Unternehmen sind immer häufiger von Cybersicherheitsvorfällen bei Lieferanten betroffen, mit denen sie Daten austauschen, wie der aktuelle IT Security Economics Report von Kaspersky zeigt. Und das kann teuer werden, wie aktuelle Zahlen zeigen.
Die durchschnittlichen finanziellen Auswirkungen eines Vorfalles für ein Großunternehmen in Europa beliefen sich im vergangenen Jahr auf zwei Millionen US-Dollar und sind damit die kostspieligste Art von Vorfällen.
Geschäftsdaten sind in der Praxis verteilt
Geschäftsdaten sind in der Regel über mehrere Drittparteien verteilt, darunter Dienstleister, Partner, Lieferanten und Tochtergesellschaften – weswegen Cyberkriminelle immer öfter genau diese attackieren. Daher müssen Unternehmen nicht nur die Cybersicherheitsrisiken berücksichtigen, die ihre eigene IT-Infrastruktur betreffen, sondern auch solche, die von außerhalb des eigenen Unternehmens kommen können.
Laut der Kaspersky-Umfrage war mehr als ein Viertel (28 Prozent) der großen Unternehmen in Europa von Angriffen auf Daten betroffen, die mit Zulieferern geteilt wurden. Diese Zahl hat sich seit dem Jahr 2020 (damals lag sie bei 29 Prozent) nicht wesentlich verändert. Auch die finanziellen Auswirkungen sind die gleichen wie im Vorjahr, nämlich zwei Millionen Dollar.
Das Angriffsszenario hat sich verändert
Die meisten anderen Angriffsarten weisen geringere finanzielle Auswirkungen auf, darunter der physische Verlust unternehmenseigener Geräte (1,2 Millionen US-Dollar), Kryptomining-Angriffe (1,2 Millionen US-Dollar) oder die falsche Nutzung von IT-Ressourcen durch Mitarbeiter (1,2 Millionen US-Dollar).
So beliefen sich die durchschnittlichen finanziellen Auswirkungen eines Angriffs bei einem europäischen Unternehmen auf 1,1 Millionen US-Dollar im Jahr 2021 gegenüber 839.000 US-Dollar im Jahr 2020. Im internationalen Vergleich gingen diese jedoch zurück: von 1,09 Millionen US-Dollar im Jahr 2020 auf 927.000 US-Dollar im Jahr 2021. Der mögliche Grund dafür ist, dass sich die getätigten Investitionen in Präventions- und Eindämmungsmaßnahmen für die Unternehmen nun bezahlt machen.
Möglicherweise wurden die durchschnittlichen Kosten aber auch dadurch beeinflusst, dass die Wahrscheinlichkeit, dass Unternehmen in diesem Jahr Datenschutzverletzungen meldeten, gesunken ist: laut der Kaspersky-Umfrage vermieden es 41 Prozent in Europa dies zu tun, während es 2020 lediglich 33 Prozent waren. Finanziell anfällige Unternehmen scheuten möglicherweise den Zeit- und Kostenaufwand für eine strafrechtliche Untersuchung oder den eventuellen Imageschaden durch einen öffentlich bekannt gemachten Verstoß.
Sicherheitsanforderungen auf Zulieferer ausweiten
„Die schwere der Angriffe macht deutlich, dass Unternehmen bei der Bewertung der eignen Cybersicherheitsanforderungen das Risiko eines Verstoßes gegen das Datenschutzgesetz berücksichtigen müssen, wenn sie Daten mit Zulieferern teilen“, kommentiert Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Unternehmen sollten ihre Zulieferer nach der Art ihrer Arbeit und der Komplexität des, den sie erhalten, einstufen – unabhängig davon, ob sie mit sensiblen Daten und Infrastrukturen zu tun haben oder nicht – und die Sicherheitsanforderungen entsprechend umsetzen. Sie müssen sicherstellen, dass sie Daten nur mit zuverlässigen Dritten teilen und ihre schon bestehenden Sicherheitsanforderungen auf Zulieferer ausweiten. Im Falle von sensiblen Daten oder Informationen bedeutet dies, dass alle Unterlagen und Zertifizierungen – wie etwa SOC2 – von Lieferanten angefordert werden sollten, um zu bestätigen, dass diese auch auf diesem Niveau arbeiten. In sehr sensiblen Fällen empfehlen wir darüber hinaus, vor der Unterzeichnung eines Vertrages ein vorläufiges Compliance-Audit eines Lieferanten durchzuführen.“
Weitere Informationen über IT-Sicherheitskosten und -Budgets von Unternehmen im Jahr 2021 sind mit dem interaktiven Kaspersky IT Security Calculator verfügbar.
Mehr bei Kaspersky.com
Über Kaspersky Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/