ihr Unternehmen in den letzten drei Jahren von einer Datenschutzverletzung mit geschätzten Kosten von mehr als 1 Million US-Dollar betroffen war.

Eine Anfang 2023 durchgeführte Umfrage ergab, dass die durchschnittliche Lösegeldzahlung als Reaktion auf einen erfolgreichen Ransomware-Angriff in den vorangegangenen 12 Monaten 1,54 Millionen US-Dollar betrug. Dies geht aus dem Bericht „The State of Ransomware 2023“ hervor, der von Sophos, einem Anbieter von Cybersicherheitssoftware, in Auftrag gegeben wurde, der 3.000 IT- und Cybersicherheitsexperten befragte. Das sei fast doppelt so viel wie die durchschnittliche Zahlung von 812.380 US-Dollar in der Version 2022 der jährlichen Umfrage. Darüber hinaus gaben die Umfrageteilnehmer 2023 durchschnittlich 1,82 Millionen US-Dollar an geschätzten Wiederherstellungskosten an, die unter anderem Ausfallzeiten, Arbeitszeit, Gerätekosten und entgangene Geschäftsmöglichkeiten umfassen.

Laut Prognosen des Marktdaten- und Forschungsunternehmens Statista werden sich die jährlichen Kosten der Cyberkriminalität weltweit im Jahr 2023 auf 8,15 Billionen US-Dollar belaufen und bis zum Jahr 2028 auf 13,82 Billionen US-Dollar ansteigen.

Die Liste der Vorfälle im Bereich der Cybersicherheit lässt sich beliebig verlängern. Ein Ransomware-Angriff auf MGM Resorts International im September 2023, bei dem Social-Engineering-Techniken eingesetzt wurden, um Zugang zu privilegierten Benutzerkonten zu erlangen, kostete das Hotel- und Gaststättenunternehmen schätzungsweise 100 Millionen US-Dollar und beeinträchtigte den Zugang zu Kundenzimmern, Kasinospielen und anderen Dienstleistungen. MGM teilte mit, dass es davon ausgeht, dass seine Cybersicherheitsversicherung alle Kosten abdeckt, aber es gab auch bekannt, dass die Angreifer persönliche Daten einiger Kunden gestohlen haben, darunter Führerschein-, Sozialversicherungs- und Passnummern.

Caesars Entertainment war im selben Monat von einem ähnlichen Angriff betroffen. Nach Angaben des Wall Street Journal zahlte das Unternehmen ein Lösegeld in Höhe von 15 Millionen US-Dollar und gab ebenfalls bekannt, dass die Angreifer sensible persönliche Daten von Kunden erlangt hatten. In einem SEC-Filing erklärte Caesars, es habe Maßnahmen ergriffen, um „sicherzustellen, dass die gestohlenen Daten von den unbefugten Angreifern gelöscht werden, obwohl wir dieses Ergebnis nicht garantieren können.“

Ein weiteres bekanntes Beispiel ist ein Ransomware-Angriff auf die Colonial Pipeline im Jahr 2021, der zu Engpässen bei der Gasversorgung in mehreren US-Bundesstaaten führte und den Pipeline-Betreiber 4,4 Millionen US-Dollar an Lösegeldzahlungen kostete, von denen ein Teil später vom US-Justizministerium zurückgefordert wurde. Und das dänische Logistikunternehmen A.P. Moller-Maersk erlitt Verluste in Höhe von über 300 Millionen US-Dollar, nachdem ein Malware-Angriff 2017 die Systeme zum Betrieb seiner Schifffahrtsterminals in aller Welt lahmgelegt hatte.

Ein Unternehmen, das feststellt, dass seine Cybersicherheitsmaßnahmen durchbrochen wurden, sieht sich in der Regel mit einer langen Liste von Ausgaben konfrontiert, um den Angriff abzuwehren, die betroffenen Systeme wiederherzustellen und sich von dem Vorfall zu erholen.

