ChangeIT.
Der „Return on Investment“ (ROI) ist bei IT-Security-Lösungen nur schwer messbar. Das sollte aber niemanden davon abhalten, in IT-Sicherheit zu investieren. Denn treffen kann es heutzutage jeden.
Es ist ein bisschen so, als ob Ihr Kind Ihnen eines Tages eröffnete, sich in Zukunft nicht mehr die Zähne putzen zu wollen. Auf Ihre Frage, weshalb, würde es entgegnen: „Lohnt sich nicht, Ich hab‘ doch nie Zahnschmerzen.“ Investitionen in Cyber-Security haben oft mit einem ähnlichen Problem zu kämpfen: Sind sie erfolgreich, prallen Cyber-Attacken am Unternehmensnetzwerk ab und das Bewusstsein für die Notwendigkeit eben jene Investitionen zu tätigen, die dies bewerkstelligten, schwindet.
Es kann jeden treffen
Medienberichte über einzelne Großereignisse, wo eine einzige Firma einen Millionenschaden davongetragen hat, verfangen oft nicht, weil es sehr abstrakt klingt. Kleine oder mittlere Firmen denken auch oft, dass sie zu unwichtig wären, um Opfer einer gezielten Attacke zu werden. Unsere Erfahrung bei CS.Hamburg zeigt jedoch, dass Angriffe auf die Unternehmens-IT praktisch keine Grenzen nach unten kennen. IT-Sicherheit ist also für alle Firmengrößen ein Thema, von der Steuerkanzlei bis zum Großkonzern.
Wie hoch die Investition in IT-Security-Lösungen sein dürfen, müssen IT-Verantwortliche immer wieder neu aushandeln. Während es bei anderen Tools leichter ist, eine erhöhte Performance zu erzielen, die hinterher messbar ist und sich positiv auf die Produktivität niederschlägt, ist es bei IT-Sicherheit komplizierter. Wer weiß schon im Vorfeld, wie schlimm es einen treffen könnte, wenn man sich nicht besonders schützt?
Bei CS.Hamburg beobachten wir regelmäßig, dass größere Budgets für IT-Sicherheit erst freigemacht werden, nachdem eine Cyberattacke die Unternehmens-IT lahmgelegt hat. Den normalen Betrieb wiederherzustellen, kann dann durchaus mehrere tausend Euro kosten. Dieser finanzielle Schaden führt dann meist zu einem Umdenken.
Deutschland bleibt Spitzenreiter bei Schadenskosten
Das ist enorm wichtig, denn tatsächlich besagen mehrere Studien, dass Cyberattacken weltweit zugenommen haben und wir es somit mit einem absolut alltäglichen Problem zu tun haben. Laut dem „Cyber Readiness Report 2021“ des Versicherers Hiscox ist der Anteil deutscher Unternehmen, die mindestens einmal Opfer eine Cyber-Attacke wurden, auf 46 Prozent gestiegen – also fast jedes zweite Unternehmen. Das ist eine Zunahme von fünf Prozent gegenüber dem Vorjahr. Weltweit betrachtet ist diese Quote von 39 auf 43 Prozent gestiegen. Bei 28 Prozent der befragten Unternehmen handelte es sich sogar um fünf oder mehr Angriffe. 17 Prozent mussten eingestehen, dass die Cyberattacken potenziell existenzbedrohend waren. Das ist fast jedes fünfte Unternehmen.
Natürlich erleidet nicht jede betroffene Firma einen Millionenschaden, allerdings liegt der Hiscox-Studie zufolge die durchschnittliche Schadenshöhe in Deutschland bei 21.818 Euro. Das ist dann keine so abstrakte Summe mehr und ist fast doppelt so hoch wie im internationalen Vergleich mit 11.932 Euro.
Sicherheit als Gesamtaufgabe
Die Studie beweist letztlich, dass die Gefahr einer Cyberattacke absolut real ist und sich nicht damit wegdiskutieren lässt, dass man selbst nicht interessant genug wäre für Hacker oder Cyberkriminelle. Das Risiko einen fünfstelligen Betrag zu verlieren, lässt sich leicht minimieren durch einen umfassenden Schutz. Vielleicht werden die Investitionen immer höher liegen als der Schaden, der jemals auftreten würde. Aber das ist eine unrealistische Prognose, denn Cyberkriminalität nimmt weiter zu und wird immer ausgefeilter. Wir von CS.Hamburg raten auch dazu, das Thema Sicherheit nicht allein der IT-Abteilung zu überlassen, sondern es als Aufgabe des gesamten Unternehmens anzusehen. Alle Mitarbeitenden müssen hier mitdenken und sollten sensibilisiert werden, denn hier geht es im Zweifel um die Existenz.
