Die durchschnittlichen Kosten deutscher Unternehmen im Zusammenhang mit Cyberangriffen beliefen sich im vergangenen Jahr auf rund 12 Mio. Euro – das sind um 18 Prozent mehr als im Vorjahr. Bezogen auf die letzten fünf Jahre haben sie sich fast verdoppelt (+40%). Das zeigt die 9. „Cost of Cybercrime“-Studie der Unternehmensberatung Accenture.
Auch die Kosten für einzelne Vorfälle steigen: Am teuersten sind Attacken durch böswillige Insider. 2018 schlugen sie in Deutschland mit rund 206.500 Euro zu Buche, 11 Prozent mehr als im Vorjahr. Am stärksten stiegen die Kosten für Ransomware-Attacken. Sie haben sich mit +92 Prozent auf 66.433 Euro nahezu verdoppelt.
2018 registrierten die im Rahmen der Studie befragten Unternehmen weltweit im Schnitt je 145 Cyberangriffe, die zur Infiltration ihrer Kernnetzwerke bzw. Unternehmenssysteme führten. Das sind elf Prozent mehr als im Vorjahr und 67 Prozent mehr als vor fünf Jahren.
In Deutschland verzeichneten die Studienteilnehmer durchschnittlich 81 Attacken, fünf Prozent weniger als im Vorjahr. Die Folgen sind trotzdem kostspielig: Der Verlust von Informationen gehört für deutsche Unternehmen zu den teuersten Folgen von Cyberattacken (5,4 Mio. Euro), gefolgt von Kosten, die durch Betriebsstörungen entstehen (4,3 Mio. Euro).
Im Branchenvergleich verursacht Cyberkriminalität bei Banken und Energieversorgern in Deutschland die höchsten Kosten. Bei den Banken sind die Kosten von 14,8 Mio. Euro im Jahr 2017 auf 16,4 Mio. Euro in 2018 gestiegen und bei Energieversorgern von 13,5 Mio. Euro in 2017 auf knapp 16 Mio. Euro in 2018.
Unternehmen geben mehr Geld aus denn je, um sich mit immer komplexeren Angriffen auseinanderzusetzen. So fließen heute 15 Prozent des Cybersicherheitsbudgets in Maßnahmen gegen Cyberangriffe mit Personenbezug wie Phishing oder Ransomware. Malware ist die häufigste Art von Cyberangriffen in Deutschland, gefolgt von personenbezogenen Attacken durch Phishing und Social Engineering.
Mehr Bewusstsein für die negativen Auswirkungen von Cyberangriffen sowie eine informierte und zielgerichtete Einführung innovativer Sicherheitstechnologien wären der beste Weg, um sich zu schützen, so die Studie. Die größten Kosteneinsparungen lassen sich mit modernen Identitäts- und Zugriffsrichtlinien, dem Einsatz von Automatisierung, künstlicher Intelligenz, maschinellem Lernen sowie der Ausgabe von Sicherheitsinformationen und einer besseren Risikoverteilung erzielen.
Das funktioniert jedoch nur bei vollständiger Implementierung über alle Unternehmensbereiche hinweg und klarem Fokus auf den Schutz der wichtigsten Daten und Informationen. Werden diese nicht identifiziert, verbrauchen bereits generische Schutzmaßnahmen sowohl das Budget als auch die personellen Mittel.
Auch der Irrglaube, dass Sicherheit und der Aufbau von Cyber-Resilienz nicht von allen Mitarbeitern mitgetragen werden muss, ist schädlich. Die Studie zeige, so Accenture, dass es höchste Zeit sei, einen holistischen, proaktiven und präventiven Ansatz für das Cyber-Risikomanagement zu entwickeln, der uneingeschränktes Engagement von Partnern im gesamten Ökosystem beinhaltet. Es gehe darum, den Geschäftserfolg zu schützen und nicht die IT.
Die Studie wurde gemeinsam mit dem Ponemon Institute in elf Ländern und 16 Branchen durchgeführt. In Deutschland wurden 289 Führungskräfte aus 40 Unternehmen befragt.