Kaspersky for Business. In punkto Geld: Wachsende IT-Sicherheitsbudgets zum Schutz von digitalen Transformationsinitiativen.

Transkript

1 Kaspersky for Business In punkto Geld: Wachsende IT-Sicherheitsbudgets zum Schutz von digitalen Transformationsinitiativen Kaspersky Lab

2 Inhalt Einleitung Methodik Wichtigste Erkenntnisse Die durchschnittlichen Kosten von Datenschutzverletzungen Warum steigen die Kosten? Die teuersten Angriffe: Alles über "data on the go" IT-Sicherheit als fester Tagesordnungspunkt bei der Vorstandssitzung Motivationen für Investitionen in die IT-Sicherheit Schlussfolgerung

3 Einleitung Unternehmen befinden sich derzeit in einer Phase großer Herausforderungen. Die Welt wird kleiner und wir leben in einem neuen Zeitalter, in dem für den Kunden das Jetzt im Vordergrund steht und sofortige Ergebnisse gefordert werden. Der Wettbewerb ist schneller als je zu vor und 70 % der Kunden stimmen zu, dass die Technologie sie dabei unterstützt, Anbieter zu wechseln. 47 % der CEOs werden von ihren Vorständen zur digitalen Transformation gedrängt Vor diesem Hintergrund, verfolgen mehrere Unternehmen Strategien zur digitalen Transformation. Tatsächlich hat Gartner festgestellt, dass fast die Hälfte (47 %) der CEOs von ihren Vorständen dazu gedrängt werden, eine digitale Transformation voranzubringen, um die Wachstumsperspektiven und die Kundenverhältnisse zu verbessern. Viele verschieben eine zunehmende Menge ihrer Plattformen und Daten in die Cloud, um Skalierbarkeit zuzulassen oder auf Markttrends reagieren zu können. So schaffen sie Agilität, um Mitbewerber fernzuhalten. Diese Daten bilden tatsächlich den Grundpfeiler der digitalen Transformation. Datengesteuerte Initiativen spielen eine führende Rolle in Unternehmen jeglicher Größe und bieten den Geschäftsführern Einblicke, die zur erfolgreichen Ausführung kurz- und langfristiger Strategien notwendig sind. Während die Unternehmen die digitale Transformation durchleben, muss die Cybersicherheit eine strategischere Rolle im Unternehmen spielen. Die Cybersicherheit ist derzeitiges Thema in Debatten um die CISO-Berichtsstrukturen und dem oft gehörten Ruf nach mehr Aufmerksamkeit für die Informationssicherheit. 2

4 Die treibenden Faktoren für Cybersicherheit in der Geschäftswelt sind eindeutig: Da Unternehmen zunehmend auf digitale Plattformen angewiesen sind, sind etwaige Sicherheitsvorfälle auf diesen Plattformen wirtschaftlich einfach nicht vertretbar. Und genau hier liegt das Problem: Die Sicherheitsrisiken im IT-Bereich befinden sich im fortwährenden Wandel. Täglich kommen neue Bedrohungen hinzu, und mit jeder Anpassung der Unternehmensinfrastrukturen entstehen gleichzeitig neue Schwachstellen. Unser Ziel ist es, die Komplexität und den Druck von IT-Sicherheit zu verstehen, damit Unternehmen dabei helfen können, ihr wichtigstes Gut zu schützen. Mit der Fortsetzung unserer jährlichen Untersuchungen zur Wirtschaftlichkeit der IT-Sicherheit bauen wir aus Umfragedaten aus den Vorjahren auf, um zu ermitteln, wie Unternehmen, auf Veränderungen in der Bedrohungslandschaft reagieren, und um die Ausgabengewohnheiten für IT-Sicherheit zu verstehen, die für Unternehmen auf der ganzen Welt über Erfolg oder Misserfolg entscheiden können. Dieses Dokument ist eine Übersicht unserer Ergebnisse. Angriffe werden immer ausgeklügelter und immer verheerender Unternehmen aller Branchen sehen sich der unerwünschten Tatsache gegenüber, dass die finanziellen Auswirkungen von Cyberangriffen und die nachfolgenden Wiederherstellungskosten unerbittlich ansteigen. Für liegen die durchschnittlichen Kosten einer Datenschutzverletzung mittlerweile bei knapp über 1,2 Mio. USD, was einem Anstieg von 24 % im Vergleich zu und 38 % im Vergleich zu entspricht. Dasselbe gilt für kleine und mittlere Unternehmen, für die die Kosten von Datenschutzverletzungen in den letzten 12 Monaten um 37 % von USD im Jahr auf USD im Jahr gestiegen sind. +24 % 1,2 Mio. USD +37 % 120 Tsd. USD KMUs Die Verbesserung von Software und Infrastruktur ist heute die teuerste Konsequenz einer Sicherheitsverletzung für und insgesamt die kostenintensivste Konsequenz für KMUs. Daraus wird deutlich, wie viel Schaden verschiedene Ransomware-Epidemien, schädliche Exploits und Supply Chain-Angriffe in den letzten 12 Monaten an Unternehmensinfrastruktur angerichtet haben, und vermittelt ein Bild davon, wie viel zu tun ist, um diese Systeme zu erneuern und resistenter gegenüber Angriffen zu machen. Für Unternehmen weltweit geht die Infrastrukturverbesserung nach einer Datenschutzverletzung heute mit einem Rückschlag von durchschnittlich USD einher, also über 46 % mehr als im Jahr, in dem diese Kosten bei etwa USD lagen. Tatsächlich ist diese Zahl die höchste bzw. insgesamt höchste für Unternehmen in allen Regionen außer Lateinamerika. Sie veranschaulicht, wie sich die Mehrheit aller Unternehmen demselben Problem gegenüber sehen, wenn es um die finanziellen Folgen einer Datenschutzverletzung geht. Unsere Studie unterstreicht auch, wie Cybersicherheitsvorfälle durch Schädigung von Kredit-Ratings/Versicherungsprämien ( USD) und Geschäftsverluste ( USD) beide Konsequenzen gehören zu den 5 teuersten Folgen bei Datenschutzverletzungen direkt das Geschäftsmodell eines Unternehmens schädigen können. Eine erhebliche Menge an Geld wird auch auf die Verbesserung von Wissen und Know-how, auf das die Unternehmen Zugang haben, aufgewendet. Dies geschieht entweder durch die Schulung ihrer ( USD), den Einsatz externer Fachleute ( USD) oder die Einstellung neuer ( USD). Die Herausforderung für alle Unternehmen ist, angesichts des kontinuierlichen, branchenweiten Fachkräftemangels die richtigen Talente zu einem erschwinglichen Preis zu finden. Dies ist wahrscheinlich der Grund, warum Unternehmen sich mehr auf die Schulung ihrer gegenwärtigen Belegschaft konzentrieren und weniger auf die Rekrutierung. 3

