Security-Kosten explodieren

Mitarbeiter weiterbilden, Millionen sparen



Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Cyberangriffe kosten deutsche Unternehmen richtig Geld. Im Jahr 2017 durchschnittlich 9,4 Millionen Euro - das sind über 40 Prozent mehr als noch 2016. Unser Tipp: Investieren Sie das Geld lieber in Security-Ausbildung und -Awareness für Ihre Mitarbeiter.

Mehr als 2000 Sicherheits- und IT-Verantwortliche aus über 250 Organisationen weltweit wurden für die "2017 Cost of Cyber Crime Study" von Accenture und dem Ponemon Institute branchenübergreifend nach den Kosten ihrer technischen Cybersecurity und den Folgekosten erfolgreicher Angriffe befragt. Darin enthalten sind Ausgaben für die Angriffserkennung, Wiederherstellung von Daten und Systemen, forensische Untersuchungen sowie die kalkulierten Kosten von Betriebsunterbrechungen und Kundenabwanderungen. Besonders interessant: Deutsche Unternehmen verzeichneten im laufenden Jahr den stärksten Kostenzuwachs - laut den Studienautoren insbesondere zurückzuführen auf die großen Malware-Attacken WannaCry und Petya. 9,4 Millionen Euro im Mittel gaben deutsche Unternehmen aus - 2016 lagen die Ausgaben noch bei 6,57 Millionen Euro (7,8 Millionen Dollar). Im weltweiten Schnitt stiegen die Kosten für Cybercrime und Cybersecurity um 23 Prozent, im Zeitraum der letzten fünf Jahre insgesamt sogar um satte 62 Prozent.

Die meisten Kosten entstanden Unternehmen durch Innentäter.
Die meisten Kosten entstanden Unternehmen durch Innentäter.
Foto: Accenture / Ponemon Institute

Diese Zahlen sind nicht nur im negativen Sinne beeindruckend, sie zeigen auch, woran es häufig noch fehlt: an Security-Bewusstsein und Fachwissen. Denn die meisten Security-Kosten entstehen durch Innentäter (siehe auch obige Grafik). Deshalb: Jede Investition - egal, wie groß sie ist - hilft wenig, wenn unvorsichtige Mitarbeiter den teuer aufgebauten technischen Schutzwall wieder einreißen oder auch längst vorhandene Anti-Ransomware-Patches aus Desinteresse, Unachtsamkeit oder Unwissenheit nicht eingespielt werden. Deshalb ist die Investition in den "menschlichen Faktor" mindestens ebenso wichtig, wenn nicht sogar wichtiger als die technische Security. Zumeist können sogar erheblich Kosten auf der technischen Seite eingespart werden, wenn nur ein Bruchteil davon in die fachliche Ausbildung der Mitarbeiter fließt.

Anwender fordern mehr Security-Wissen

Wie wichtig die Sensibilisierung der Mitarbeiter für das Thema IT-Sicherheit ist, erklärte Carsten Solberg, Abteilungsleiter IT Technical Services der Essener Steag Energy Services GmbH, in dieser Woche auf der 7. Jahrestagung "Cybersecurity", zu der Handelsblatt und Euroforum unter dem Motto "Sind Sie wirklich cybersecure?" nach Berlin geladen hatten: "Unsere Erfahrung zeigt, dass es wichtig ist, personelle Ressourcen im Bereich IT-Sicherheit im eigenen Unternehmen nachhaltig aufzubauen." Schließlich sei die schwierige Fachkräftesituation am Markt bekannt. Auch Matthias Lipp, Group Cyber Security Program Manager beim Energie- und Automatisierungskonzern ABB wies im Rahmen der Tagung darauf hin, dass Security-Spezialwissen essenziell sei. Im Rahmen eines Vortrags zum Thema Penetrationstests in der internen Revision stellte er heraus: "Eine unserer ‚Lessons learned‘ war, Security-Spezialisten einzubinden, die auch von extern kommen können - die Koordination derselben müssen aber interne Mitarbeiterinnen und Mitarbeiter übernehmen."

Ebenfalls als Sprecher auf der Handelsblatt-Jahrestagung "Cybersecurity" zugegen war Andrzej Debski, CISO der Linde AG, der sich mit Sicherheitsaspekten bei der Nutzung von Cloud-Diensten beschäftigte und zum Schluss seiner Präsentation deutlich betonte: "Sicherheit besitzt man nicht, man praktiziert sie - gefragt sind Wille, Können und Ambitionen."

Nicht warten - weiterbilden!

Diese Ambitionen sollten Sie haben, um mit etwas Willen auch zu mehr Können für sich und Ihre Mitarbeiter zu gelangen. COMPUTERWOCHE und CIO bieten Ihnen deshalb auch im kommenden Jahr eine Führungskräfte-Weiterbildung in Cybersecurity an - zusammen mit dem renommierten Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Am 7. und 8. März 2018 trommeln wir nach der erfolgreichen Premiere im vergangenen September erneut etwa 20 Executives aus IT und IT-nahen Fachbereichen am Business Campus in Garching bei München zusammen, um zwei Tage lang zu lernen, Best Practices auszutauschen und in Hands-on-Workshops Security-Lösungen für das eigene Unternehmen zu entwickeln. Als besonderes "Schmankerl" öffnen die Fraunhofer-Forscher ihre Security-Labors und geben den Teilnehmern einen Einblick in aktuelle Security-Produkte. Sind Sie dabei? Dann melden Sie sich am besten gleich an - die Zahl der Plätze ist begrenzt!

Das "Cybersecurity"-Seminar von IDG Executive Education (COMPUTERWOCHE/CIO) und Fraunhofer AISEC fand im September 2017 zum ersten Mal statt und war mit fast 20 Teilnehmern restlos ausgebucht.
Das "Cybersecurity"-Seminar von IDG Executive Education (COMPUTERWOCHE/CIO) und Fraunhofer AISEC fand im September 2017 zum ersten Mal statt und war mit fast 20 Teilnehmern restlos ausgebucht.

Weitere Informationen gefällig?

Alle Informationen zu Inhalten, Referenten etc. erhalten Sie auf unserer Website. Im folgenden Video können Sie sich einen ersten Eindruck verschaffen - der Film entstand im Rahmen des diesjährigen "Cybersecurity"-Seminars:

Cybersecurity-Seminar - Jetzt anmelden!