Die versteckten Auswirkungen von Cyber-Angriffen auf Ihr Unternehmen
Die Digitalisierung vieler Unternehmen und die Automatisierung derer Prozesse erhöhen die Gefahr vor Cyber-Angriffen von Jahr zu Jahr. Ob Phishing, Malware oder Abhörangriffe – die Arten von Cyber-Attacken sind vielfältig und das Vorgehen der Täter wird zunehmend professioneller. Laut einer Bitkom-Umfrage haben digitale Angriffe im Jahr 2019 bei 70 Prozent der befragten Unternehmen Schäden erzeugt. Im Vergleich: 2017 waren es noch 43 Prozent.
Besonders in kleinen und mittelständischen Unternehmen haben Führungskräfte oft Schwierigkeiten, die potenziellen Auswirkungen abzuschätzen. Eine Umfrage von Tenable ergab, dass nur etwa die Hälfte der befragten Unternehmen Cyber-Bedrohungen als Geschäftsrisiko sehen.
Die fehlende Klarheit über die möglichen unternehmensweiten Auswirkungen führt in immer noch zu vielen KMU‘s dazu, dass Prävention nicht genug Priorität zugeschrieben bekommt und Risiko-Konzepte, wenn überhaupt, stiefmütterlich erstellt werden.
In aktuellen Berichten der News-Plattform t-online wurde jüngst über die neusten Fälle von Cyber-Attacken auf deutsche Unternehmen berichtet. Dabei seien die Media-Markt-Saturn-Holding sowie der IT-Dienstleister Medatixx angegriffen worden. Medatixx entwickelt Software für Arztpraxen, welche bundeweit in jeder vierten Arztpraxis im Einsatz ist. Bei den Cyberangriffen wurden Teile der IT-Systeme verschlüsselt. Bei Media-Saturn bezog sich die Attacke vor allem auf die Windows-Server sowie die Warenwirtschaftssysteme. Die Angreifer fordern laut Medienberichten 50 Millionen US-Dollar in Bitcoin, um die verschlüsselten Daten wieder freizugeben. Für Unternehmen kommen somit nicht nur Kosten zur Vermeidung von Cyberangriffen zustande, sondern auch die offensichtlich geforderten Erpressersummen!
Cyberangriffe richten Schäden auf vielen Ebenen an
Allerdings gibt es unterschiedliche Arten von Schäden, die ein Unternehmen durch Cyber-Angriffe erleiden kann. Einige davon sind offensichtlich und Führungskräften durchaus bekannt. Andere hingegen sind sehr versteckt, können mitunter zu komplexen Problemen führen und langanhaltende Beeinträchtigungen mit sich bringen. Daher geben wir Ihnen im Folgenden einen Überblick über die vielschichtigen Auswirkungen von Cyber-Angriffen auf Unternehmen.
Verlust von Kunden und Reputation
Bei einer Vielzahl von Online-Straftaten handelt es sich um Handlungen, die zum Verlust von (Kunden-)Daten oder zu einer temporären Geschäftsunterbrechung führen. Das hat häufig negative Auswirkungen auf die Kundenzufriedenheit und das öffentliche Ansehen der Firma. Während technische Störungen den Geschäftsprozess unterbrechen, wird die Nutzerfreundlichkeit der Customer Journey gestört und potenzielle Neukunden gehen verloren.
Bestehende Kundenbeziehungen können außerdem durch eine missliche Kundenerfahrung zerstört werden. Eventuell auftretende negative Medienberichterstattung über Sicherheitslücken im Unternehmen führt dazu, dass Kunden verloren gehen. Die Folge: Die gesamte Reputation der Firma könnte leiden. Hier müssen Unternehmen ad-hoc Krisenkommunikation betreiben und dafür sorgen, dass möglichst wenig Image-schädigende Informationen und Berichte nach außen getragen werden. Haben Hacker beispielsweise Zugriff auf sensible Kundendaten erlangen können, so müssen zuerst die Kunden selbst informiert und begütigt werden. Im zweiten Schritt sollte Pressearbeit betrieben und parallel neue Sicherheitsmaßnahmen getroffen werden. Aber nicht nur der Datendiebstahl oder die Einbuße potenzieller Neukunden sind Schäden entsprechender Angriffe auf Unternehmen. Auch der Verlust von Marktanteilen kann eine schwerwiegende Folge sein.
Verlust von Daten
Ein Grund, warum Hacker vermehrt Unternehmen angreifen, sind deren großen Datenbestände. Datendiebstahl ist eine der Hauptursachen für Cyber-Angriffe jeglicher Art. Laut der bereits in der Einleitung genannten Bitkom-Umfrage werden dabei vorwiegend Kommunikationsdaten wie beispielsweise E-Mails abgefangen. Aber auch auf Finanzdaten, Mitarbeiter- und Kundendaten haben Hacker es abgesehen. Die wenigsten Angriffe haben jedoch zum Ziel, kritische Geschäftsinformationen wie Marktanalysen oder Daten zur Preisgestaltung abzugreifen. Je größer der Markt und somit der Konkurrenzdruck für viele Unternehmen wird, desto niedriger scheint die Schwelle zur Kriminalität zu werden. Wettbewerbsausspähungen spielen bei Cyber-Angriffen eine nicht unwesentliche Rolle. Besonders betroffen von Sabotage, Spionage und Diebstahl sind laut Bitkom Marketing- und Vertriebsabteilungen.