5 Digitale Transformationsstrategien in Gefahr Die Ergebnisse dieses Jahr haben gezeigt, dass die teuersten Vorfälle im Zusammenhang mit der Cloud-Infrastruktur stehen. Es ist offensichtlich, dass der rasant zunehmende Cloud- und mobile Trend eine Unmenge an Chancen für Cyberkriminelle bietet. Auch menschliches Versagen wird für Unternehmen zunehmend zu einem Risiko, weil die Bereitstellung über Cloud-Infrastrukturen eine komplexe Verwaltung mit sich bringt. Die Nutzung von Cloud Computing-Plattformen nimmt seit Längerem bei und KMUs zu. Obwohl es den Unternehmen zahlreiche Vorteile bringt, bedeutet es jedoch auch ein Risiko für die Unternehmensdaten. Ein Blick auf die drei kostspieligsten Bedrohungen zeigt, dass Sicherheitsvorfälle, die die von Dritten gehostete IT-Infrastruktur betreffen, bei KMUs die größte Auswirkung ( USD) und bei die zweitgrößte Auswirkung (1,11 Mio. USD) haben. Vorfälle bei von Unternehmen genutzten Cloud-Diensten von Drittanbietern haben außerdem beachtliche finanzielle Auswirkungen auf KMUs ( USD). Das bedeutet, dass die Strategien zur digitalen Transformation von Unternehmen (und als Teil davon somit auch die Cloud) von IT-Vorfällen bedroht sind, wenn die Unternehmen keinen Weg finden, diese Risiken zu vermeiden. Bei der Sicherheit ist zunehmend Strategie gefragt 23 % des IT-Budgets wird für Cybersicherheit eingesetzt Zur Bekämpfung dieser Bedrohungen wird dem Bereich der Sicherheit eine kräftige Stimme verliehen. Die Unternehmen beginnen, die wahren Auswirkungen der Cybersicherheit auf ihre Geschäfte zu spüren. Das führt dazu, dass sich die Führungskräfte laut Studie aus Angst vor einem Vorfall gezwungen fühlen, einen größeren Teil des IT-Budgets für die Cybersicherheit (23 %) bereitzustellen und das Thema bei Vorstandssitzungen mehr Beachtung findet als in den vergangenen Jahren. Die Unternehmen gehen davon aus, dass die Budgets für die IT-Sicherheit in den nächsten drei Jahren um 15 % zunehmen werden. Dies gilt auch für Kleinstunternehmen mit einer beachtlichen Investition für Unternehmen mit weniger als 50 n, in denen die Ressourcen meist knapp sind. Bei KMUs wird für 2021 ein Anstieg der Ausgaben für die Cybersicherheit um 14 % erwartet. Unternehmen im Mittleren Osten, der Türkei und Afrika erwarten, dass ihre Budgets für die IT-Sicherheit um nahezu ein Fünftel (19 %) in den nächsten drei Jahren wachsen werden. Dies ist ein großer Unterschied zu den Unternehmen in Japan (12 %) und Nordamerika (11 %) am anderen Ende der Skala. Ein möglicher Grund dafür ist, dass die zunehmenden behördlichen Kontrollen, zum Beispiel durch die Einführung der DSGVO in der EU, an Wichtigkeit in Bezug auf die IT-Sicherheit zunehmen. Die Verordnung zieht Unternehmen in die Verantwortung, die persönlichen Daten ihrer Kunden zu schützen, und fordert strikte Gebühren im Fall einer Nicht-Einhaltung. Es ist daher überraschend, dass Unternehmen in Europa lediglich ein Wachstum ihrer IT-Sicherheitsbudgets von nur 13 % in den nächsten drei Jahren erwarten, was im Vergleich zu anderen Regionen eher schwach ausfällt. Diese Ergebnisse zeigen nicht nur die wachsenden Kosten in Bezug auf den Schutz vor Cyberangriffen auf, sie stellen auch den Wert und die Wichtigkeit dar, die Geschäftsführer der Möglichkeit zusprechen, ihre Unternehmen gegen die Bedrohungen zu schützen. Die IT-Sicherheit erhält ihre Hauptantriebskraft also von oben und zieht sich dann durch das gesamte Unternehmen. Tatsächlich weist die Beteiligung des obersten Managements in der Debatte zur Bereitstellung von Cybersicherheit eindeutig darauf hin, dass das Thema Sicherheit in der Geschäftsstrategie einen zunehmend höheren Stellenwert gewinnt. Ein Faktor kristallisiert sich besonders in unserer Studie heraus: Die Reaktion auf und die Wiederherstellung nach Sicherheitsvorfällen und Datenschutzverletzungen haben eine größere Bedeutung als je zuvor. 4

6 Methodik Die weltweite Studie zu IT-Sicherheitsrisiken von Kaspersky Lab wird seit 2011 jährlich unter IT-Entscheidungsträgern in Unternehmen durchgeführt. Insgesamt wurden 6614 Personen aus 29 Ländern zu den Ausgaben ihres Unternehmens für die IT-Sicherheit, zu den Bedrohungsarten, denen sie bereits gegenüberstanden, und zu den Kosten einer Wiederherstellung nach Angriffen befragt. Zu den beteiligten Regionen gehörten Lateinamerika, Europa, Nordamerika, APAC mit China, Japan, Russland und der Mittlere Osten, die Türkei und Afrika. In dem gesamten Bericht werden die Unternehmensgrößen entweder als Kleinstunternehmen (sehr kleine Betriebe mit weniger als 50 n), kleine und mittlere Unternehmen (KMUs mit 50 bis 999 n) oder (Unternehmen mit mehr als 1000 n) bezeichnet. Nicht alle Ergebnisse der Studie sind in diesem Bericht enthalten. 5

