Cyberangriffe: Eine sehr reale existenzielle Bedrohung für Unternehmen

Wir alle wissen, dass Cybersicherheit ein kritisches Element des Geschäftsrisikos ist. Aber wie kritisch? Einige Sitzungssäle scheinen kaum mehr als ein Lippenbekenntnis zur Sicherheit abzugeben und schaffen es dennoch, ernsthafte Auswirkungen zu vermeiden. Deshalb ein neues Bericht des globalen Versicherers Hiscox sorgt für interessante Lektüre. Es wird tatsächlich behauptet, dass viele europäische und amerikanische Organisationen nach Sicherheitsverletzungen der Insolvenz nahe gekommen seien. Und während die Ausgaben steigen, werden weniger globale Unternehmen denn je als „Experten“ für Cyberbereitschaft bezeichnet.

Es ist klar, dass es noch nie so wichtig war, zu wissen, wohin Investitionen in die Cybersicherheit gelenkt werden sollen. Was also tun die Experten, um eine Insolvenz zu vermeiden? Dem Bericht zufolge ist es größtenteils eine Mischung aus Best-Practice-Grundlagen und der Bereitschaft, aus früheren Vorfällen zu lernen.

Eine existenzielle Bedrohung

Der Bericht wurde aus Interviews mit 5,000 Unternehmen in den USA, Großbritannien, Belgien, Frankreich, Deutschland, Spanien, den Niederlanden und Irland zusammengestellt. Einige der Erkenntnisse kannten wir bereits. Aber es gibt einige interessante Nuancen. Zum Beispiel:

• Sieben von acht Ländern stufen einen Cyberangriff als größte Bedrohung für ihre Unternehmen ein
• Die Hälfte (48 %) der Befragten hat in den letzten 12 Monaten einen Cyberangriff gemeldet, gegenüber 43 % im Vorjahr
• Ein Fünftel (19 %) der Befragten meldete einen Ransomware-Angriff, gegenüber 16 %. Zwei Drittel der Opfer bezahlten ihre Angreifer

So weit, so gewohnt. Es gibt jedoch eine große Wahrnehmungslücke zwischen denen, die einen Angriff erlitten haben, und denen, die dies nicht getan haben. Mehr als die Hälfte (55 %) der Opfer von Cyberangriffen sehen die Cybersicherheit als einen Bereich mit hohem Risiko an, aber die Zahl derjenigen, die keine Kompromittierung erlebt haben, sinkt auf nur 36 %. In ähnlicher Weise geben 41 % der Angegriffenen an, dass ihre Risikoexposition gestiegen ist, aber für die andere Gruppe ist die Zahl weniger als ein Viertel (23 %).

Ein weiteres interessantes Nugget: Cyberkriminelle scheinen zu sein immer mehr auf kleinere Unternehmen abzielen. Diejenigen mit einem Umsatz von 100,000 bis 500,000 US-Dollar können jetzt mit ebenso vielen Angriffen rechnen wie diejenigen, die 1 bis 9 Millionen US-Dollar pro Jahr verdienen.

Kostenstellen lieb

Dies ist wichtig, da ein Fünftel der antwortenden Unternehmen, die angegriffen wurden, angeben, dass ihre Zahlungsfähigkeit bedroht sei, was einer Steigerung von 24 % gegenüber dem Vorjahr entspricht. Obwohl dies im Bericht nicht aufgeführt ist, können die Kosten eines Verstoßes Folgendes umfassen:

• Betriebsausfälle
• Rechtskosten
• Kosten für IT-Überstunden und Forensik von Drittanbietern
• Bußgelder
• Kundenabwanderung
• Produktions- und Umsatzverluste
• Langfristiger Reputationsschaden

Dies könnte teilweise erklären, warum die Ausgaben gestiegen sind. Dem Bericht zufolge stiegen die durchschnittlichen Ausgaben der Befragten für Cybersicherheit im vergangenen Jahr um 60 % auf 5.3 Millionen US-Dollar und seit 250 um 2019 %

Wie kompromittieren Angreifer Organisationen?

Um besser zu verstehen, wie Ihr Unternehmen einen Bankrott vermeiden kann, müssen wir zunächst wissen, wie Bedrohungsakteure so viel Schaden anrichten. Dem Bericht zufolge sind die Hauptangriffsvektoren:

• Cloud-Server (41 %)
• Geschäftliche E-Mail (40 %)
• Unternehmensserver (37 %)
• Fernzugriffsserver (31 %)
• Mitarbeitereigene Mobilgeräte (29 %)
• DDoS (26 %)

Dies stimmt mit den Ergebnissen anderer Berichte und der Erzählung überein, dass Telearbeit, pandemiebedingte Investitionen in die Cloud-Infrastruktur und Sicherheitsherausforderungen bei der Telearbeit zu den größten Risiken gehören, denen Unternehmen heute ausgesetzt sind. Diese haben zusammen mit menschlichem Versagen eine große Angriffsfläche geschaffen, auf die Bedrohungsakteure zielen können.

Was ist als nächstes zu tun?

Etwas besorgniserregend ist die Tatsache, dass die von Hiscox geschätzten Cyber-Readiness-Werte im Jahresvergleich um 2.6 % gesunken sind, was zu einem starken Rückgang der Zahl der als „Experten“ eingestuften Unternehmen führte – von 20 % auf nur 4.5 %. Der Anteil der Neulinge ging ebenfalls deutlich zurück, sodass die meisten „Fortgeschrittene“ waren. Die Cyber-Bereitschaft ist wichtig, weil die mittleren Angriffskosten als Prozentsatz der Einnahmen für Unternehmen, die als „Cyber-Neulinge“ eingestuft werden, zweieinhalb Mal höher sind, heißt es in dem Bericht.

Wie sieht also eine ausgereifte cyberfähige Organisation aus? Glücklicherweise hängt nicht alles davon ab, wie viel Geld zur Verfügung steht. Mehrere Best Practices werden hervorgehoben, darunter die folgenden:

• Formalisieren Sie die Cybersicherheit mit klar definierten Rollen und der Zustimmung des Vorstands oder der Geschäftsleitung
• Stellen Sie sicher, dass Top-Führungskräfte einen klaren Einblick in die Cybersicherheit haben und sich mit ihr beschäftigen
• Befolgen Sie Best-Practice-Standards wie z Rahmenwerk des US National Institute of Standards and Technology (NIST).
• Verteilen Sie die Investitionen auf die fünf Schlüsselfunktionen von NIST – identifizieren, schützen, erkennen, reagieren und wiederherstellen
• Konzentrieren Sie sich auf die Planung der Reaktion auf Vorfälle und Angriffssimulationen im Lichte von aktuelle geopolitische Unsicherheit
• Bewerten Sie regelmäßig die Daten- und Technologieinfrastruktur des Unternehmens
• Wirksam bieten Sensibilisierung für Cybersicherheit
• Stellen Sie sicher, dass Geschäftslieferanten und Partner die Sicherheitsanforderungen einhalten
• Konzentrieren Sie sich auf „Low Hanging Fruit“-Prozesse wie Patching, Pentesting und regelmäßige Backups

Zusammengenommen tragen diese Schritte dazu bei, die Wahrscheinlichkeit zu minimieren, dass ein Angriff das Unternehmen letztendlich bankrott macht.