Finanzielle Schäden
Laut cloudmagazin zahlen deutsche Unternehmen im Schnitt 4,45 Millionen US-Dollar pro Cyber-Vorfall. Finanzielle Verluste sind der wohl größte Pain Point eines Cyber-Angriffs und können sich in zahlreichen Versionen bemerkt machen. Dabei gibt es Kosten, die sehr offensichtlich sind und den meisten Führungskräften durchaus bekannt sind. Und dann gibt es welche, an die kaum einer direkt denkt.
Wir geben einen Überblick über die Kosten, die durch einen Angriff entstehen (können):
- Kostenfaktor: Kundenkommunikation
Täter haben oftmals das Abgreifen von Kundendaten zum Ziel. Zwar nutzen sie diese nur in den seltensten Fällen, um sie auf dem Schwarzmarkt zu verkaufen und/oder für einen Identitätsdiebstahl zu nutzen, nichtsdestotrotz müssen Kunden über den Diebstahl ihrer persönlichen Daten informiert werden. Die Kommunikation mit dem Kunden kostet das Unternehmen vor allem Zeit und persönliche Ressourcen, die wiederum Kosten verursachen. Auch entsprechende Wiedergutmachungsangebote wie Sonderrabatte bedeuten finanzielle Einbußen für das Unternehmen. Meist sind die Kosten für die Krisenkommunikation zum und mit dem Kunden – auch aufgrund digitaler Kommunikationswege – in erschwinglicher Höhe.
Finanzieller Schaden: gering bis mittel - Kostenfaktor: Technische Untersuchung und Fehler-Ermittlung
Neben der Zeit und den personellen Kosten, die es braucht, um Fehler zu finden und technische Untersuchungen durchzuführen, sind viele Unternehmen nicht darauf vorbereitet solche Maßnahmen durchzuführen. Oftmals fehlt es an entsprechender Soft- oder Hardware oder an Expertise. Um sich die fehlenden Ressourcen einzukaufen, müssen Unternehmen investieren. Die Kosten sind abhängig von der bestehenden Ausstattung im Unternehmen und zu beschaffenden Materialien und Ressourcen.
Finanzieller Schaden: gering bis mittel - Kostenfaktor: Ausbleibende Einnahmen bei Betriebsunterbrechungen
Egal ob Angreifer sich zum Ziel gesetzt haben, Daten zu stehlen oder ausschließlich Schaden anzurichten – Angriffe jeglicher Art haben meist eine Betriebsunterbrechung zur Folge, welche wiederum ausbleibende Einnahmen bedeuten. Der finanzielle Schaden, der hier entsteht, ist abhängig von der Ausfallzeit und kann dementsprechend unterschiedlichste Folgen für Unternehmungen bedeuten.
Finanzieller Schaden: gering bis mittel - Kostenfaktor: Lösegelder
Eine der häufigsten Arten von Cyber-Angriffen weltweit ist der Ransomware-Angriff. Täter nutzen die Unsicherheit und die Angst der Unternehmer, um Lösegelder in hohen Summen zu erwirtschaften. Studien zeigen, dass vor allem kleine und mittelständische Unternehmen bereit sind, solche Gelder zu zahlen, um ihre Daten nicht zu verlieren. Je nach Angriffsart und Täterprofil unterscheiden sich die Summen der Lösegeldforderungen. Meist jedoch fordern Angreifer für das Unternehmen stemmbare Summen, mit deren Zahlung sie günstiger wegkommen als mit einer entsprechenden Neubeschaffung der Daten.
Finanzieller Schaden: mittel bis hoch - Kostenfaktor: Bußgelder, Anwalts- und Gerichtskosten
In den meisten Fällen von Cyber-Angriffen sind Unternehmen nicht unschuldig an bestehenden Sicherheitslücken. Auch aufgrund von Unwissenheit verstoßen Firmen gegen die Datenschutzgrundverordnung und müssen nach Bekanntwerden eines Cyber-Angriffs mit behördlichen Bußgeldern rechnen. Seit Einführung der DSGVO im Jahr 2018 können sich solche Bußgelder auf eine Höhe von bis zu vier Prozent des Jahresumsatzes belaufen. So wurde beispielsweise der Hotelkette Marriott ein Bußgeld von 110 Millionen Euro verhangen, weil sie Ihre IT nicht ausreichend vor Cyber-Angriffen geschützt hatte. Aufgrund von Corona wurde das Bußgeld auf 20,3 Millionen Euro reduziert. Je nach Schuldigkeit des Unternehmens können außerdem Anwalts- und Gerichtskosten auf die Organisation zukommen. In der Summe können die Kosten bei (unbewusstem) Mitverschulden eines Cyber-Angriffs mitunter den finanziellen Ruin für ein Unternehmen bedeuten. Finanzieller Schaden: mittel bis sehr hoch
TIPP: Für mehr Insider-Infos zum sicheren Betrieb von Unternehmensnetzen und geschäftskritischen IT-Infrastrukturen abonnieren Sie unseren kostenlosen Cybersecurity-Newsletter.