7 Wichtigste Erkenntnisse Die Kosten für Datenschutzverletzungen sind sowohl für als auch für KMUs um mehr als ein Fünftel gestiegen. Durchschnittlich müssen Unternehmen mittlerweile finanzielle Einbußen in Höhe von 1,23 Mio. USD einstecken, also 24 % mehr als, wo sie bei rund USD lagen. Dasselbe gilt für kleine und mittlere Unternehmen, deren Kosten von USD im letzten Jahr auf USD im Jahr gestiegen sind. Das entspricht einem Anstieg von 37 %. Unternehmen im asiatisch-pazifischen Raum, Japan und Nordamerika verzeichneten die höchsten Wiederherstellungskosten. Eine Datenschutzverletzung ist für Unternehmen in Japan am teuersten (1,7 Mio. USD), gefolgt von Nordamerika (1,6 Mio. USD) und dem asiatisch-pazifischen Raum, einschließlich China (1,5 Mio. USD). Bei KMUs steht Nordamerika an der Spitze ( USD). Sowohl für als auch für KMUs mit Hauptsitz in Russland sind die durchschnittlichen finanziellen Verluste bei einer Datenschutzverletzung mit USD bzw USD am geringsten. Die durchschnittlichen Sicherheitsbudgets sind bei Unternehmen aller Größen gestiegen. geben heute durchschnittlich 8,9 Mio. USD für Cybersicherheit aus, während das Sicherheitsbudget bei KMUs von 201 Mio. USD im Jahr auf 246 Mio. USD im Jahr gestiegen ist. Den größten Kostenanstieg verzeichneten Kleinstunternehmen, bei denen die Sicherheitsbudgets in den letzten 12 Monaten von USD auf USD erhöht wurden. Das ist ein klarer Hinweis darauf, dass IT-Sicherheit heute selbst von kleinsten Unternehmen sehr ernst genommen wird. Die kostspieligsten Bedrohungen beziehen sich auf Daten, die die Geschäftsräume verlassen. Vorfälle bei von Drittanbietern gehosteten IT-Infrastrukturen gehören im Hinblick auf die Wiederherstellungkosten zu den teuersten Bedrohungen für (1,09 Mio. USD) und KMUs ( USD), dicht gefolgt von unangemessener Datenfreigabe durch mobile Geräte und Vorfällen bei genutzten Cloud-Diensten von Drittanbietern. Die Komplexität der Infrastruktur und mangelnde Fachkenntnis treiben die Investitionen in die IT-Sicherheit an. Mehr als ein Drittel aller Unternehmen nennen die erhöhte Komplexität der IT-Infrastruktur (34 %) und die Notwendigkeit zur Verbesserung der Sicherheitsexpertise (34 %) als Motivation für die Investition in Cybersicherheit. 6

8 Die durchschnittlichen Kosten von Datenschutzverletzungen Große und kleine Unternehmen müssen nach einer Datenschutzverletzung eine Reihe von Kostenfaktoren berücksichtigen, dazu gehören Personalkosten, die Zahlung von Strafen und die Kompensationskosten. Aber wie sieht eine typische Datenschutzverletzung aus finanzieller Sicht aus? Für belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Moment auf 1,23 Mio. USD, dies übersteigt die USD aus dem Jahr. Der größte Kostenanteil entfällt auf die Verbesserung der Software und Infrastruktur ( USD). Schäden durch beispielsweise Minderung der Kreditwürdigkeit/Erhöhung der Versicherungsprämien ( USD) und Schulungen ( USD) haben ebenfalls eine große finanzielle Auswirkung. Dies gilt auch für KMUs mit durchschnittlichen Kosten nach einer Datenschutzverletzung von USD, im Jahr waren es noch USD. KMUs müssen oftmals dieselben Kosten stemmen wie. Sie müssen genauso externe Fachleute beschäftigen, erleiden Minderungen der Kreditwürdigkeit und es entgehen ihnen Aufträge (), was ihren Umsatz enorm schmälert. Schaut man sich bekannt gewordene teure Zwischenfälle des letzten Jahres an, scheint es, als würden stark in die Verbesserung des Schutzes und in einen stärkeren Versicherungsschutz investieren Einstellung externer Fachleute Minderung der Kreditwürdigkeit/Erhöhung der Versicherungsprämien Entgangene Aufträge Zusätzliche PR (zur Behebung des Markenschadens) Zusatzlöhne für interne Entschädigungen Strafen und Bußgelder (NEU) Verbesserung von Software und Infrastruktur Schulungen Neue 6000 USD 4000 USD Durchschnittliche Belastung gesamt: USD Kleine und mittlere Unternehmen Minderung der Kreditwürdigkeit/ Erhöhung der Versicherungsprämien Zusätzliche PR (zur Behebung des Markenschadens) Entgangene Aufträge Einstellung externer Fachleute Zusatzlöhne für interne Entschädigungen Strafen und Bußgelder (NEU) Verbesserung von Software und Infrastruktur Schulungen Neue USD USD USD USD USD USD USD USD USD USD Durchschnittliche Belastung gesamt: 1,23 Mio. USD Kleine und mittlere Unternehmen Kleine und mittlere Unternehmen Schäden und direkte Kosten aufgrund von Datenschutzverletzungen Reaktive Ausgaben zum Schutz vor zukünftigen Angriffen Abbildung 1: Die durchschnittlichen finanziellen Folgen einer weltweiten Datenschutzverletzung 7

