Cyberangriffe werden häufiger und folgenschwerer

Laut einer Studie von A.T. Kearney unterschätzen Unternehmen die Gefahr durch Cyberattacken. Mit teuren Folgen: Die Kosten von Cyberattacken wiegen weltweit ganze Volkswirtschaften auf. [...]

Schätzungen einschlägiger Institutionen zum weltweiten Schaden durch Cyberattacken liegen zwischen 400 Mrd. und 2,2 Billionen Dollar. Hinzu kommen Imageschäden und Vertrauensverluste. In Zukunft werden A.T. Kearney zufolge die Frequenz und das Ausmaß an Cyberattacken weiter ansteigen. Um Risiken zu minimieren, empfiehlt es sich, Informationssicherheit ganzheitlich in fünf Dimensionen zu adressieren: Strategie, Organisation, Prozesse, Technologie und Kultur.

„Zunächst einmal müssen Unternehmen verstehen, dass Informationssicherheitsrisiken Geschäftsrisiken sind. Die Verantwortung für das Management dieser Risiken liegt bei der Unternehmensführung, nicht bei der IT-Abteilung oder dem CIO“, erklärt Michael Römer, Partner bei A.T. Kearney und Leiter des Beratungsbereichs Digital Business in Europa.

Die Methoden der Attacken auf die Informationssicherheit verändern sich rasant, während das Risiko und die Folgekosten ungenügender Sicherheitsmaßnahmen weiter steigen. „Der nächste Cyberangriff ist ebenso schwer vorherzusagen wie das nächste Erdbeben, allerdings zeichnen sich einige Trends ab. Die geschätzten Kosten erfolgreicher Angriffe liegen jährlich weltweit zwischen 400 Milliarden und 2,2 Billionen US-Dollar. Das entspricht etwa dem Bruttoinlandsprodukt von Österreich bzw. Brasilien, wobei langfristige Folgen wie Imageschäden durch den Vertrauensverlust kaum angemessen berücksichtigt werden können“, sagt Boris Piwinger, Senior Manager und Leiter des Beratungsbereichs Informationssicherheit bei A.T. Kearney.

Mit der zunehmenden Digitalisierung und den damit einhergehenden, unvermeidlichen Sicherheitsverletzungen werden auch das Ausmaß und die Frequenz der Attacken steigen. Piwinger sieht vor allem die folgenden Trends: globale Überwachung, gezielte Schwächung von Informations-sicherheitstechnologie, Attack-as-a-Service-Angebote (AaaS), massive Angriffe auf Infrastrukturen und industrielle Steuerungssysteme. Auch Erpressung ist ein mögliches Geschäftsmodell der Angreifer. Sie drohen damit, einen zuvor glaubhaft gemachten Schaden massiv in die Höhe zu treiben, bis das „Lösegeld“ bezahlt ist.

ATTACKEN: TEUER UND REPUTATIONSSCHÄDIGEND
Viele Unternehmen agieren zu langsam, um mit der rasanten Entwicklung der Angriffe Schritt zu halten. „Wenn Kriminelle erst einmal die Systeme eines Unternehmens infiziert haben, kann es Monate dauern, die Kontrolle zurückzugewinnen“, kommentiert Piwinger. „Nach Schätzungen dauert es im Durchschnitt 243 Tage, bis ein Angriff entdeckt wird. So haben die Hacker viel Zeit, um sich nach interessanten Daten umzusehen und das gesamte Unternehmen flächendeckend zu infiltrieren.“

So veröffentlichte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) unlängst den Fall eines deutschen Stahlwerks, bei dem ein Angriff zu erheblichen physischen Schäden an einem Hochofen führte.

Ähnliches droht auch Infrastrukturbetreibern aus Bereichen wie Telekommunikation, Finanzen, Verkehr, Gesundheit oder Energieversorgung. Aber was passiert, wenn die Bürger das Vertrauen in diese Bereiche verlieren? Auf diese Weise wird die Debatte um Informationssicherheit schnell eine Frage der nationalen Sicherheit und – wenn es um den Schutz persönlicher Daten vor Überwachung geht – auch um eine Frage der Demokratie. Das hat inzwischen auch der Gesetzgeber gemerkt und setzt sich mit diesen Fragestellungen auseinander. „Dennoch werden wir uns an öffentlichkeitswirksame Angriffe dieser Art gewöhnen müssen, auch mit unangenehmen Folgen, sie sind gekommen, um uns lange Zeit zu begleiten“, ergänzt Piwinger.

RISIKEN MINIMIERENDie Studie von A.T. Kearney zeigt, dass Unternehmen, die vorbildlich in der Informationssicherheit sind, immer wieder fünf Bereiche adressieren, um Risiken zu minimieren: Strategie, Organisation, Prozesse, Technologie und Kultur. „Sicherheitsprobleme sind selten auf Fehler in nur einem dieser Bereiche zurückzuführen. Erfolgreiche Hacker nutzen typischerweise eine Kombination unterschiedlicher Schwachstellen“, erklärt Piwinger.

„Unternehmen, die ihre Sicherheitsrisiken minimieren wollen, brauchen eine eng mit der Unternehmensstrategie verbundene Sicherheitsstrategie, ein ausbalanciertes organisatorisches Setup, in dem schwierige Entscheidungen bewältigt werden können, durchdachte und eingeübte Prozesse zur Bewertung und Bearbeitung von Risiken, einen effizienten Einsatz von Technik und vor allem eine starke Unternehmenskultur, die Informationssicherheit als Wertbeitrag und gemeinsame Aufgabe der Gesamtorganisation wahrnimmt“, so Michael Römer abschließend. (pi)


Mehr Artikel

News

Game Development Studie 2024: Knowhow aus Österreich ist weltweit gefragt

Nie zuvor hat eine so große Zahl heimischer Entwickler zum Erfolg internationaler Top-Games aber auch zur digitalen Transformation der österreichischen Wirtschaft beigetragen. Die heimischen Game Developer generieren einen gesamtwirtschaftlichen Umsatz von 188,7 Millionen Euro. Jeder Arbeitsplatz in einem Unternehmen der Spieleentwicklung sichert mehr als einen weiteren Arbeitsplatz in Österreich ab. […]

News

Kunden vertrauen Unternehmen immer weniger

Das Vertrauen von Verbraucher:innen in Unternehmen hat den niedrigsten Stand der letzten Jahre erreicht. Fast drei Viertel (72 Prozent) der Verbraucher:innen weltweit vertrauen Unternehmen weniger als noch vor einem Jahr. Als wichtigsten Grund geben 65 Prozent der Befragten in einer Umfrage von Salesforce an, dass Unternehmen leichtfertig mit den Daten ihrer Kund:innen umgehen. […]

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*