Cybersicherheit wird zum Wachstumsmotor für Unternehmen

Als die neueste Studie über die Kosten von Datenschutzverletzungen veröffentlicht wurde, war es keine Überraschung, dass die Zahl der Angriffe einen neuen Rekordwert erreicht hatte. Die durchschnittlichen Kosten für Geschäftseinbußen und Abhilfemaßnahmen beliefen sich weltweit auf durchschnittlich 4,35 Millionen Dollar pro Vorfall.[1] 

Noch aussagekräftiger ist jedoch eine Statistik aus einem Bericht, der im November 2022 vom IBM Institute for Business Value (IBV) und Oxford Economics veröffentlicht wurde: Zwei Drittel der Unternehmensleiter sehen die Cybersicherheit heute in erster Linie als Mittel zur Umsatzsteigerung an.[2 ] Auf der Grundlage einer weltweiten Umfrage unter 2.300 Führungskräften aus den Bereichen Wirtschaft, Technologie und Cybersicherheit ergab die Untersuchung außerdem, dass neun von zehn derjenigen, die in den am weitesten entwickelten Unternehmen arbeiten, die Cybersicherheit als einen solchen Wachstumsfaktor betrachten.

Unternehmen, die wirksame Cybersicherheitsfunktionen aufbauen, betrachten die Investition nicht nur als zu verwaltende Ausgabe, sondern erkennen ihren geschäftlichen Wert. Eine überwältigende Mehrheit (86 %) der Befragten der Deloitte-Umfrage "2023 Global Future of Cyber" gab an, dass Cyber-Initiativen einen signifikanten, positiven Beitrag zu mindestens einer wichtigen Geschäftspriorität geleistet haben[3]. Viele der befragten leistungsstärksten Cyber-Organisationen berichteten über positive Auswirkungen ihrer Cyber-Initiativen auf den Ruf ihrer Marke, das Vertrauen ihrer Kunden, den Umsatz, die betriebliche Stabilität, die Anwerbung und Bindung von Talenten und die langfristige Nachhaltigkeit. "Cyber entwickelt sich zu einem eigenständigen Funktionsbereich des Unternehmens, der seine traditionellen IT-Wurzeln hinter sich lässt und zu einem wesentlichen Bestandteil des Rahmens für die Erzielung von Geschäftsergebnissen wird", heißt es im Deloitte-Bericht.

Das ist eine gute Nachricht für Sicherheits- und Technologieverantwortliche. Die jüngste Mimecast-Umfrage Behind the Screens; The Board's Evolving Perceptions of Cyber Risk (Hinter den Bildschirmen; Die sich entwickelnde Wahrnehmung von Cyber-Risiken durch den Vorstand ) ergab, dass die meisten Sicherheitsverantwortlichen eine Budgeterhöhung von 10 bis 20 % anstreben und zuversichtlich sind, dass sie diese auch erreichen können. Aber um dies zu erreichen, insbesondere in Zeiten wirtschaftlicher Ungewissheit und zurückhaltender Ausgaben, müssen sie mit ihren Stakeholdern in deren Sprache sprechen: der Unternehmensleistung.  Wie ein für die Mimecast-Studie befragter CTO erläuterte, erfordert dies, dass man sein technisches Fachwissen beiseite lässt und "mein Geschäftsgehirn öffnet", um den Wert der Cybersicherheit für das Unternehmen zu erklären. 

Cybersecurity verkaufen: Heben Sie das Positive hervor

Sicherheitsexperten lernen, Cybersicherheit als Werttreiber zu begreifen, der zu Umsatz- und Gewinnwachstum führen kann, und nicht nur als Kostenfaktor für die Geschäftstätigkeit. Durch die Vermeidung einer Reihe von Folgeerscheinungen, die sich nach einer Sicherheitsverletzung auf ein Unternehmen auswirken, kann die Cybersicherheit einen positiven Einfluss auf die Geschäftsergebnisse haben, der sich oft in einer konkreten Zahl ausdrücken lässt. Einige Beispiele sind:

Betriebszeit und laufender Geschäftsbetrieb

Die Auswirkungen von Cyberangriffen auf die Betriebszeit liegen auf der Hand und sind zunehmend besorgniserregend, da immer mehr Unternehmen auf digitale Abläufe angewiesen sind. Laut einer Umfrage von Information Technology Intelligent Consulting (ITIC) aus dem Jahr 2022 nannten 76 % der Unternehmen Sicherheits- und Datenverletzungen als Hauptursache für Server-, Betriebssystem-, Anwendungs- und Netzwerkausfallzeiten[4]. Wenn das Netzwerk aufgrund eines Denial-of-Service-Angriffs (DoS) nicht verfügbar ist oder Daten durch einen Ransomware-Vorfall verschlüsselt werden, läuft das Messgerät. Laut der ITIC-Umfrage belaufen sich die durchschnittlichen Kosten einer Stunde Ausfallzeit bei 91 % der Unternehmen auf über 300.000 Dollar[5]. Ein weltweit tätiger Bekleidungshersteller gab bekannt, dass er durch einen Ransomware-Angriff 100 Millionen Dollar an Umsatz verloren hat, weil er während der wichtigen Schulanfangssaison keine Bestellungen mehr ausführen konnte.[6]

Es ist daher logisch, dass versierte Cybersicherheits- und IT-Führungskräfte Investitionen, die Netzwerke, Systeme und Daten am Netz halten und einen unterbrechungsfreien Geschäftsbetrieb ermöglichen, für das Unternehmen interessant machen können. Sechs von zehn der leistungsstärksten Cybersicherheitsunternehmen gaben in der Deloitte-Umfrage an, dass ihre Cyber-Initiativen ihre operative Stabilität verbessert haben[7].

