A.T. Kearney: Cyberangriffe werden in Zukunft häufiger und folgenschwerer

Unternehmen unterschätzen die Gefahr durch
Cyberattacken laut einer aktuellen Studie von A.T. Kearney. Das kann
teuer werden: Die Schätzungen einschlägiger Institutionen zum
weltweiten Schaden liegen zwischen 400 Milliarden und 2,2 Billionen
US-Dollar. Hinzu kommen Imageschäden und Vertrauensverluste. In
Zukunft werden die Frequenz und das Ausmaß an Cyberattacken weiter
ansteigen. Um Risiken zu minimieren, empfiehlt es sich,
Informationssicherheit ganzheitlich in fünf Dimensionen zu
adressieren: Strategie, Organisation, Prozesse, Technologie und
Kultur.

„Zunächst einmal müssen Unternehmen verstehen, dass
Informationssicherheitsrisiken Geschäftsrisiken sind. Die
Verantwortung für das Management dieser Risiken liegt bei der
Unternehmensführung, nicht bei der IT-Abteilung oder dem CIO“,
erklärt Michael Römer, Partner bei A.T. Kearney und Leiter des
Beratungsbereichs Digital Business in Europa.

Die Methoden der Attacken auf die Informationssicherheit verändern
sich rasant, während das Risiko und die Folgekosten ungenügender
Sicherheitsmaßnahmen weiter steigen. „Der nächste Cyberangriff ist
ebenso schwer vorherzusagen wie das nächste Erdbeben, allerdings
zeichnen sich einige Trends ab. Die geschätzten Kosten erfolgreicher
Angriffe liegen jährlich weltweit zwischen 400 Milliarden und 2,2
Billionen US-Dollar. Das entspricht etwa dem Bruttoinlandsprodukt von
Österreich bzw. Brasilien, wobei langfristige Folgen wie Imageschäden
durch den Vertrauensverlust kaum angemessen berücksichtigt werden
können“, sagt Dr. Boris Piwinger, Senior Manager und Leiter des
Beratungsbereichs Informationssicherheit bei A.T. Kearney.

Mit der zunehmenden Digitalisierung und den damit einhergehenden,
unvermeidlichen Sicherheitsverletzungen werden auch das Ausmaß und
die Frequenz der Attacken steigen. Piwinger sieht vor allem die
folgenden Trends: globale Überwachung, gezielte Schwächung von
Informationssicherheitstechnologie, Attack-as-a-Service-Angebote
(AaaS), massive Angriffe auf Infrastrukturen und industrielle
Steuerungssysteme. Auch Erpressung ist ein mögliches Geschäftsmodell
der Angreifer. Sie drohen damit, einen zuvor glaubhaft gemachten
Schaden massiv in die Höhe zu treiben, bis das „Lösegeld“ bezahlt
ist.

Cyberattacken sind teuer und reputationsschädigend

Viele Unternehmen agieren zu langsam, um mit der rasanten
Entwicklung der Angriffe Schritt zu halten.

„Wenn Kriminelle erst einmal die Systeme eines Unternehmens
infiziert haben, kann es Monate dauern, die Kontrolle
zurückzugewinnen“, kommentiert Piwinger. „Nach Schätzungen dauert es
im Durchschnitt 243 Tage, bis ein Angriff entdeckt wird. So haben die
Hacker viel Zeit, um sich nach interessanten Daten umzusehen und das
gesamte Unternehmen flächendeckend zu infiltrieren.“

So veröffentlichte das Bundesamt für Sicherheit in der
Informationstechnik (BSI) unlängst den Fall eines deutschen
Stahlwerks, bei dem ein Angriff zu erheblichen physischen Schäden an
einem Hochofen führte.

Ähnliches droht auch Infrastrukturbetreibern aus Bereichen wie
Telekommunikation, Finanzen, Verkehr, Gesundheit oder
Energieversorgung. Aber was passiert, wenn die Bürger das Vertrauen
in diese Bereiche verlieren? Auf diese Weise wird die Debatte um
Informationssicherheit schnell eine Frage der nationalen Sicherheit
und – wenn es um den Schutz persönlicher Daten vor Ãœberwachung geht –
auch um eine Frage der Demokratie. Das hat inzwischen auch der
Gesetzgeber gemerkt und setzt sich mit diesen Fragestellungen
auseinander. „Dennoch werden wir uns an öffentlichkeitswirksame
Angriffe dieser Art gewöhnen müssen, auch mit unangenehmen Folgen,
sie sind gekommen, um uns lange Zeit zu begleiten“, ergänzt Piwinger.

Wie Unternehmen ihre Sicherheitsrisiken minimieren können

Die Studie von A.T. Kearney zeigt, dass Unternehmen, die
vorbildlich in der Informationssicherheit sind, immer wieder fünf
Bereiche adressieren, um Risiken zu minimieren: Strategie,
Organisation, Prozesse, Technologie und Kultur. „Sicherheitsprobleme
sind selten auf Fehler in nur einem dieser Bereiche zurückzuführen.
Erfolgreiche Hacker nutzen typischerweise eine Kombination
unterschiedlicher Schwachstellen“, erklärt Piwinger.

„Unternehmen, die ihre Sicherheitsrisiken minimieren wollen,
brauchen eine eng mit der Unternehmensstrategie verbundene
Sicherheitsstrategie, ein ausbalanciertes organisatorisches Setup, in
dem schwierige Entscheidungen bewältigt werden können, durchdachte
und eingeübte Prozesse zur Bewertung und Bearbeitung von Risiken,
einen effizienten Einsatz von Technik und vor allem eine starke
Unternehmenskultur, die Informationssicherheit als Wertbeitrag und
gemeinsame Aufgabe der Gesamtorganisation wahrnimmt“, so Michael
Römer abschließend.

Weitere Informationen finden Sie hier:
http://www.atkearney.de/strategic-it

Pressekontakt:
Stefanie Freyer
Marketing & Communications Coordinator
A.T. Kearney Ges.m.b.H.
Seitzergasse 2-4 / 3. Stock
1010 Wien
+43 1 53667 146
+43 664 60648 146
Stefanie.Freyer@atkearney.com

  unternehmen