9 Interessanterweise variieren die Kosten in Zusammenhang mit der Wiederherstellung nach einer Datenschutzverletzung in den verschiedenen Regionen beachtlich. Für KMUs stiegen die durchschnittlichen Kosten in allen von der Studie berücksichtigten Regionen. In Nordamerika ( USD) und APAC mit China ( USD) stiegen sie am höchsten, in Russland ( USD) am wenigsten. Dies ist auch auf übertragbar. Die durchschnittlichen Kosten einer Datenschutzverletzung sind in Japan 1,7 Mio. USD, 1,6 Mio. USD in Nordamerika und 1,5 Mio. in APAC mit China. Bei KMUs haben Datenschutzverletzungen in Russland ( USD) die niedrigste finanzielle Auswirkung auf, dort sind die Kosten lediglich um 6000 USD im Vergleich zu gestiegen. Kleine und mittlere Unternehmen USD 1,3 Mio. USD 1,7 Mio. USD 1,2 Mio. USD 1,3 Mio. USD 1,6 Mio. USD 1,2 Mio. USD 1,4 Mio. USD 1,5 Mio. USD USD USD 1,1 Mio. USD USD USD 1,0 Mio. USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD Nordamerika APAC mit China Europa META Lateinamerika Japan Russland++ Japan Nordamerika APAC mit China Lateinamerika Europa META Russland++ Abbildung 2: Die durchschnittlichen finanziellen Folgen einer Datenschutzverletzung nach Region Unabhängig vom Grund ist klar, dass die Kosten durchweg steigen und große und kleine Unternehmen finanziell ernsthaft unter Druck setzen. Dies zeigt, wie wichtig die Sicherheit ist und welche bedeutende Rolle sie bei der Transformation der Unternehmen spielt. Aber an welcher Stelle wird zusätzlich Geld ausgegeben? 8

10 Warum steigen die Kosten? Da die Kosten nach einer Datenschutzverletzung so viele Bereiche lähmen können, ist es schwer für Unternehmen zu erkennen, an welcher Stelle das Geld ausgegeben wird. Unsere Studie zeigt, dass technische Verbesserungen nach einem Vorfall eine besonders hohe finanzielle Belastung für und KMUs bedeuten. Sie werden begleitet von Erhöhungen der Versicherungsprämien und kostspieligen Aktivitäten zur Verbesserung der internen Kompetenz. Für Unternehmen macht mit USD die Verbesserung der Software und Infrastruktur den größten Kostenfaktor nach einer Datenschutzverletzung aus, die Minderung der Kreditwürdigkeit/Erhöhung der Versicherungsprämien fordert Kosten von USD und Schulungskosten in Höhe von USD. So sieht es auch bei KMUs aus, bei denen es vier wichtige Kostenfaktoren gibt: Infrastrukturverbesserungen, die Beschäftigung von externen Fachleuten, die Minderung der Kreditwürdigkeit und entgangene Aufträge kosten KMUs im Durchschnitt. Finanzielle Gesamtauswirkungen USD 9920 USD 1,234 Mio. USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD 92 Tsd. USD USD USD USD Verbesserung Minderung der von Software Kreditwürdigkeit/ und Infrastruktur Schulungen Zusätzliche PR (zur Behebung des Markenschadens) Entgangene Aufträge Einstellung externer Fachleute Zusätzliche interne Neue Entschädigungen Strafen und Bußgelder (NEU) Abbildung 1: Finanzielle Auswirkungen einer Datenschutzverletzung für 9

11 Finanzielle Gesamtauswirkungen USD USD 120 Tsd. USD USD 9000 USD USD 6000 USD 4000 USD Verbesserung von Software und Infrastruktur Einstellung externer Fachleute Minderung der Kreditwürdigkeit/ Erhöhung der Versicherungsprämien Entgangene Aufträge Zusatzlöhne für interne Zusätzliche PR (zur Behebung des Markenschadens) Schulungen Neue Entschädigungen Strafen und Bußgelder (NEU) Abbildung 2: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs Es gibt außerdem ein paar interessante regionale Abweichungen, die es wert sind, erwähnt zu werden. Die Beschäftigung externer Fachleute ist beispielsweise eine der kostspieligsten Posten einer Sicherheitsverletzung für KMUs in Nordamerika, Lateinamerika und Europa, was darauf hinweist, dass diese Regionen eher auf zusätzliche Kompetenz angewiesen sind. Nordamerika Finanzielle Gesamtauswirkungen USD 117 Tsd. USD USD USD 23 Tsd. USD USD USD USD USD USD USD USD USD USD 9000 USD USD 9000 USD Einstellung externer Fachleute Verbesserung von Software und Infrastruktur Minderung der Kreditwürdigkeit/ Erhöhung der Versicherungsprämien Zusatzlöhne für interne Entgangene Aufträge Schulungen Zusätzliche PR (zur Behebung des Markenschadens) Neue Entschädigungen Strafen und Bußgelder (NEU) Abbildung 3: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs in Nordamerika 10

12 Lateinamerika Finanzielle Gesamtauswirkungen USD 64 Tsd. USD USD USD USD USD 9000 USD USD 9000 USD USD USD USD 9000 USD 6000 USD USD 6000 USD 6000 USD 3000 USD 6000 USD USD 4000 USD USD USD 6000 USD 6000 USD 4000 USD 6000 USD USD 9000 USD 3000 USD Einstellung externer Fachleute Verbesserung von Software Minderung der Kreditwürdigkeit/ Erhöhung der Schulungen und Versicherungsprämien Infrastruktur Entgangene Aufträge Zusätzliche PR (zur Behebung des Markenschadens) Neue Zusatzlöhne für interne Entschädigungen Strafen und Bußgelder (NEU) Abbildung 4: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs in Lateinamerika Europa Finanzielle Gesamtauswirkungen USD USD USD Verbesserung von Software und Infrastruktur Einstellung externer Fachleute Minderung der Kreditwürdigkeit/ Erhöhung der Versicherungsprämien Entgangene Aufträge Schulungen Zusätzliche PR (zur Behebung des Markenschadens) Zusatzlöhne für interne Neue Entschädigungen Strafen und Bußgelder (NEU) Abbildung 5: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs in Europa 11