Kosten, an die erst keiner denkt
Digitale Angriffe bringen einem Unternehmen auch versteckte finanzielle Schäden und hohe Kosten, über die sich wahrscheinlich nur die wenigsten Führungskräfte direkt bewusst sind.
- Kostenfaktor: Versicherungen
Zum Schutz vor den Folgen von Cyber-Angriffen, bieten immer mehr Anbieter sogenannte Cyber-Versicherungen an. Deren Leistungen inkludieren neben einem umfangreichen finanziellen Schutz auch professionelle Hilfe im Krisenfall. Die Kosten dafür sind auch für kleine und mittelständische Unternehmen durchaus tragbar. Nicht zu vernachlässigen sind jedoch Kosten, die durch die Hochstufung von Versicherungskosten im Schadensfall entstehen können. Weil es sich hier um langfristige Kostensteigerungen handeln kann, sollten diese schon vor Abschluss des Versicherungsvertrages mitgedacht und einkalkuliert werden.
Finanzieller Schaden: gering bis mittel - Kostenfaktor: Kredite
Cyber-Angriffe verursachen Kosten. Um diese bewältigen zu können und sich vor finanziell bedingten Betriebsschließungen zu schützen, müssen Unternehmer im Ernstfall Kredite aufnehmen. Die mit der Aufnahme von Krediten verbundenen Zinsen können zu den Langzeit-Schäden eines Cyber-Angriffs gehören.
Finanzieller Schaden: gering bis mittel - Kostenfaktor: Vertragsstrafen
Betriebsunterbrechungen führen nicht nur zu ausbleibenden Einnahmen. Sie können auch dazu führen, dass ein Unternehmen festgelegte Vereinbarungen mit Partnern oder Kunden nicht einhalten kann und so mit einer Vertragsstrafe rechnen muss. Die Auswirkungen dessen sind abhängig von Auftragsgröße, Auftraggeber und Vertragsvereinbarung.
Finanzieller Schaden: gering bis sehr hoch - Kostenfaktor: Konkurrenz
Häufig unterschätzt wird die Folge des Diebstahls intellektuellen Eigentums. Dieser kann für Unternehmen mit immensen versteckten Kosten verbunden sein. So können beispielsweise durch Anwalts- und Gerichtskosten im Rechtsstreit bei Patentrechtsverletzungen hohe zu zahlende Summen entstehen. Eine erhöhte Marktkonkurrenz durch den Verkauf von Plagiaten bringt ebenso finanziellen Schaden in viele Firmen. Der Verlust von Wettbewerbsvorteilen kann insbesondere für kleine und mittelständische Unternehmen das wirtschaftliche Aus bedeuten.
Finanzieller Schaden: mittel bis sehr hoch
Kosten, die sich lohnen – Verbesserung der Cyber-Sicherheit im Unternehmen
Meist ist ein Angriff der Auslöser für die Offenlegung von Schwachstellen in der Cyber-Sicherheit eines Unternehmens. Nach der ad-hoc-Schadensbeseitigung steht für viele deshalb die Investition in verschärfte Sicherheitsmaßnahmen als Must Do auf dem Plan. Egal ob der Aufbau eine Security-Teams, das Anschaffen von Soft- oder Hardware oder das Hinzuziehen externer Dienstleister – die Kosten für eine optimierte Sicherheitsstrategie im Unternehmen können immens sein. Insbesondere dann, wenn sie bisweilen vernachlässigt wurde, kommen an dieser Stelle immense Summen zustande. Hier kann ein Unternehmen natürlich selbst bestimmen, wie viel Budget ausgegeben wird.
Fazit – Investitionen in die Netzwerksicherheit sind der beste Schutz
Eben weil die Auswirkungen von Cyber-Angriffen besonders für kleine und mittelständische Unternehmen eine undefinierbare Gefahr darstellen, ist Prävention gefragt. Um sich strukturiert vor jenen Risiken zu schützen, braucht es vorab eines: Bewusstsein darüber, welche Bedrohungen lauern, worauf Hacker es abgesehen haben und welche finanziellen Kosten entstehen können. Wenn dieser Grundstein gelegt ist, können Führungskräfte und Teams gemeinsam erarbeiten, was es in ihrem Unternehmen besonders zu schützen gilt. Darauf aufbauend können Maßnahmen ergriffen werden, die für eine verbesserte Cyber-Sicherheit im Unternehmen sorgen und der Firma einen Schutz geben. Einen Überblick über alle entstehenden Kosten eines Cyber-Angriffs bietet ein ausführlicher Leitfaden des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. Um sich abzusichern und Schäden zu vermeiden, lohnt es sich in jedem Fall in umfassende Netzwerksicherheit zu investieren, die die sensiblen Daten von Konzernen hinreichend schützt. Ein geeigneter Baustein ist beispielsweise die Next Generation Firewall von envia TEL.
