Awareness

Das kostet ein IT-Security Vorfall im Unternehmen!

Aktualisiert am

Große Unternehmen müssen durchschnittlich 861.000 USD aufbringen um die Kosten und Folgekosten eines IT-Security Vorfalls zu bezahlen. Mittelständige Unternehmen zahlen zwar mit knapp 86.500 USD nur knapp 10% der Summe von großen Unternehmen – leiden jedoch mehr darunter, wenn der IT-Security Vorfall länger unerkannt bleibt. Generell steigt die Höhe der Kosten, desto länger ein IT-Security Vorfall im Unternehmen unerkannt bleibt.

Lohnen sich Investitionen in IT und IT-Security?

Diese Frage stellen sich wohl viele Geschäftsführer und Lenker. IT kostet viel Geld – das ist keine neue Nachricht. Ausstattung für Mitarbeiter, Server, Infrastruktur, Schulungen usw. usf. kostet alles. Aber fest steht – es geht nicht mehr ohne IT.

Mitarbeiterlöhne bilden den Großteil der Investition

Die Kaspersky Studie zeigt: die meisten Kosten, die für die Beseitigung des IT-Security Vorfalls anfallen, sind Mitarbeiterlöhne. Das heißt jedoch längst nicht, dass dieser Punkt der einzige ist. Darüber hinaus entstehen Kosten durch:

  • verpasste Gelegenheiten für Geschäftsabschlüsse
  • Verbesserung der IT-Sicherheit
  • externe Dienstleister
  • das Einstellen neuer Mitarbeiter

Konzerne geben bereits ca. 79.000$ für Schulungen und 85.000$ für externe Experten aus.

Zeitpunkt der Entdeckung ist entscheidend für die Höhe der Kosten

Desto länger ein IT-Security Vorfall im Unternehmen unerkannt bleibt, desto teurer wird er. Für große Unternehmen und Konzerne steigen die Kosten, wenn der Vorfall erst nach einer Woche entdeckt wird, um 27% an. Mittelständische Unternehmen trifft es hier etwas härter. Die Kosten steigen um satte 44% an.

Wie viel Budget der IT wird für IT-Sicherheit aufgebracht?

Bei kleinen Unternehmen werden ca. 18% des IT-Budgets für IT-Security ausgegeben. Konzerne legen 21% auf den Tisch und investieren demnach knapp 3% mehr für IT-Sicherheit. Stellt man das Ganze in Zahlen dar, so wird die klaffende Lücke der Investitionen in IT-Security deutlich. Kleine bis sehr kleine Unternehmen wenden bloß 1.000$ für Sicherheit in der Informationstechnik auf. Bei Großunternehmen werden häufig Budgets jenseits der Millionengrenze investiert. Investierte Kosten decken die Folgen von 2,5 IT-Security Vorfällen ab Aus diesem Grund sind 59% der mittelständischen Unternehmen und 62% der Konzerne bereit, mehr in IT-Security investieren zu wollen – unabhängig davon ob sie eine Rentabilität messen können.

Meine Meinung zu der Studie und den Zahlen

Für die Kaspersky Studie wurden 4.395 Fach- und Führungskräfte in kleinen, mittleren und Großunternehmen aus 25 Ländern befragt. Fragen waren gezielt zum Thema, wie man unschwer an den Ergebnissen erkennen kann, IT-Sicherheit und die Anzahl der aufgetretenen Sicherheitsvorfälle.

Studien sind allerdings mit Vorsicht zu genießen. Hierbei sollte man stets drauf achten wer die Studie ausgeführt und in Auftrag gegeben hat. Bei dieser Studie ist das jedoch recht schnell ersichtlich. Da Kaspersky ein Global Player ist und in sich in der Vergangenheit einen seriösen Ruf aufgebaut hat,  schenke ich der Studie viel Vertrauen. Sie untermauert, was schon oft vermutet wurde:

  • Investitionen in IT-Sicherheit sind nicht hoch genug
  • Fehlendes Fachpersonal sorgt für Attacken, die lange unerkannt bleiben
  • Schulungen und externes Personal sind nötig, um Herr der Lage zu bleiben oder zu werden

Ich denke Kryptotrojaner spielen der Studie in die Hände. 2019 gab es einige Vorfälle, die es so in der Vergangenheit in Deutschland noch nicht gegeben hat.Denn sind die Vorlagen und Verträge erst einmal verschlüsselt, bekommt man erst einmal schmerzhaft vor Augen geführt, wie sehr man auf die IT angewiesen ist. Tipps für mehr IT-Sicherheit lassen sich gut von Software-as-a-Service Providern holen.

Weitere Informationen und Quellen

[1] IT Security Risks Report 2016 – Measuring Financial Impact of IT Security on Business (Kaspersky Lab)
[2] Cyber-Sicherheitsvorfälle: Neuer Kaspersky-Bericht über Folgekosten liegt vor (Datensicherheit.de)
[3] Die Folgekosten von Cybersicherheitsvorfällen (it-daily.net)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.