Welche Kosten verursacht ein Sicherheitsvorfall?
Die Hälfte der Unternehmen hat keine Ahnung
Kommt es zu schwerwiegenden Sicherheitsvorfällen, dann ermittelt nur etwa die Hälfte der Unternehmen die dadurch entstandenen Kosten – und auch die sind sich oft nicht sicher, ob ihre Berechnungen stimmen. Risikobasierte Geschäftsentscheidungen lassen sich so kaum treffen.
In den vergangenen zwei Jahren haben 60 Prozent der Unternehmen weltweit mindestens zwei geschäftsschädigende Sicherheitsvorfälle erlebt. Das geht aus einer Umfrage des Ponemon Institute im Auftrag von Tenable hervor. Zu solchen Vorfällen wurden Angriffe gezählt, die Datenschutzverletzungen zur Folge hatten oder erhebliche Störungen und Ausfallzeiten bei Geschäftsprozessen, Produktions‑ oder Betriebsmitteln verursachten.
Viele Unternehmen untersuchen und dokumentieren die Angriffe. Welche Kosten diese verursachen, ermitteln aber nur 54 Prozent – in Deutschland sogar nur 49 Prozent. »Daraus lässt sich schließen, dass die Verantwortlichen keine risikobasierten Geschäftsentscheidungen treffen können«, heißt es bei Tenable.
Mehr noch: Auch dort, wo man die Kosten berechnet, ist man sich oft unsicher, wie genau und aussagekräftig die Zahlen sind. Weltweit glauben nur 38 Prozent der Unternehmen, dass ihre Aufstellungen genau sind, in Deutschland immerhin 47 Prozent. Darüber hinaus sind auch nur 30 Prozent der Befragten der Meinung, ihr Unternehmen könne aus bestimmten sicherheitsrelevanten KPIs, etwa der Zeit bis zur Entdeckung eines Vorfalls oder der Zeit bis zu dessen Behebung, die richtigen Schlüsse ziehen und diese in praxisrelevanten Schritten umsetzen.
»In der digital getriebenen Wirtschaft sind Cyberrisiken mit Geschäftsrisiken gleichzusetzen. Umso bedrohlicher ist es, dass Unternehmen zwar geschäftsschädigende Vorfälle erleben, aber deren finanziellen Folgen nicht genau messen können«, bemängelt Bob Huber, Chief Security Officer bei Tenable. Denn ohne zuverlässige Metriken könnten Sicherheitsverantwortliche keine fundierten Entscheidungen über Ressourcen, Investments und die Priorisierung von Bedrohungen treffen.
Lesen Sie mehr zum Thema