13 Weiterhin gibt es bestimmte Regionen, in denen die Begrenzung oder die Wiederherstellung des beschädigten Rufs eine höhere Priorität hat. Zusätzliche PR zur Behebung des Markenschadens ist in Japan mit der zweitgrößte Kostenfaktor, in Unternehmen im Mittleren Osten, der Türkei und Afrika ist dies der dritthöchste Kostenfaktor mit 1 und in KMUS in Russland macht dies USD aus. Japan Finanzielle Gesamtauswirkungen USD USD USD 6000 USD USD 9000 USD USD USD 2000 USD Minderung der Zusätzliche PR Kreditwürdigkeit/ (zur Behebung Erhöhung der des Versicherungsprämien Markenschadens) Neue Verbesserung von Software und Infrastruktur Schulungen Einstellung externer Fachleute Entgangene Aufträge Zusatzlöhne für interne Entschädigungen Strafen und Bußgelder (NEU) Abbildung 6: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs in Japan META Finanzielle Gesamtauswirkungen USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD USD 92 Tsd. USD USD USD USD USD USD USD 23 Tsd. USD Verbesserung Minderung der Zusätzliche PR Schulungen von Software und Kreditwürdigkeit/ Erhöhung der (zur Behebung des Markenschadens) Infrastruktur Versicherungsprämien Entgangene Aufträge Zusatzlöhne für interne Einstellung externer Neue Entschädigungen Strafen und Bußgelder (NEU) Abbildung 7: Finanzielle Auswirkungen einer Datenschutzverletzung für im Mittleren Osten, der Türkei und Afrika 12

14 Russland Finanzielle Gesamtauswirkungen USD USD USD 3000 USD 3000 USD 3000 USD 3000 USD 3000 USD 3000 USD 2000 USD 3000 USD 6000 USD 2000 USD 9000 USD 1000 USD 1000 USD 3000 USD 2000 USD 4000 USD 2000 USD 2000 USD 1000 USD Verbesserung von Software und Infrastruktur Minderung der Kreditwürdigkeit/ Erhöhung der Versicherungsprämien Zusätzliche PR (zur Behebung des Markenschadens) Schulungen Entgangene Aufträge Neue Einstellung externer Fachleute Zusatzlöhne für interne Entschädigungen Strafen und Bußgelder (NEU) Abbildung 8: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs in Russland KMUs in der Region APAC mit China kämpfen mit Geschäftsverlusten nach einer Datenschutzverletzung in Höhe von durchschnittlich USD und es zeigt sich, dass sich lokale Kunden besonders enttäuscht von Unternehmen zeigen, die eine Datenschutzverletzung erlitten. APAC mit China Finanzielle Gesamtauswirkungen USD USD USD USD USD USD USD USD USD USD USD USD USD 9000 USD USD 9000 USD 4000 USD Verbesserung von Software und Infrastruktur Entgangene Aufträge Minderung der Kreditwürdigkeit/ Erhöhung der Versicherungsprämien Einstellung externer Fachleute Zusätzliche PR (zur Behebung des Markenschadens) Zusatzlöhne für interne Schulungen Neue Entschädigungen Strafen und Bußgelder (NEU) Abbildung 9: Finanzielle Auswirkungen einer Datenschutzverletzung für KMUs in APAC mit China 13

15 Die teuersten Angriffe: Alles über "data on the go" Es reicht nicht aus, zu wissen, was eine Datenschutzverletzung kosten würde. Zusätzliche Erkenntnisse können gewonnen werden, wenn man die verschiedenen Typen der Bedrohungen für die Unternehmen versteht und weiß, welche davon im schlimmsten Fall am teuersten werden können. Dies sind die Top Fünf der Datenschutzverletzungen mit der größten finanziellen Auswirkung auf : Gezielte Angriffe 1,64 Mio. USD Vorfälle bei von Dritten gehosteter IT-Infrastruktur 1,47 Mio. USD Physischer Verlust firmeneigener Geräte oder Medien 1,42 Mio. USD Vorfälle mit nicht rechnenden, angeschlossenen Geräten 1,41 Mio. USD Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen 1,38 Mio. USD Dies waren die Top Fünf für KMUs: Vorfälle bei von Dritten gehosteter IT-Infrastruktur USD Vorfälle mit nicht rechnenden, angeschlossenen Geräten USD Angriffe, die virtualisierte Umgebungen beeinträchtigen USD Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen USD Vorfälle bei Lieferanten, denen wir Daten freigeben USD 14

16 Zielgerichtete Angriffe 1,640 Mio. USD Vorfälle bei von Dritten gehosteter IT-Infrastruktur 1,474 Mio. USD Physischer Verlust firmeneigener Geräte oder Medien Vorfälle mit nicht rechnenden, angeschlossenen Geräten Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen Angriffe, die virtualisierte Umgebungen beeinträchtigen DDoS-Angriffe Malware-Infektion firmeneigener Geräte Vorfälle bei Lieferanten, denen wir Daten freigeben Elektronischer Datenverlust aus internen Systemen 1,416 Mio. USD 1,405 Mio. USD 1,380 Mio. USD 1,363 Mio. USD 1,304 Mio. USD 1,244 Mio. USD 1,163 Mio. USD 1,151 Mio. USD Unangemessene Nutzung der IT-Ressourcen durch 1,057 Mio. USD Vorfälle bei von Dritten gehosteter IT-Infrastruktur USD Kleine und mittlere Unternehmen Vorfälle mit nicht rechnenden, angeschlossenen Geräten Angriffe, die virtualisierte Umgebungen beeinträchtigen Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen Vorfälle bei Lieferanten, denen wir Daten freigeben Zielgerichtete Angriffe Malware-Infektion firmeneigener Geräte DDoS-Angriffe Elektronischer Datenverlust aus internen Systemen Physischer Verlust firmeneigener Geräte oder Medien USD USD USD USD USD USD USD USD USD Unangemessene Nutzung der IT-Ressourcen durch USD Abbildung 9: Arten von Datenschutzverletzungen und deren finanzielle Auswirkungen 15

