Studie zu Internet-Attacken
65 Mrd. Euro Schaden durch Cyber-Angriffe
Deutschen Unternehmen sind in den letzten fünf Jahren Schäden von insgesamt 65,2 Mrd. Euro durch Internet-Attacken entstanden. Besonders stark betroffen ist die herstellende Industrie. Zu diesem Ergebnis kommt eine Studie des Center for Economics and Business Research.
Pro Jahr bedeutet dies über die letzten fünf Jahre eine jährliche Schadenssumme für die deutsche Wirtschaft von rund 13 Milliarden Euro - so viel wie die Bundesregierung im Jahr 2016 in die komplette Infrastruktur des Landes investieren will. Vor allem Web- und Cloud-Anwendungen als Einfallstor bereiten Unternehmen der Studie zufolge Sorge.
Für die Studie, die das Center for Economics and Business Research (Cebr) im Auftrag des Spezialisten für Anwendungssicherheit Veracode durchgeführt hat, wurden im November 2015 unter anderem Entscheidern und Führungskräften aus 205 großen deutschen Unternehmen (mehr als 1.000 Mitarbeiter) befragt. Die Befragung enthielt Erfahrungen der Unternehmen mit der Bedrohung durch Cyberangriffe und deren Auswirkungen sowie generelle Einstellungen zum Thema IT-Sicherheit. Auf Basis dieser Daten schätzte Cebr mit Hilfe eigener Recherchen die Schäden für die deutsche Wirtschaft einschätzen.
Die wichtigsten Erkenntnisse der Studie: Im Schnitt wurde jedes befragte Unternehmen in den letzten fünf Jahren zweimal Opfer eines Cyber-Angriffs. Überdurchschnittlich oft traf es Firmen im Baugeschäft mit 2,7 und die Logistikunternehmen mit 2,5 Attacken aus dem Netz. Die Schäden durch diese Angriffe in den letzten fünf Jahren verteilen sich höchst unterschiedlich auf verschiedene Branchen:
- Die herstellende Industrie hat mit 27 Milliarden Euro Schaden die höchsten Schäden erlitten.
- Die Versorgungs-, Industrie- und Bergbaubranche hat Schäden von 9,2 Milliarden Euro zu beklagen.
- Die Baubranche verzeichnete mit 6,5 Milliarden Euro die dritthöchste Schadenssumme.
Hintergrund der hohen Schadenssummen in diesen Branchen sind die oftmals starke Vernetzung ihrer Geschäfte, zum Beispiel durch das Fortschreiten von Industrie-4.0-Technologien, sowie die wertvollen Daten, die hier gesammelt werden. Vor dem Hintergrund dieser enormen Kosten haben neun von zehn (89 %) der befragten Unternehmen vor, ihre IT-Sicherheitsausgaben zu erhöhen. Allein für Unternehmen der herstellenden Industrie prognostiziert Cebr einen jährlichen Anstieg von 578.000 Euro über die nächsten fünf Jahre.
„Wir sehen, dass sich die IT-Sicherheit grundsätzlich wandeln muss“, kommentiert Julian Totzek-Hallhuber, Solution Architect bei Veracode, die Studienergebnisse und ergänzt: „Unternehmen setzen heute eine Vielzahl von Anwendungen für verschiedene Geschäftsbereiche ein. Doch diese selbstentwickelten oder zugekauften Anwendungen weisen immer wieder Sicherheitslücken auf, die es Cyberkriminellen ermöglichen, anzugreifen und großen Schaden anzurichten.“ Vor allem Exploits, also das Ausnutzen von Schwachstellen, in Cloud- und Web-Anwendungen (66 %) und gleichauf mobile Apps und Unternehmensinsider (je 65 %) bereiten den befragten Unternehmen Sorgen, wenn es um Angriffsmöglichkeiten für Cyberkriminelle geht. Für den Fall eines Cyber-Sicherheitsvorfalls, fürchtet sich knapp die Hälfte der befragten Unternehmen vor den direkten Aufwendungen für Gegenaktionen, eventuelle Strafzahlungen oder Rechtsstreitigkeiten und Umsatzeinbußen (46 %). Noch größer ist aber die Angst vor langfristigen Schäden für die Unternehmensreputation (59 %).
Neben den direkten und indirekten Schäden durch Cyber-Attacken untersucht die Studie auch die Einstellung von Entscheidern in großen deutschen Unternehmen zur unternehmensinternen Verantwortlichkeit bei erfolgreichen Cyber-Attacken und zur IT-Sicherheit im Allgemeinen. Die wichtigsten Ergebnisse diesbezüglich:
- 90 % aller IT-Sicherheitsbeauftragten (CISO) denken, dass die aktuellen IT-Sicherheitsrichtlinien die Innovationskraft ihres Unternehmens schädigen. Auf der CEO-Ebene sind es nur etwas mehr als 60 %.
- Die Entscheider sind aber auch bereit, Verantwortung zu übernehmen: 80 % der CISOs würden sich bei einem erfolgreichen Cyber-Angriff selbst in der Verantwortung sehen, bei CEOs sind es immerhin 44 %.
- Generell stellt die Studie eine hohe emotionale Bindung der befragten IT-Entscheider an ihr jeweiliges Unternehmen fest. Rund 37 % würden eine Cyber-Attake daher auch als persönlichen Angriff verstehen.