Neben der erforderlichen Arbeitszeit der Mitarbeiter müssen Unternehmen laut Eyler auch mit Kosten für externen technischen Support, interne und externe Rechtsberatung, Kosten für die Meldung von Datenschutzverletzungen und Bußgelder rechnen. Außerdem entstehen ihnen Kosten durch entgangene Umsätze und Geschäfte. „Man weiß nicht, wie umfangreich die Kosten sein werden, wenn man von einer Datenschutzverletzung betroffen ist“, so Eyler.

Der Ruf eines Unternehmens bei den Kunden wird wahrscheinlich ebenfalls in Mitleidenschaft gezogen, was zu weiteren Geschäftseinbußen in der Zukunft führen kann. Sembhi sagte, dass die Kosten und Folgen eines Angriffs sogar Unternehmen in den Ruin treiben könnten - vor allem solche, die nicht über genügend Ressourcen und Reserven verfügen, um die Folgen eines solchen Ereignisses zu überstehen. „Bei kleinen Unternehmen kann ein einziger Angriff das Aus bedeuten“, warnte er.

Geschäftliche Aspekte einer wirksamen Cybersicherheit

Die Auswirkungen von Cyberangriffen haben viele Unternehmensleiter - Geschäftsführer, CEOs, CFOs und andere leitende Angestellte sowie CIOs und CISOs - dazu veranlasst, sich auf die Verbesserung der Sicherheitslage (Security Posture) in ihrem Unternehmen zu konzentrieren.

So ergab die „2023 Global Future of Cyber Survey“ des Beratungsunternehmens Deloitte, dass 70 Prozent von mehr als 1.000 Entscheidungsträgern im Bereich Cybersicherheit angaben, dass Sicherheitsfragen entweder monatlich oder vierteljährlich auf der Tagesordnung ihres Vorstands stehen. Darüber hinaus gaben 86 Prozent der Befragten an, dass Cybersicherheitsinitiativen einen wesentlichen Beitrag zu mindestens einer wichtigen Geschäftspriorität geleistet haben, einschließlich Verbesserungen in Bereichen wie Kundenvertrauen, Markenreputation und Betriebsstabilität.

Diese Ergebnisse spiegeln ein Umdenken unter den Führungskräften wider, die das Cybersicherheitsprogramm nun als eine Möglichkeit zur Verbesserung der Geschäftsabläufe und nicht mehr nur als Absicherung zur Vermeidung von Verlusten sehen.

„Das ist die Perspektive, die Unternehmen haben müssen, wenn es um Cybersicherheit geht“, sagte Fred Rica, ein Partner in der Beratungspraxis bei dem professionellen Dienstleistungsunternehmen BPM. „Es ermöglicht ihnen, Dinge zu tun, die sie vorher nicht tun konnten, und es erlaubt ihnen, effizienter zu sein, Geld zu sparen und produktiver zu sein.“

Zur Veranschaulichung führte Rica die geläufige Geschäftsstrategie eines Unternehmens an, das ein Selbstbedienungsportal für seine Kunden einrichten möchte. Dies sei jedoch nur möglich, wenn das Unternehmen über geeignete Sicherheitsmaßnahmen zur Authentifizierung der Kunden verfüge und deren Daten ordnungsgemäß schütze, so Rica.

Schlüsselelemente einer Cybersicherheitsstrategie

Es gibt keine allgemeingültige Grundlage dafür, was ein starkes Cybersicherheitsprogramm ausmacht - jedes Unternehmen muss sein erforderliches Sicherheitsniveau selbst bestimmen. Dazu sollten Unternehmen in erster Linie darüber nachdenken, ob ihre Sicherheitsbemühungen aus geschäftlicher Sicht angemessen sind.

