Pressemitteilung: 09. Oktober 2013
Themen:

Cyberkriminalität kostet deutsche Unternehmen im Schnitt 5,7 Millionen Euro im Jahr

- HP-Studie "Cost of Cyber Crime" ermittelt einen Kostenanstieg um 16 Prozent gegenüber 2012 - Im Mittel dauert die Beseitigung von Angriffsfolgen 22 Tage und kostet 352.500 Euro - Versorger, Finanzdienstleister und Technologieunternehmen erleiden größeren Schaden als Unternehmen anderer Branchen

BÖBLINGEN, 9. Oktober 2013 - Cyberkriminalität kostet deutsche Unternehmen im Schnitt 5,7 Millionen Euro pro Jahr - ein Anstieg von 830.000 Euro oder 16 Prozent gegenüber 2012. Das geht aus der aktuellen Ausgabe der jährlichen Studie "Cost of Cyber Crime" hervor, die das Ponemon Institute im Auftrag von HP durchgeführt hat. Damit liegt Deutschland im weltweiten Vergleich auf Platz zwei hinter den USA, wo Cyberangriffe Unternehmen und Behörden im Schnitt 8,7 Millionen Euro pro Jahr kosten. Auf den weiteren Plätzen folgen Japan, Frankreich und Großbritannien mit 5,0, 3,9 und 3,5 Millionen Euro (1).

Die Studie "Cost of Cyber Crime" untersucht die wirtschaftlichen Auswirkungen von Cyberkriminalität in sechs Ländern. In den USA wurde die Studie bereits zum vierten Mal durchgeführt, in Frankreich erstmals. Deutschland, Australien, Großbritannien und Japan sind zum zweiten Mal dabei. Ziel der Studie ist es, die Kosten von Cyberattacken zu quantifizieren und deren Entwicklung über einen längeren Zeitraum zu beobachten. In Deutschland hat das Ponemon Institut dieses Jahr 398 Fach- und Führungskräfte aus 47 deutschen Organisationen ausführlich befragt (2). Zudem flossen in die Studie die Analyseergebnisse tatsächlicher Cyberangriffe ein.

Cyberattacken gehören auch in Deutschland mittlerweile zum Unternehmensalltag. Im Schnitt verzeichnete jedes untersuchte Unternehmen im vergangenen Jahr 1,3 erfolgreiche Angriffe pro Woche - ein Anstieg von 21 Prozent gegenüber 2012 (3). US-Unternehmen verzeichneten wöchentlich sogar zwei erfolgreiche Angriffe.

Die höchsten Kosten verursachen in Deutschland Cyberangriffe von Insidern, Denial-of-Service- und Phishing-Attacken. Zusammen verursachen diese drei Angriffstypen 50 Prozent aller Kosten, die pro Unternehmen und Jahr durch Cyberkriminalität entstehen (4). Schadcode und Botnetze spielen hingegen eine nachgeordnete Rolle: Im internationalen Vergleich werden deutsche Unternehmen am wenigsten durch diese Angriffsmethoden attackiert.
 
Weitere Ergebnisse der Studie für Deutschland:
- Datenverlust ist weiterhin die teuerste Folge von Cyberkriminalität, dicht gefolgt von Umsatzeinbußen durch Betriebsstörungen (5). Auf ein Jahr gesehen macht der Schaden durch Datenverlust einen Anteil von 43 Prozent der gesamten externen Kosten aus - ein Anstieg um drei Prozent gegenüber 2012. Umsatzeinbußen durch Betriebsstörungen und reduzierte Produktivität legten um zwei Prozent auf 27 Prozent der externen Kosten zu (2).
- Die Entdeckung und Beseitigung von Angriffen sind die teuersten Gegenmaßnahmen. 2013 verursachte die Suche nach Angriffen und die Beseitigung deren Folgen 51 Prozent aller internen Kosten, die sich zu mehr als 50 Prozent aus Produktivitätsverlust und Arbeitskosten zusammensetzen (2). Der übrige Aufwand verteilte sich auf das Isolieren schadhafter Systembestandteile oder Software (18 Prozent), Nachforschungen (16 Prozent), Incident Management (11 Prozent) sowie nachgelagerte Maßnahmen (4 Prozent).
- Die Beseitigung von Angriffsfolgen dauert im Durchschnitt 22 Tage. In dieser Zeit fallen im Mittel Kosten von 352.500 Euro an, oder auch 16.020 Euro pro Tag. Dies entspricht einem Anstieg von 18 Prozent gegenüber den geschätzten Durchschnittskosten von 294.800 Euro für einen Zeitraum von ebenfalls 22 Tagen im vergangenen Jahr (2).
- Die Kosten von Cyberkriminalität variieren nach Unternehmensgröße. Die Studienergebnisse zeigen einen Zusammenhang zwischen Unternehmensgröße und den Kosten durch Cyberangriffe: Kleinere Unternehmen verzeichnen deutlich höhere Kosten pro Kopf (durchschnittlich 974 Euro) als größere Unternehmen (durchschnittlich 251 Euro) (2).
- Unternehmen aller Branchen sind von Cyberkriminalität betroffen - aber in unterschiedlichem Umfang. Unternehmen aus den Bereichen Energie und Versorgung, Finanzdienstleistungen und Technologie verbuchen jährlich deutlich höhere Cybercrime-Kosten als solche aus den Bereichen Handel, Medien und Konsumgüter (2).
- Für Sicherheitsmaßnahmen im Netzwerk-Layer steht das höchste Budget zur Verfügung, für IT-Sicherheit im Host-Layer das geringste. Der Anteil an Budget für das physische Layer ist am höchsten in Unternehmen mit geschäftskritischen IT-Infrastrukturen, etwa Telekommunikations-, Energie- und Versorgungsunternehmen. Im Einzelhandel ist dieser Anteil am niedrigsten.