17 Bei der Durchführung von Strategien zur digitalen Transformation arbeiten Unternehmen oft mit Drittanbietern zusammen, um die Datenmigration zu bewältigen oder den Zugriff auf ihre Infrastruktur zu ändern. Dabei müssen die Unternehmen darauf vertrauen, dass die externen Anbieter die notwendigen Sicherheitsvorkehrungen treffen. Allerdings zeigen die Kosten, die durch von Drittanbietern verursachte Datenschutzverletzungen entstehen, dass dieses Vertrauen oftmals enttäuscht wurde, da jedes Fehlverhalten des Anbieters auch direkt auf den Kunden zurückfällt. Die Betrachtung aller Cybersicherheitsvorfälle zeigt ein ähnliches Bild, da Drittanbieter der kostspieligste Grund für Vorfälle sind. Die Top Fünf der Vorfälle, von denen am häufigsten betroffen waren: Gezielte Angriffe 1,11 Mio. USD Vorfälle bei von Dritten gehosteter IT-Infrastruktur 1,09 Mio. USD Vorfälle mit nicht rechnenden, angeschlossenen Geräten USD Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen USD Elektronischer Datenverlust aus internen Systemen USD Dies waren die Top Fünf bei KMUs: Vorfälle bei von Dritten gehosteter IT-Infrastruktur USD Vorfälle mit nicht rechnenden, angeschlossenen Geräten USD Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen USD Gezielte Angriffe USD Vorfälle bei Lieferanten, denen wir Daten freigeben USD 16

18 Zielgerichtete Angriffe Vorfälle bei von Dritten gehosteter IT-Infrastruktur Vorfälle mit nicht rechnenden, angeschlossenen Geräten Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen Elektronischer Datenverlust aus internen Systemen Angriffe, die virtualisierte Umgebungen beeinträchtigen Vorfälle bei Lieferanten, denen wir Daten freigeben DDoS-Angriffe Unangemessene Freigabe von Daten über Mobilgeräte Physischer Verlust firmeneigener Geräte oder Medien Malware-Infektion firmeneigener Geräte Malware-Infektion mitarbeitereigener Geräte Unangemessene Nutzung der IT-Ressourcen durch Physischer Verlust firmeneigener Geräte, was dem Unternehmen Risiken aussetzt Physischer Verlust mitarbeitereigener Geräte 1,109 Mio. USD 1,086 Mio. USD USD USD USD USD USD USD USD USD USD USD USD Vorfälle bei von Dritten gehosteter IT-Infrastruktur Vorfälle mit nicht rechnenden, angeschlossenen Geräten USD USD Kleine und mittlere Unternehmen Vorfälle bei Cloud-Diensten von Drittanbietern, die wir nutzen Zielgerichtete Angriffe Vorfälle bei Lieferanten, denen wir Daten freigeben Angriffe, die virtualisierte Umgebungen beeinträchtigen Elektronischer Datenverlust aus internen Systemen DDoS-Angriffe Malware-Infektion firmeneigener Geräte Physischer Verlust firmeneigener Mobilgeräte oder Medien Malware-Infektion mitarbeitereigener Geräte Physischer Verlust mitarbeitereigener Geräte Unangemessene Freigabe von Daten über Mobilgeräte Physischer Verlust firmeneigener Geräte, was dem Unternehmen Risiken aussetzt Unangemessene Nutzung der IT-Ressourcen durch USD USD USD USD USD USD USD USD USD USD USD USD USD Abbildung 10: Arten von Cybersicherheitsvorfällen und deren finanzielle Auswirkungen 17

19 IT-Sicherheit als Tagesordnungspunkt bei der Vorstandssitzung Da Datenschutzverletzungen und Sicherheitsvorfälle die Unternehmen jedes Jahr mehr kosten, nehmen Tools und Prozesse zur Verteidigung gegen cyberkriminelle Aktivitäten eine immer größere Rolle ein. Dieser Trend spiegelt sich in der Höhe der Beträge wieder, die und KMUs für die IT-Sicherheit ausgeben. In der Tat haben sich die Budgets für die IT-Sicherheit bei Unternehmen aller Größenordnungen in den letzten 12 Monaten erhöht. Bei den stieg der Anteil des gesamten IT-Budgets, welches für die Sicherheit ausgegeben wurde, von 23 % in um ein Viertel (26 %) in, was im Durchschnitt 8,9 Mio. USD ausmacht. Ähnliches ist bei KMUs und Kleinstunternehmen festzustellen. KMUs geben im Durchschnitt USD jährlich für die IT-Sicherheit aus, das sind 23 % des gesamten IT-Budgets, waren es nur 20 %. Bei Kleinstunternehmen ist der größte Anstieg zu verzeichnen. Bei ihnen stiegen die Sicherheitsbudgets von 16 % (2 000 USD) auf 20 % (4 000 USD) der gesamten IT-Ausgaben. 20 % 17 % 23 % 13 % 20 % 16 % 17 % 23 % 20 % 26 % 23 % 21 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 11: Der Anteil der IT-Budgets für die Sicherheit Diese Ergebnisse stimmen nahezu in allen Regionen überein. Allerdings ist es interessant zu erwähnen, dass es ein paar Anomalien gibt, besonders in den Unternehmen in Nordamerika und im Mittleren Osten, der Türkei und Afrika. Dort weisen die Anteile des IT-Budgets für die Sicherheit die größten Anstiege seit 2107 auf. Die Budgets von in Nordamerika sind um 9 Prozentpunkte auf 28 % des gesamten IT-Budgets gestiegen, im Mittleren Osten, der Türkei und Afrika um 8 Prozentpunkte auf 27 %. 18

20 Nordamerika 18 % 16 % 26 % 13 % 14 % 22 % 16 % 19 % 25 % 19 % 19 % 28 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 12: Der Anteil der IT-Budgets für die Sicherheit in Nordamerika META 27 % 21 % 19 % 24 % 22 % 20 % 18 % 24 % 23 % 19 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 13: Der Anteil der IT-Budgets für die Sicherheit im Mittleren Osten, der Türkei und Afrika Im Vergleich dazu blieb der Anteil der IT-Budgets von KMUs und in der APAC-Region mit China (23 % bzw. 26 %) und in Japan (26 %) gleich. Dies kann damit erklärt werden, dass in Japan im Durchschnitt 31,1 Mio. USD ausgeben, dieser Betrag ist also im Vergleich zu anderen Regionen viel höher. 19

