Cyberangriffe: häufiger und folgenschwerer
Unternehmen unterschätzen die Gefahr durch Cyberattacken laut einer Studie der Unternehmensberatung A.T. Kearney. Das kann teuer werden: Die Schätzungen einschlägiger Institutionen zum weltweiten Schaden liegen zwischen 400 Milliarden und 2,2 Billionen US-Dollar. Hinzu kommen Imageschäden und Vertrauensverluste.
In Zukunft werden die Frequenz und das Ausmass an Cyberattacken weiter ansteigen, wie die Unternehmensberatung schreibt. Um Risiken zu minimieren, empfiehlt es sich, Informationssicherheit ganzheitlich in fünf Dimensionen zu adressieren: Strategie, Organisation, Prozesse, Technologie und Kultur.
„Zunächst einmal müssen Unternehmen verstehen, dass Informationssicherheitsrisiken Geschäftsrisiken sind. Die Verantwortung für das Management dieser Risiken liegt bei der Unternehmensführung, nicht bei der IT-Abteilung oder dem CIO“, erklärt Michael Römer, Partner bei A.T. Kearney und Leiter des Beratungsbereichs Digital Business in Europa.
Die Methoden der Attacken auf die Informationssicherheit würden sich rasant verändern, während das Risiko und die Folgekosten ungenügender Sicherheitsmassnahmen weiter steigen. „Der nächste Cyberangriff ist ebenso schwer vorherzusagen wie das nächste Erdbeben, allerdings zeichnen sich einige Trends ab. Die geschätzten Kosten erfolgreicher Angriffe liegen jährlich weltweit zwischen 400 Milliarden und 2,2 Billionen US-Dollar. Das entspricht etwa dem Bruttoinlandsprodukt von Österreich bzw. Brasilien, wobei langfristige Folgen wie Imageschäden durch den Vertrauensverlust kaum angemessen berücksichtigt werden können“, sagt Boris Piwinger, Senior Manager und Leiter des Beratungsbereichs Informationssicherheit bei A.T. Kearney.
Mit der zunehmenden Digitalisierung und den damit einhergehenden, unvermeidlichen Sicherheitsverletzungen würden auch das Ausmass und die Frequenz der Attacken steigen. Piwinger sieht vor allem die folgenden Trends:
- globale Überwachung
- gezielte Schwächung von Informationssicherheitstechnologie
- Attack-as-a-Service-Angebote (AaaS)
- massive Angriffe auf Infrastrukturen
- industrielle Steuerungssysteme
Auch Erpressung sei ein mögliches Geschäftsmodell der Angreifer. Sie drohten damit, einen zuvor glaubhaft gemachten Schaden massiv in die Höhe zu treiben, bis das „Lösegeld“ bezahlt ist, wie betont wird.
Wie Sicherheitsrisiken minimieren?
Die Studie zeigt, dass Unternehmen, die vorbildlich in der Informationssicherheit sind, immer wieder fünf Bereiche adressieren, um Risiken zu minimieren:
- Strategie
- Organisation
- Prozesse
- Technologie
- Kultur
„Sicherheitsprobleme sind selten auf Fehler in nur einem dieser Bereiche zurückzuführen. Erfolgreiche Hacker nutzen typischerweise eine Kombination unterschiedlicher Schwachstellen“, erklärt Piwinger.
„Unternehmen, die ihre Sicherheitsrisiken minimieren wollen, brauchen eine eng mit der Unternehmensstrategie verbundene Sicherheitsstrategie, ein ausbalanciertes organisatorisches Setup, in dem schwierige Entscheidungen bewältigt werden können, durchdachte und eingeübte Prozesse zur Bewertung und Bearbeitung von Risiken, einen effizienten Einsatz von Technik und vor allem eine starke Unternehmenskultur, die Informationssicherheit als Wertbeitrag und gemeinsame Aufgabe der Gesamtorganisation wahrnimmt“, sagt Michael Römer abschliessend.