Dazu gehören Konzepte wie Risikobereitschaft und Risikotoleranz sowie die Frage, wie viel Restrisiko die Führungskräfte bereit sind zu akzeptieren. „Wenn sie sicher sind, dass sie ihre Risiken identifiziert haben, dass diese Risiken gemanagt werden und dass die Risiken, die sie auf dem Tisch gelassen haben, ihrem Risikoprofil entsprechen, dann haben sie ein gutes Programm“, so Rica.

Unternehmen müssen auch kritische Systeme und Anlagen identifizieren und die besonderen Cyberbedrohungen verstehen, denen sie am ehesten ausgesetzt sind, damit sie in das richtige Maß an Mitarbeitern, Prozessen und Technologien investieren können, um die Sicherheitsrisiken auf ein akzeptables Niveau zu reduzieren, so Avakian. Er fügte hinzu, dass die Entwicklung einer Cybersicherheitsstrategie eine fortlaufende Aufgabe ist, da sich „die Dinge ständig ändern“.

Weitere Schlüsselelemente für die Entwicklung einer erfolgreichen Cybersicherheitsstrategie sind unter anderem folgende:

• Ausrichtung an den Unternehmenszielen.
• Transparenz darüber, wo sich die Daten innerhalb der Organisation befinden. „Verstehen Sie, wo sich die Daten befinden, wer Zugriff darauf hat, welche Zugriffskontrollen vorhanden sind und welche Zugangspunkte zu den Daten bestehen“, so Eyler.
• Kenntnisse über die Sicherheits- und Datenschutzgesetze, die das Unternehmen einhalten muss.
• Eine detaillierte Risikobewertung der Cybersicherheit, bei der die vorhandenen Fähigkeiten des Unternehmens zum Schutz vor Cyberbedrohungen bewertet und die Schwachstellen in der Abwehr ermittelt werden. " Ermitteln Sie, wo Sie Schwachstellen haben, und entscheiden Sie dann, welche Initiativen Sie ergreifen, um diese Lücken zu schließen", so Avakian.
• Ein definierter Satz von Metriken für die Cybersicherheit, um zu messen, wie gut das Sicherheitsprogramm funktioniert und wie es sich im Laufe der Zeit verbessert.
• Eine Governance-Struktur für Cybersicherheit, um sicherzustellen, dass die Mitarbeiter die festgelegten Sicherheitsrichtlinien und -verfahren einhalten.
• Unterstützung und Beteiligung von Führungskräften, um sicherzustellen, dass das Cybersicherheitsprogramm mit angemessenen Mitteln ausgestattet ist und auf höchster Ebene unterstützt wird.
• Ein detaillierter Plan für die Reaktion auf Vorfälle, der sowohl vom Sicherheitsteam als auch von den Geschäftseinheiten regelmäßig getestet und geübt wird.

Tipps zur Implementierung und Verwaltung eines IT-Sicherheitsprogramms

Die folgenden bewährten Verfahren können dabei helfen, ein effektives Cybersicherheitsprogramm zu erstellen:

• Aufbau einer auf Sicherheit bedachten Kultur. Die Entwicklung einer internen Kultur, die die Cybersicherheit in den Vordergrund stellt, ist ein Muss. „Alle Beteiligten sollten wissen und verstehen, welche Aufgaben sie im Hinblick auf die Cybersicherheit haben, denn Sicherheit sollte die Aufgabe aller sein“, so Eyler.
• Einführung eines umfassenden Programms zur Sensibilisierung und Schulung im Bereich der Cybersicherheit. Um eine Kultur der Cybersicherheit zu fördern, sollten alle Mitarbeiter und relevanten Interessengruppen über die Bedeutung der Cybersicherheit und die besonderen Richtlinien und Verfahren der Organisation geschult werden.
• Finden Sie Befürworter der Cybersicherheit. Dies sind Personen im gesamten Unternehmen, die die Bedeutung der Einhaltung von Sicherheitsrichtlinien und -verfahren vermitteln können.
• Konzentration auf die Verbesserung der Cybersicherheitsleistung im Laufe der Zeit.