21 APAC mit China 26 % 26 % 24 % 22 % 23 % 19 % 21 % 23 % 23 % 23 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 14: Der Anteil der IT-Budgets für die Sicherheit in APAC mit China Japan 26 % 26 % 17 % 21 % 21 % 14 % 18 % 16 % 20 % 19 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 15: Der Anteil der IT-Budgets für die Sicherheit in Japan Darüber hinaus gehen Unternehmen von wachsenden Budgets für die IT-Sicherheit aus. Weltweit sagen sowohl Kleinstunternehmen als auch voraus, dass die Beträge, die für die Cybersicherheit ausgegeben werden, in den nächsten drei Jahren um 15 % steigen, bei KMUs werden 14 % vorausgesagt. Wie bereits erwähnt, gibt es regionale Unterschiede. So wird für KMUs in Japan lediglich ein kleiner Anstieg von 7 % für deren Budgets für die IT-Sicherheit vorausgesagt. Dem gegenüber stehen Kleinstbetriebe in Lateinamerika, für die ein Anstieg von 22 % vorausgesagt wird, gefolgt von KMUs im Mittleren Osten, der Türkei und Afrika mit 19 % und Russland mit 18 %. 20

22 Russland 15 % 17 % 22 % 15 % 15 % 19 % 13 % 17 % 22 % 21 % 18 % 23 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 16: Der Anteil der IT-Budgets für die Sicherheit in Russland Europa 15 % 18 % 21 % 12 % 15 % 19 % 18 % 16 % 21 % 22 % 19 % 23 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 17: Der Anteil der IT-Budgets für die Sicherheit in Europa 21

23 Lateinamerika 21 % 18 % 26 % 17 % 12 % 22% 18 % 22 % 26 % 25 % 23 % 30 % Alle Unternehmen Kleinstunternehmen (1 bis 49 ) Kleine und mittlere Unternehmen (50 bis 999 ) (über 1000 ) Abbildung 18: Der Anteil der IT-Budgets für die Sicherheit in Lateinamerika 22

24 Motivationen für Investitionen in IT-Sicherheit Mit verschiedenen Unternehmensgrößen, verschiedenen Branchen und unterschiedlichen Anforderungen, die zu berücksichtigen waren, wollten wir den Unternehmen die entscheidende Frage stellen, was sie genau dazu motiviert, in die Cybersicherheit zu investieren. Da davon auszugehen ist, dass die IT-Budgets in den nächsten drei Jahren flächendeckend weiter zunehmen werden, sind sich die Unternehmen im Klaren darüber, dass es einen deutlichen Bedarf für Investitionen in die jetzige und zukünftige IT-Sicherheit gibt. Wie unsere Umfrage ergab, gibt es einige klare Faktoren, die die Unternehmen dazu motivieren, ihr Geld an der Stelle zu investieren, wo es gebraucht wird. 23

25 (n = 3518) (n = 4411) 39 % 34 % Erhöhte Komplexität der IT-Infrastruktur Erhöhte Komplexität der IT-Infrastruktur 38 % Verbesserung der Sicherheitsexpertise Verbesserung der Sicherheitsexpertise 34 % 32 % Oberstes Management will die Abwehr verbessern Oberstes Management will die Abwehr verbessern 29 % 32 % Neue Geschäftsaktivitäten/Expansion Neue Geschäftsaktivitäten/Expansion 25 % 30 % Rechtliche Vorschriften/Compliance-Anforderungen Rechtliche Vorschriften/Compliance-Anforderungen 25 % 28 % Reaktion auf Vorfälle in anderen Unternehmen Reaktion auf Vorfälle in anderen Unternehmen 24% 24 % Nachfrage durch Kunden Jüngste im Unternehmen aufgetretene Sicherheitsvorfälle 21 % 22 % Höhere Gewinne (mehr Geld verfügbar) Höhere Gewinne (mehr Geld verfügbar) 20 % 20 % Jüngste im Unternehmen aufgetretene Sicherheitsvorfälle Nachfrage durch Kunden 20 % 17 % Ausgabenerhöhung durch einen Berater empfohlen Aufgrund von neuen Standorten unseres Unternehmens 16 % 15 % Nachfrage durch Aktionäre und Investoren Ausgabenerhöhung durch einen Berater empfohlen 16 % Nachfrage durch Aktionäre und Investoren 14 % Abbildung 20: Die wichtigsten drei Motivationsfaktoren für die Investition in die IT-Sicherheit in allen Regionen Wie die Abbildung oben zeigt, behält die Komplexität der IT-Infrastruktur ihre Position an oberster Stelle und wird gemeinsam eingestuft mit der Verbesserung der Erfahrung der Sicherheitsexperten (beides 34 %) als größte Motivatoren für die Investition in die IT-Sicherheit in allen Regionen. Dicht gefolgt vom Druck, den das oberste Management ausübt (29 %) (was daraufhin weist, dass die Geschäftsführer mehr an der Cybersicherheit interessiert sind), dem Einfluss neuer Geschäftsaktivitäten sowie den Anforderungen zur Einhaltung gesetzlicher Vorschriften (beide 25 %). Forderungen von Aktionären und Investoren (14 %) wurden als der kleinste Motivator für die Investitionen in die IT-Sicherheit identifiziert, dicht gefolgt von den Unternehmen, die von einem Berater dazu angehalten wurden, in die Sicherheit zu investieren (16 %). Da dies ein Bereich sein kann, in dem regionale Einflüsse eine entscheidende Rolle spielen, haben wir uns auch die Top-Drei-Motivatoren für jede einzelne Region angeschaut, um Gemeinsamkeiten und Unterschiede herauszufinden, anhand derer man erklären kann, wie wichtig unterschiedliche Unternehmen Cybersicherheit empfinden. Es ist keine Überraschung, dass die zunehmende Komplexität der IT-Infrastruktur in den Top-Drei-Motivatoren aller Regionen zu finden ist, in Nordamerika (34 %), Lateinamerika (33 %) und in Europa (29 %) ist sie sogar der größte Motivator. Die Verbesserung der Kompetenz der Sicherheitsexperten zeigt sich gleich stark und ist der größte Motivator für Investitionen in vier der von der Studie beobachteten Regionen: Japan (48 %), APAC mit China (41 %), Mittlerer Osten, Türkei und Afrika (37 %) und Russland (36 %). Dies ist sicher auf den vieldiskutierten Fachkräftemangel in der Cybersicherheitsbranche zurückzuführen. Sicherheitsexperten sind noch immer Mangelware, was bedeutet, dass Unternehmen in allen Sektoren damit zu kämpfen haben, Personal mit den Fertigkeiten zu finden, das in der Lage ist, gegen die raffinierten Cyberangriffe vorzugehen. 24

