Cyber-Angriffe: 65 Milliarden Euro Schaden in Deutschland

Fast täglich lesen wir von Cyber-Angriffen auf Privatleute und Unternehmen. Deutschen Unternehmen sind in den letzten fünf Jahren Schäden von insgesamt 65,2 Milliarden Euro durch Internet-Attacken entstanden, wie ich einer Studie von Veracode entnehme.

Für die Studie von Veracode und Cebr wurden deutsche Unternehmen mit über 1.000 Beschäftigten befragt. Die Befragung ergabe eine jährliche Schadenssumme für die deutsche Wirtschaft von rund 13 Milliarden Euro – so viel wie die Bundesregierung im Jahr 2016 in die komplette Infrastruktur des Landes investieren will.

Besonders stark betroffen ist die herstellende Industrie. Vor allem Web- und Cloud-Anwendungen als Einfallstor bereiten Unternehmen demnach Sorge. Im Schnitt wurde jedes befragte Unternehmen in den letzten fünf Jahren zweimal Opfer eines Cyber-Angriffs. Überdurchschnittlich oft traf es Firmen im Baugeschäft mit 2,7 und die Logistikunternehmen mit 2,5 Attacken aus dem Netz. Die Schäden durch diese Angriffe in den letzten fünf Jahren verteilen sich höchst unterschiedlich auf verschiedene Branchen:

• Die herstellende Industrie hat mit 27 Milliarden Euro Schaden die höchsten Schäden erlitten.
• Die Versorgungs-, Industrie- und Bergbaubranche hat Schäden von 9,2 Milliarden Euro zu beklagen.
• Die Baubranche verzeichnete mit 6,5 Milliarden Euro die dritthöchste Schadenssumme.

Hintergrund der hohen Schadenssummen in diesen Branchen sind die oftmals starke Vernetzung ihrer Geschäfte, zum Beispiel durch das Fortschreiten von Industrie-4.0-Technologien, sowie die wertvollen Daten, die hier gesammelt werden. Vor dem Hintergrund dieser enormen Kosten haben neun von zehn (89 Prozent) der befragten Unternehmen vor, ihre IT-Sicherheitsausgaben zu erhöhen. Allein für Unternehmen der herstellenden Industrie prognostiziert Cebr einen jährlichen Anstieg von 578.000 Euro über die nächsten fünf Jahre.

Vor allem Exploits, also das Ausnutzen von Schwachstellen, in Cloud- und Web-Anwendungen (66 Prozent) und gleichauf mobile Apps und Unternehmensinsider (je 65 Prozent) bereiten den befragten Unternehmen Sorgen, wenn es um Angriffsmöglichkeiten für Cyberkriminelle geht. Für den Fall eines Cyber-Sicherheitsvorfalls, fürchtet sich knapp die Hälfte der befragten Unternehmen vor den direkten Aufwendungen für Gegenaktionen, eventuelle Strafzahlungen oder Rechtsstreitigkeiten und Umsatzeinbußen (46 Prozent). Noch größer ist aber die Angst vor langfristigen Schäden für die Unternehmensreputation (59 Prozent).

Neben den direkten und indirekten Schäden durch Cyber-Attacken untersucht die Studie auch die Einstellung von Entscheidern in großen deutschen Unternehmen zur unternehmensinternen Verantwortlichkeit bei erfolgreichen Cyber-Attacken und zur IT-Sicherheit im Allgemeinen. Die wichtigsten Ergebnisse sind:

• 90 Prozent aller IT-Sicherheitsbeauftragten (CISO) denken, dass die aktuellen IT-Sicherheitsrichtlinien die Innovationskraft ihres Unternehmens schädigen. Auf der CEO-Ebene sind es nur etwas mehr als 60 Prozent.
• Die Entscheider sind aber auch bereit, Verantwortung zu übernehmen: 80 Prozent der CISOs würden sich bei einem erfolgreichen Cyber-Angriff selbst in der Verantwortung sehen, bei CEOs sind es immerhin 44 Prozent.
• Generell stellt die Studie eine hohe emotionale Bindung der befragten IT-Entscheider an ihr jeweiliges Unternehmen fest. Rund 37 Prozent würden eine Cyber-Attake daher auch als persönlichen Angriff verstehen.

Die komplette Studie mit allen Ergebnissen und Einschätzungen ist hier abrufbar.