Security-Intelligence-Lösungen und Steuerungspraktiken machen den Unterschied

Trotz der steigenden Bedrohungslage durch Cyberattacken zeigt die aktuelle Ausgabe der Studie "Cost of Cyber Crime", dass moderne Security-Intelligence-Werkzeuge dabei helfen können, Bedrohungen und die dadurch verursachten Kosten deutlich zu reduzieren. Dazu gehören vor allem Lösungen für das Sicherheitsinformations- und Event-Management (SIEM), Intrusion-Prevention-Systeme, Sicherheitstests für Applikationen sowie Lösungen für Governance, Risikomanagement und Compliance in Unternehmen (2).
- Unternehmen und Behörden, die Security-Intelligence-Technologien anwenden, konnten Cyberattacken effizienter erkennen und eindämmen. Im Durchschnitt ließen sich damit pro Unternehmen 1,4 Millionen Euro im Jahr einsparen.
- Steuerungspraktiken für Unternehmenssicherheit (Enterprise Security Governance Practices) senken die Kosten durch Cyberkriminalität, und zwar durchschnittlich um geschätzte 472.000 Euro pro Jahr (2). Zu diesen Praktiken gehört, in angemessene Ressourcen zu investieren, eine hochrangige Security-Führungskraft zu ernennen und zertifizierte, fachkundige Mitarbeiter einzustellen.
- Unternehmen erzielen mit Verschlüsselungstechnologien die höchste Investitionsrendite (Return on Investment, ROI). Die Studie untersuchte den ROI von sieben unterschiedlichen Security-Technologien. Das Resultat: Unternehmen erzeilten im Schnitt eine Investitionsrendite von 25 Prozent durch den umfassenden Einsatz von Verschlüsselungstechnologien. Auf den weiteren Plätzen folgen Security-Intelligence-Systeme (20 Prozent) sowie fortschrittliche Perimeter-Kontrollen und Firewall-Technologien (19 Prozent).

HP veranstaltet mehrere Webcasts am 29. und 30. Oktober, in denen die Studienergebnisse vorgestellt werden. Das Webinar über die Kosten der Cyberkriminalität in der Region Europa, Mittlerer Osten und Afrika findet am 30. Oktober um 16 Uhr statt. Nähere Details und Anmeldung unter https://www.brighttalk.com/r/nDs. Die vollständige Studie erhalten Sie auf Anfrage bei Christian Viermann, HP-Presseservice.

HP bietet mit den Produkten von ArcSight, Fortify und TippingPoint ein umfassendes Angebot für die IT-Sicherheit. Damit können Unternehmen eine aktive Sicherheitsstrategie umsetzen, die Informationskorrelation, tiefe Anwendungsanalyse und Abwehrmechanismen auf Netzwerk-Ebene integriert. Mit HPs Enterprise-Security-Produkten sind Unternehmen gut aufgestellt, sich gegen Angreifer zu wehren, Risiken zu steuern und ihre Sicherheits-Leistungsfähigkeit zu verbessern.

Fußnoten
(1) 2013 Cost of Cyber Crime Study: United States, Ponemon Institute, Stand: Oktober 2013
(2) 2013 Cost of Cyber Crime Study: Germany, Ponemon Institute, Stand: Oktober 2013
(3) Die Studie definiert einen erfolgreichen Angriff als einen, der eine Infiltration des Kern-Netzwerks eines Unternehmens oder des Unternehmenssystems mit sich bringt. Nicht gemeint ist damit die Vielzahl an Angriffen, die von der Firewall des Unternehmens abgewehrt werden.
(4) In diesem Jahr schließt die Kategorie böswillige Insider auch die Kosten gestohlener Geräte ein.
(5) Im Kontext dieser Studie werden externe Kosten durch externe Faktoren verursacht, wie etwa Geldstrafen, Rechtsstreite, die Vermarktbarkeit von gestohlenem intellektuellen Eigentum und weiteres.

Ansprechpartner für Medien

Über HP

HP schafft neue technologische Möglichkeiten, die Personen, Unternehmen, Behörden und der Gesellschaft bedeutende Chancen eröffnen. Als eines der weltweit größten Technologieunternehmen bietet HP ein Portfolio, das Drucklösungen, Personal Computing, Software, Services und IT-Infrastrukturen zur Bewältigung kundenspezifischer Probleme beinhaltet. Weitere Informationen über HP (NYSE: HPQ) finden Sie unter http://www.hp.com.