26 Russland ++ Nordamerika META ACAP mit China Japan Lateinamerika Europa TOP-1 Verbesserung der Sicherheitsexpertise (36 %) Erhöhte Komplexität der IT-Infrastruktur (34 %) Verbesserung der Sicherheitsexpertise (37 %) Verbesserung der Sicherheitsexpertise (41 %) Verbesserung der Sicherheitsexpertise (48 %) Erhöhte Komplexität der IT-Infrastruktur (33 %) Erhöhte Komplexität der IT-Infrastruktur (29 %) TOP-2 Erhöhte Komplexität der IT-Infrastruktur (33 %) Verbesserung der Sicherheitsexpertise (31 %) Das Top-Management will unsere Abwehr verbessern (29 %) Erhöhte Komplexität der IT-Infrastruktur (41 %) Erhöhte Komplexität der IT-Infrastruktur (34 %) Verbesserung der Sicherheitsexpertise (28 %) Verbesserung der Sicherheitsexpertise (27 %) TOP-3/4 Das Top-Management will unsere Abwehr verbessern (29 %) Das Top-Management will unsere Abwehr verbessern (30 %) Erhöhte Komplexität der IT-Infrastruktur (29 %) Reaktion auf Vorfälle in anderen Unternehmen (28 %) Das Top-Management will unsere Abwehr verbessern (35 %) Rechtliche Vorschriften/ Compliance- Anforderungen (26 %) Neue Geschäftsaktivitäten/ Expansion (26 %) Das Top-Management will unsere Abwehr verbessern (25 %) Rechtliche Vorschriften/ Compliance- Anforderungen (25 %) Das Top-Management will unsere Abwehr verbessern (24 %) Abbildung 13: Der Anteil der IT-Budgets für die Sicherheit in der META-Region Die wachsende Bedeutung der IT-Sicherheit in den Vorstandssitzungen ist ebenso klar ersichtlich. Der Druck des obersten Managements ist der zweitgrößte Motivator für Unternehmen des Mittleren Ostens, der Türkei und Afrika (29 %) und der dritt- oder viertgrößte Motivator in fünf anderen Regionen: APAC mit China (35 %), Nordamerika (30 %), Russland (29 %), Lateinamerika (25 %) und Europa (24 %). Die Ergebnisse zeigen außerdem, dass gesetzliche Regelungen eine finanzielle Auswirkung für Unternehmen in bestimmten Regionen haben. Ein Viertel (25 %) der europäischen Unternehmen identifizierten rechtliche Vorschriften/Compliance-Anforderungen als einen Hauptmotivator für Investitionen in die Cybersicherheit, was nach der Einführung der DSGVO im Mai keine Überraschung ist. Unternehmen in Europa betrachten die Compliance-Anforderungen eher langfristig. Da die Strafen der DSGVO bis 20 Mio oder 4 % des globalen jährlichen Umsatzes ausmachen können, kann die Investition in die IT-Sicherheit den Unternehmen langfristig viel Geld sparen. Das Gleiche gilt für Unternehmen in Japan. Die japanische Regierung hat kürzlich ihr Gesetz über den Schutz der persönlichen Daten aktualisiert, eines der ältesten Datenschutzgesetze Asiens, und eine neue Kommission zum Schutz persönlicher Daten (PPC) gebildet. 25

27 Fazit Unsere Studie hat gezeigt, dass die IT-Sicherheit eine strategischere Rolle in der modernen Geschäftswelt übernimmt. Einer der Gründe dafür ist, dass die Kosten, die durch Datenschutzverletzungen und sicherheitsrelevante Vorfälle entstanden sind, immer weiter steigen. Derzeit sind sie auf einem Höchststand für mit 1,23 Mio. USD und USD für KMUs. Dies allein sollte ausreichen, um jedem Unternehmen den finanziellen Wert von Tools zur Cybersicherheit aufzuzeigen. Unsere Forschung hat jedoch gezeigt, dass drohende Kosten nicht der einzige Faktor dafür sind, dass die Cybersicherheit immer häufiger auf der Tagesordnung von Vorstandssitzungen steht. Die IT spielt eine zunehmende Rolle im Geschäft, da die Unternehmen immer häufiger Strategien der digitalen Transformation im Visier haben, um wettbewerbsfähig zu bleiben und Kundenerwartungen erfüllen zu können. In dieser Umgebung kann ein Systemausfall oder ein IT-Vorfall eine direkte Auswirkung auf den Umsatz haben. Die Führungskräfte verstehen zunehmend öfter, dass ihre Strategie zur digitalen Transformation nicht ganz risikofrei ist, sei es durch den Umzug in die Cloud, die Migration auf eine neue Plattform oder ein Umbruch der vorhandenen Arbeitsweisen. Letztendlich stellt sich für viele Unternehmen eine einzige einfache Frage: Wird sich eine strategischere Investition in die IT-Sicherheit im Endeffekt langfristig für das Unternehmen auszahlen? Die Antwort ist ein ganz klares Ja. 26