Reduzierte Betriebskosten

Je schneller eine Sicherheitsverletzung eingedämmt und behoben wird, desto geringer sind die finanziellen Auswirkungen. Während es im Durchschnitt 277 Tage dauert, eine Sicherheitsverletzung einzudämmen, kosten diejenigen, die in weniger als 200 Tagen gestoppt werden konnten, durchschnittlich 1,12 Millionen Dollar weniger.[8] Neben den Kosten für die Aufräumarbeiten nach einer Sicherheitsverletzung können Unternehmen nach einem Angriff eine ganze Reihe zusätzlicher Kosten verursachen. Der Bericht "The Cost of a Data Breach" (Die Kosten einer Datenschutzverletzung ) ergab, dass 60 % der Unternehmen, die von einer Datenschutzverletzung betroffen waren, infolgedessen die Preise für ihre Produkte oder Dienstleistungen erhöhen mussten.[9]

Die Aufsichtsbehörden sind zunehmend bereit, Geldstrafen gegen Unternehmen zu verhängen, die beim Schutz ihrer Daten nachlässig sind.[10] Und im Falle von Datenschutzverletzungen, die die Öffentlichkeit betreffen, folgen in der Regel Sammelklagen; sogar die American Bar Association wurde wegen einer Datenschutzverletzung verklagt[11]. Darüber hinaus können die Cyberversicherungsprämien, die ohnehin im Aufwind sind, nach einem Vorfall steigen[12].

Die Vermeidung dieser beträchtlichen Kosten kann die Grundlage für ein solides finanzielles Argument für Investitionen in wirksame und schnelle, vorzugsweise automatisierte Abwehr- und Abhilfemaßnahmen bilden. 

Markenreputation und Kundenvertrauen
Kurzfristig ist dies weniger quantifizierbar, aber langfristig kann es sich bemerkbar machen, wenn Kunden und Partner ein Unternehmen meiden, bei dem eine Sicherheitsverletzung aufgetreten ist. Die Mimecast-Umfrage zum Markenvertrauen ergab, dass etwa sechs von zehn Verbrauchern das Vertrauen in ihre Lieblingsmarke verlieren würden, wenn ihre Daten durch eine Datenschutzverletzung kompromittiert würden, und mehr als die Hälfte (57 %) würde im Falle eines Phishing-Angriffs ihre Ausgaben für diese Marke einstellen. Nur ein schlechter Kundenservice oder eine Umweltkatastrophe schreckt mehr Verbraucher ab; selbst ein Skandal, der den CEO des Unternehmens betrifft, hätte nicht annähernd so negative Auswirkungen auf den Ruf des Unternehmens, so der Bericht Cost of a Data Breach, der errechnet hat, dass die Kundenabwanderung nach einer Datenschutzverletzung um bis zu 7 % steigen kann.[13]

Auf der anderen Seite gaben in der Deloitte-Umfrage mehr als 60 % der leistungsstarken Cybersicherheitsunternehmen an, dass sich ihre Cyberinitiativen positiv auf den Ruf der Marke (64 %), das Vertrauen der Kunden und die Wirkung der Marke (62 %) sowie das digitale Vertrauen bei Kunden und Mitarbeitern (62 %) auswirken. Es liegt auf der Hand, dass ein wirksamer Schutz der Cybersicherheit nicht nur den Ruf eines Unternehmens schützt, sondern auch sein Ansehen bei Kunden und Partnern steigern kann.

Aktienkurs

Nicht nur der Verlust des Ansehens kann ein Unternehmen treffen. Cyber-Vorfälle können auch die Position des Unternehmens auf den Finanzmärkten beeinträchtigen. Eine Studie hat ergeben, dass die Aktien börsennotierter Unternehmen in den Monaten nach einer Datenschutzverletzung einen Kursrückgang verzeichnen[15]. In dem Deloitte-Bericht wird die umgekehrte Wirkung einer wirksamen Cyberabwehr festgestellt. Fast die Hälfte (47 %) der Unternehmen mit hoher Cybersicherheitsreife gab an, dass sich ihre Cyberinitiativen positiv auf ihren Aktienkurs auswirkten[16].

Kredit-Ratings

Die meisten großen Rating-Agenturen berücksichtigen inzwischen die Cybersicherheit bei der Bewertung des Kreditrisikos eines Unternehmens, was wiederum die Möglichkeit zur Aufnahme von Krediten und zur Ausgabe von Anleihen zur Finanzierung des Geschäftsbetriebs sowie die Kosten für die Aufnahme dieser Schulden bestimmt. Analysten großer Ratingagenturen haben Unternehmen und Regierungsbehörden nach Cyberangriffen herabgestuft, weil die finanziellen Auswirkungen des Vorfalls oder die Unfähigkeit des Unternehmens, Informationen zur Verfügung zu stellen, zu Ausfällen geführt haben[17].

