Sicherheitsvorfälle bei Drittanbietern sind die teuersten Datenschutzverletzungen für Unternehmen

Unternehmen sind immer häufiger von Cybersicherheitsvorfällen bei Lieferanten betroffen, mit denen sie Daten austauschen, wie der aktuelle IT Security Economics Report von Kaspersky zeigt [1]. Die durchschnittlichen finanziellen Auswirkungen eines Vorfalles für ein Großunternehmen in Europa beliefen sich im vergangenen Jahr auf zwei Millionen US-Dollar und sind damit die kostspieligste Art von Vorfällen.

Geschäftsdaten sind in der Regel über mehrere Drittparteien verteilt, darunter Dienstleister, Partner, Lieferanten und Tochtergesellschaften – weswegen Cyberkriminelle immer öfter genau diese attackieren. Daher müssen Unternehmen nicht nur die Cybersicherheitsrisiken berücksichtigen, die ihre eigene IT-Infrastruktur betreffen, sondern auch solche, die von außerhalb des eigenen Unternehmens kommen können.

Laut der Kaspersky-Umfrage war mehr als ein Viertel (28 Prozent) der großen Unternehmen in Europa von Angriffen auf Daten betroffen, die mit Zulieferern geteilt wurden. Diese Zahl hat sich seit dem Jahr 2020 (damals lag sie bei 29 Prozent) nicht wesentlich verändert. Auch die finanziellen Auswirkungen sind die gleichen wie im Vorjahr, nämlich zwei Millionen Dollar.

Das Angriffsszenario hat sich verändert

Die meisten anderen Angriffsarten weisen geringere finanzielle Auswirkungen auf, darunter der physische Verlust unternehmenseigener Geräte (1,2 Millionen US-Dollar), Kryptomining-Angriffe (1,2 Millionen US-Dollar) oder die falsche Nutzung von IT-Ressourcen durch Mitarbeiter (1,2 Millionen US-Dollar).

So beliefen sich die durchschnittlichen finanziellen Auswirkungen eines Angriffs bei einem europäischen Unternehmen auf 1,1 Millionen US-Dollar im Jahr 2021 gegenüber 839.000 US-Dollar im Jahr 2020. Im internationalen Vergleich gingen diese jedoch zurück: von 1,09 Millionen US-Dollar im Jahr 2020 auf 927.000 US-Dollar im Jahr 2021. Der mögliche Grund dafür ist, dass sich die getätigten Investitionen in Präventions- und Eindämmungsmaßnahmen für die Unternehmen nun bezahlt machen. Möglicherweise wurden die durchschnittlichen Kosten aber auch dadurch beeinflusst, dass die Wahrscheinlichkeit, dass Unternehmen in diesem Jahr Datenschutzverletzungen meldeten, gesunken ist: laut der Kaspersky-Umfrage vermieden es 41 Prozent in Europa dies zu tun, während es 2020 lediglich 33 Prozent waren. Finanziell anfällige Unternehmen scheuten möglicherweise den Zeit- und Kostenaufwand für eine strafrechtliche Untersuchung oder den eventuellen Imageschaden durch einen öffentlich bekannt gemachten Verstoß.

Sicherheitsanforderungen auf Zulieferer ausweiten

„Die schwere der Angriffe macht deutlich, dass Unternehmen bei der Bewertung der eignen Cybersicherheitsanforderungen das Risiko eines Verstoßes gegen das Datenschutzgesetz berücksichtigen müssen, wenn sie Daten mit Zulieferern teilen“, kommentiert Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Unternehmen sollten ihre Zulieferer nach der Art ihrer Arbeit und der Komplexität des, den sie erhalten, einstufen – unabhängig davon, ob sie mit sensiblen Daten und Infrastrukturen zu tun haben oder nicht – und die Sicherheitsanforderungen entsprechend umsetzen. Sie müssen sicherstellen, dass sie Daten nur mit zuverlässigen Dritten teilen und ihre schon bestehenden Sicherheitsanforderungen auf Zulieferer ausweiten. Im Falle von sensiblen Daten oder Informationen bedeutet dies, dass alle Unterlagen und Zertifizierungen – wie etwa SOC2 – von Lieferanten angefordert werden sollten, um zu bestätigen, dass diese auch auf diesem Niveau arbeiten. In sehr sensiblen Fällen empfehlen wir darüber hinaus, vor der Unterzeichnung eines Vertrages ein vorläufiges Compliance-Audit eines Lieferanten durchzuführen.“

Um das Risiko von Angriffen und Datenschutzverletzungen für Unternehmen zu minimieren, sollte ein effektiver Endpunktschutz mit Endpoint-Detection-and-Response-Funktionen implementiert werden. Darüber hinaus helfen Managed Protection Services wie Kaspersky Managed Detection and Response [2] Unternehmen bei der Untersuchung von und Reaktion auf Angriffe. Diese wesentliche Ebene des Endpunktschutzes ist im Kaspersky Optimum Security Framework enthalten. Für Unternehmen mit einer ausgereiften IT-Sicherheitsfunktion bietet Kaspersky Expert Security zusätzlich Anti-APT, die neueste Threat Intelligence und speziell darauf zugeschnittene professionelle Schulungen.

Weitere Informationen über IT-Sicherheitskosten und -Budgets von Unternehmen im Jahr 2021 sind mit dem interaktiven Kaspersky IT Security Calculator unter https://calculator.kaspersky.com/de verfügbar.

Der vollständige Bericht „IT Security Economics 2021: Managing the trend of growing IT complexity" steht unter https://calculator.kaspersky.com/app/report?utm_source=press-release&utm_medium=partner&utm_campaign=gl_economics_kk0084&utm_content=link&utm_term=gl_press-release_organic_qf843gbn2cxrduy zur Verfügung. 

[1] https://calculator.kaspersky.com/app/report?utm_source=press-release&utm_medium=partner&utm_campaign=gl_economics_kk0084&utm_content=link&utm_term=gl_press-release_organic_qf843gbn2cxrduy

[2] https://www.kaspersky.de/enterprise-security/managed-detection-and-response

Nützliche Links:

• Kaspersky-Studie „IT Security Economics 2021: Managing the trend of growing IT complexity": https://calculator.kaspersky.com/app/report?utm_source=press-release&utm_medium=partner&utm_campaign=gl_economics_kk0084&utm_content=link&utm_term=gl_press-release_organic_qf843gbn2cxrduy
• Kaspersky Managed Detection and Response: https://www.kaspersky.de/enterprise-security/managed-detection-and-response
• Kaspersky IT Security Calculator: https://calculator.kaspersky.com/de