Beginnen wir mit einer Zahl, um die Bedeutung der Sicherheitslücken zu ermessen: 2021 haben 54 % der französischen Unternehmen angegeben, Opfer von ein bis drei Cyberangriffen geworden zu sein[1]. Eine besonders alarmierende Zahl, da seit Beginn der Pandemie fast 58 % der Unternehmen der Ansicht sind, dass sie durch das Homeoffice für Cyberangriffe anfälliger geworden sind[2].
Die Hacker werden nicht nur immer einfallsreicher, um noch komplexere Angriffe auszuführen, sei es aus finanziellen oder politischen Motiven, sie haben es auch auf sehr unterschiedliche Unternehmen abgesehen. Eines steht fest: Von der multinationalen Bankengruppe bis hin zum kleinen Bauunternehmen ist niemand vor einem Cyberabgriff gefeit.
Nicht alle Branchen sind jedoch gleichermaßen betroffen. Trotz einer allgemein steigenden Tendenz halten bestimmte Unternehmen Cyberangriffen besser stand als andere. Die Tatsache, dass eine Reihe von Hackern gezielt bestimmte Aktivitätssektoren aufgrund ihrer Anfälligkeit für Cyberangriffe auswählen, ist nicht weiter überraschend.
Die am häufigsten betroffenen Branchen
Der Gesundheitssektor bewahrt seine Spitzenposition
Unter den sensiblen Daten spielen Gesundheitsdaten eine wichtige Rolle. In seinem Bericht 2021 zu den Kosten einer Datenschutzverletzung (Cost of a Data Breach Report 2021) weist IBM darauf hin, dass der Gesundheitssektor am stärksten von Sicherheitslücken betroffen ist. Mit durchschnittlichen Kosten von 9,23 Millionen Dollar pro Vorfall bewahrt dieser Sektor seine traurige Spitzenposition zum dritten Mal in Folge. Ein aktuelles Beispiel zeigt die Herausforderungen dieses Sektors. 2020 war das medizinische Zentrum der University of Vermont (UVM) Opfer eines großangelegten Cyberangriffs. Mehrere Tage lang hatte das Personal keinen Zugriff mehr auf die Termine der Patienten. Auch wenn das Zentrum nie ein Lösegeld gezahlt hat, werden die Kosten für diesen Cyberangriff auf 50 Millionen Dollar geschätzt[3].
Der Finanzsektor, ein bevorzugtes Angriffsziel
An zweiter Stelle stand 2021 der Finanzsektor mit durchschnittlichen Kosten in Höhe von 5,72 Millionen Dollar. Der Finanzsektor weist aufgrund seiner zunehmenden Digitalisierung eine Fülle an sensiblen Daten auf und stellt daher eine bevorzugte Zielscheibe für Cyberangriffe dar. Die Sicherheitsbeauftragten von Mastercard haben in der New York Times erklärt, dass sie mit mehr als „460 000 Eindringversuchen pro Tag zu tun haben, das sind 70 % mehr als noch vor einem Jahr[4]“.
Diese beeindruckenden Zahlen erklären die bedeutenden Investitionen in diesem Sektor. Finanzinstitute wenden nach Angaben von Deloitte im Durchschnitt 0,3 % ihres Umsatzes und 10 % ihres IT-Budgets für die Cybersicherheit auf[5].
Pharmaindustrie und neue Technologien stark exponiert
Im gleichen Bericht stehen an dritter und vierter Stelle die Pharmaindustrie und der Technologiesektor mit durchschnittlichen Kosten für Datenschutzverletzungen in Höhe von 5,04 Millionen bzw. 4,88 Millionen. Allgemein gelingt es den Industriesektoren, die strengen Gesetzesvorschriften unterliegen, am besten, Cyberangriffe abzuwehren, auch wenn sich die Anzahl dieser Angriffe stetig erhöht.
Die Branchen, die am besten abschneiden
Der öffentliche Sektor – ein Musterschüler
Die Unternehmen des öffentlichen Sektors, insbesondere solche, deren Tätigkeit mit strategischen Aktivitäten des Staates in Verbindung steht (Verteidigung, Transport etc.), schneiden in der Rangliste mit durchschnittlichen Kosten für Sicherheitslücken von „nur“ 1,93 Millionen Dollar weitaus besser ab. Das lässt sich dadurch erklären, dass diese Organisationen eher politische als finanzielle Zielscheiben darstellen.
Betreiber wesentlicher Dienste und Akteure von entscheidender Bedeutung: größere Reife
Man könnte meinen, dass eine Reihe privater Unternehmen, die den Status OSE (Betreiber wesentlicher Dienste) oder OIV (Akteure von entscheidender Bedeutung) haben, eine größere Reife in Bezug auf die Cybersicherheit erworben haben. Denn diese Akteure sind kontinuierlich allen Arten von Cyberbedrohungen ausgesetzt. Unter den fünfzehn Sektoren mit dem Status OSE findet man Unternehmen aus dem Versicherungs- und Energiesektor. Aufgrund der negativen Auswirkungen, die eine Unterbrechung ihrer Serviceleistung auf nationaler Ebene haben könnte, müssen einige dieser Einrichtungen nunmehr bestimmte Anforderungen im Hinblick auf ihre IT-Systeme und Netzwerke erfüllen.
Diese Verpflichtung zur Cybersicherheit erklärt, warum der Energiesektor seine Position vom zweiten auf den fünften Platz verbessert hat: Seine Kosten sind von 6,39 Millionen Dollar im Jahr 2020 auf 4,65 Millionen Dollar im Jahr 2021 gesunken (eine Verringerung um 27,2 %). In Frankreich ist die IT-Sicherheitsbehörde ANSSI mit der Leitung des Bereichs Cybersicherheit dieses Mechanismus beauftragt und begleitet die OIV bei der Umsetzung der neuen Maßnahmen.
Das Hotel- und Gaststättengewerbe sowie die Medien sind bislang verschont geblieben, aber ein Aufwärtstrend ist nicht zu leugnen
Nach Angaben des gleichen Berichts sind die letzten Branchen, denen es gelungen ist, ihre durchschnittlichen Kosten aufgrund von Sicherheitslücken auf 3,03 Millionen bzw. 3,17 Millionen Dollar zu begrenzen, das Hotel- und Gaststättengewerbe und die Medien. Diese Zahl ist allerdings differenziert zu betrachten, da auch in diesen beiden Sektoren die Tendenz steigend ist.
Auch wenn einige Sektoren dank einer größeren Reife ihrer Cybersicherheitsmaßnahmen oder Investitionskapazitäten auf diesem Gebiet den Cyberrisiken besser als andere standhalten, sieht sich doch die überwältige Mehrheit der Sektoren mit einer steigenden Anzahl von Cyberangriffen konfrontiert, unabhängig von der Größe des Unternehmens oder seiner geografischen Lage.
Daher erscheint es umso wichtiger, auf große Sensibilisierungskampagnen zu bewährten Vorgehensweisen zu setzen, weiter in die Cybersicherheit zu investieren, um dem Problem vorzubeugen statt bereits aufgetretene Vorfälle zu beheben, und regelmäßig Maßnahmen zur Identifizierung der Schwächen und Risiken durchzuführen.