Einnahmen, Widerstandsfähigkeit und Agilität

Eine robuste Cybersicherheit kann auch einen messbaren Einfluss auf das Umsatzwachstum haben. Der IBV-Bericht stellte fest, dass ausgereifte Cybersicherheitsunternehmen über fünf Jahre hinweg ein um 43 % höheres Umsatzwachstum verzeichneten als die am wenigsten ausgereiften Cybersicherheitsunternehmen. Ebenso gab in der Deloitte-Umfrage fast die Hälfte (47 %) der Befragten in Unternehmen mit hoher Cybersicherheitsreife an, dass sich ihre Cyber-Investitionen positiv auf das Umsatzwachstum auswirkten.[18] Darüber hinaus berichteten 59 % derselben Befragten über positive Auswirkungen auf die Agilität und 57 % über eine größere Widerstandsfähigkeit.

Cyber- und Geschäftsstrategie aufeinander abstimmen 

Es ist an der Zeit, Cybersicherheit als einen Wachstumsfaktor für Unternehmen zu sehen und nicht mehr als defensive Geschäftskosten. Auch wenn die Quantifizierung manchmal schwierig ist, kann die Cybersicherheit den Entscheidungsträgern als eine Geschäftsinvestition mit echtem Gewinn präsentiert werden. Sicherheits- und Technologieverantwortliche müssen klar kommunizieren, welche entscheidende Rolle die Cybersicherheitsstrategie im Geschäftsbetrieb spielt, um eine kontinuierliche Unterstützung zu gewährleisten. 

Wie der CISO eines großen Schuhherstellers erläuterte, sollte jede Entscheidung, die sein Team im Bereich der Cybersicherheit trifft, mit der Geschäftsstrategie übereinstimmen, da das Unternehmen im Schuhgeschäft und nicht im Sicherheitsgeschäft tätig ist. Zu diesem Zweck stellt er sich immer die Frage: "Investiere ich nur zu Sicherheitszwecken oder wird es tatsächlich einen Mehrwert für die Geschäftsziele bringen?"

Die Quintessenz

Der Zusammenhang zwischen Cyber-Initiativen und positiven Geschäftsergebnissen wird immer deutlicher. Die Überzeugung, dass Cybersicherheit und Risikomanagement zu positiven Geschäftsergebnissen beitragen, kann Unternehmen nur dabei helfen, sowohl in Bezug auf die Cybersicherheitsreife als auch auf die allgemeine Unternehmensleistung zu wachsen. Lesen Sie Mimecasts Behind the Screens: The Board's Evolving Perceptions of Cyber Risk (Die sich entwickelnde Wahrnehmung von Cyber-Risiken durch den Vorstand ), um mehr über die Rolle des Vorstands bei der Verwaltung von Cyber-Risiken zu erfahren und darüber, wie Sicherheitsexperten die Vorstandsmitglieder über die Auswirkungen der Cybersicherheit auf die Geschäftsergebnisse aufklären.

[1 ] "Cost of a Data Breach Report 2022", IBM Security/Ponemon Institute 

[2 ] "Prosper in the Cyber Economy", Bericht des IBM Institute for Business Value 

[3 ] "2023 Global Future of Cyber Survey", Deloitte 

[4 ] "ITIC's latest 2022 Global Server Hardware Security survey", Information Technology Intelligent Consulting

[5 ] "Durchschnittliche Kosten der Ausfallzeit pro Branche", SolarWinds Pingdom 

[6 ] "Ransomware-Angriff kostet Hanesbrands 100 Millionen Dollar Umsatz", Winston-Salem Journal

[7 ] "2023 Global Future of Cyber Survey", Deloitte

[8 ] "Cost of a Data Breach Report 2022", IBM Security/Ponemon Institute 

[9 ] "Cost of a Data Breach Report 2022", IBM Security/Ponemon Institute 

[10] "Geldstrafen für Datenschutzverletzungen steigen", Accounting and Business Magazine

[11] "American Bar Association: Sammelklage behauptet, dass 1,3 Millionen Mitglieder von Datenschutzverletzungen betroffen sind", Top Class Actions,

[12] "US-Cyber-Versicherer sehen günstiges Prämienwachstum, Ergebnisse im Jahr 2023", Fitch Ratings

[13 ] Bericht über die Kosten einer Datenpanne 2022, IBM Security/Ponemon Institute 

[14 ] "2023 Global Future of Cyber Survey", Deloitte

[15] "Wie sich Datenschutzverletzungen auf Börsenkurse auswirken", Comparitech-Blog

[16 ] "2023 Global Future of Cyber Survey", Deloitte

[17] "Kredit-Rater schauen sich genauer an, wie Unternehmen auf Cyberattacken reagieren", WSJ.com 

[18 ] "2023 Global Future of Cyber Survey", Deloitte