Datenpannen
Pulverfass Cybersicherheit?
Warum sich Datenpannen nicht vermeiden lassen. Und was das für die IT-Sicherheitsverantwortlichen in einem Unternehmen bedeutet.
Die Lage ist ernst. Gerade Entscheidungsträger aus Wirtschaft und Verwaltung sollten alarmiert sein. Weswegen? Weil kaum eine Woche vergeht, ohne dass man in der Presse von einem größeren Datenleck liest.
Zur Veranschaulichung drei Fälle aus dem Jahr 2018:
- Im März wurden die Daten von weltweit 87 Millionen Facebook-Nutzern unrechtmäßig an die Analyse-Firma Cambridge Analytica weitergeleitet.
- Im Juni wurde Ticketmaster, ein Onlineshop für Konzertkarten, Opfer einer Malware-Attacke. Unbefugte erhielten Zugriff auf Zahlungsinformationen von fast 40.000 Nutzern.
- Anfang September erbeuteten Hacker bei British Airways Buchungsdaten bei etwa 380.000 Kartenzahlungen.
Egal wie groß die Datenpanne ist, die Folgen sind sowohl für kleine als auch große Firmen verheerend. So stiegen laut einer weltweiten Kaspersky-Studie die durchschnittlichen, aufgrund eines Datenlecks versursachten Kosten bei kleinen und mittleren Unternehmen im Vergleich zum Vorjahr um 37 Prozent – von 88.000 auf 120.000 US-Dollar. Für Großunternehmen kletterten die Ausgaben um 24 Prozent auf bis zu 1,23 Millionen US-Dollar im Durchschnitt.
Drohender Reputationsverlust in Folge einer Datenpanne kann fatale Konsequenzen mit sich bringen. So zeigt eine Studie für den Einzelhandel, dass 19 Prozent der Konsumenten bei einem Händler nicht mehr einkaufen würden, sollte eine Datenpanne öffentlich werden. Jeder Dritte (33 Prozent) würde dort zumindest für eine Weile nicht mehr einkaufen. Beinahe ein Fünftel des Kundenstamms auf einen Schlag zu verlieren, dürfte für jedes Unternehmen ein Albtraum sein.
Nicht weniger kostspielig können Datenpannen vor dem Hintergrund neuer gesetzlicher Reglungen wie der DSGVO (EU-Datenschutzgrundverordnung) werden, denn es drohen Geldbußen von bis zu vier Prozent des Jahresumsatzes.
Investitionen in Cybersecurity bilden das Fundament des Geschäftserfolgs
Doch wie gut sind Unternehmen vor Datenlecks gewappnet? Sind die investierten IT-Sicherheits-Budgets realistisch?
Die internationale Studie „Was macht einen CISO aus: Erfolg und Führungsverhalten im Bereich IT-Sicherheit in Unternehmen“ zeigt, dass IT-Sicherheitsverantwortliche beziehungsweise Chief Information Security Officers (CISOs) tatsächlich Schwierigkeiten haben, die erforderlichen Budgets zur Bekämpfung von Cyberkriminalität zu erhalten – und vor allem zu rechtfertigen.
Dafür gibt es Gründe:
- IT-Sicherheit wird oft als Teilbereich eines größeren IT-Budgets geführt, in dem Trend-Projekte wie beispielsweise die Cloud oder andere IT-Projekte priorisiert werden. Diese Priorisierung rührt meist daher, dass die Entscheider sich der brisanten IT-Sicherheitslage nicht bewusst sind.
- Der häufigste Grund ist jedoch, dass CISOs nicht garantieren können, dass das eigene Unternehmen nicht Opfer einer Cybersicherheitspanne werden wird. Der Return-on-Invest (ROI) ist schwer an die Vorgesetzten vermittelbar; denn bei Budgetverhandlungen geht es um tatsächliche Resultate. Investitionen in etwas, bei dem der Wert nicht wirklich sichtbar ist, gestalten sich für CISOs schwierig.
Klar, aus betriebswirtschaftlicher Sicht ist diese Strategie nachvollziehbar. Als Geschäftsführer zählt schließlich das Endergebnis. Es gibt also keinen Grund, ein Budget für einen Kampf zu bewilligen, der offensichtlich nicht hundertprozentig gewonnen werden kann. Investiert wird dort, wo eine Rendite zu erwarten ist. Dennoch: Ausgaben für Cybersicherheit dürfen nicht nach ihrem ROI berechnet werden. Sie sind eine Investition in die Zukunft. Ähnlich einer Risikoprämie einer Versicherung gegen Cybersicherheitsvorfälle.
- Pulverfass Cybersicherheit?
- Warum Cybersicherheitspannen nicht vermeidbar sind
Lesen Sie mehr zum Thema
