A.T. Kearney-Studie : Cyberattacken: Angriffe werden häufiger und teurer

Um Risiken zu minimieren, empfiehlt es sich, Informationssicherheit ganzheitlich in fünf Dimensionen zu adressieren: Strategie, Organisation, Prozesse, Technologie und Kultur. „Zunächst einmal müssen Unternehmen verstehen, dass Informationssicherheitsrisiken Geschäftsrisiken sind. Die Verantwortung für das Management dieser Risiken liegt bei der Unternehmensführung, nicht bei der IT-Abteilung oder dem CIO“, erklärt Michael Römer, Partner bei A.T. Kearney und Leiter des Beratungsbereichs Digital Business in Europa

Die Methoden der Attacken auf die Informationssicherheit verändern sich rasant, während das Risiko und die Folgekosten ungenügender Sicherheitsmaßnahmen weiter steigen. „Der nächste Cyberangriff ist ebenso schwer vorherzusagen wie das nächste Erdbeben, allerdings zeichnen sich einige Trends ab. Die geschätzten Kosten erfolgreicher Angriffe liegen jährlich weltweit zwischen 400 Milliarden und 2,2 Billionen US-Dollar“, sagt Boris Piwinger, Senior Manager und Leiter des Beratungsbereichs Informationssicherheit bei A.T. Kearney. Mit der zunehmenden Digitalisierung und den damit einhergehenden, unvermeidlichen Sicherheitsverletzungen werden auch das Ausmaß und die Frequenz der Attacken steigen. Piwinger sieht vor allem die folgenden Trends: globale Überwachung, gezielte Schwächung von Informationssicherheitstechnologie, Attack-as-a-Service-Angebote (AaaS), massive Angriffe auf Infrastrukturen und industrielle Steuerungssysteme.

Viele Unternehmen agieren zu langsam, um mit der rasanten Entwicklung der Angriffe Schritt zu halten. „Wenn Kriminelle erst einmal die Systeme eines Unternehmens infiziert haben, kann es Monate dauern, die Kontrolle zurückzugewinnen“, kommentiert Piwinger. „Nach Schätzungen dauert es im Durchschnitt 243 Tage, bis ein Angriff entdeckt wird. So haben die Hacker viel Zeit, um sich nach interessanten Daten umzusehen und das gesamte Unternehmen flächendeckend zu infiltrieren.“ Ähnliches droht auch Infrastrukturbetreibern. Aber was passiert, wenn die Bürger das Vertrauen in diese Bereiche verlieren? Auf diese Weise wird die Debatte um Informationssicherheit schnell eine Frage der nationalen Sicherheit. „Dennoch werden wir uns an öffentlichkeitswirksame Angriffe dieser Art gewöhnen müssen, auch mit unangenehmen Folgen, sie sind gekommen, um uns lange Zeit zu begleiten“, ergänzt Piwinger.

„Unternehmen, die ihre Sicherheitsrisiken minimieren wollen, brauchen eine eng mit der Unternehmensstrategie verbundene Sicherheitsstrategie, ein ausbalanciertes organisatorisches Setup, in dem schwierige Entscheidungen bewältigt werden können, durchdachte und eingeübte Prozesse zur Bewertung und Bearbeitung von Risiken, einen effizienten Einsatz von Technik und vor allem eine starke Unternehmenskultur, die Informationssicherheit als Wertbeitrag und gemeinsame Aufgabe der Gesamtorganisation wahrnimmt“, so Michael Römer abschließend.