Gastkommentar: Der Preis der IT-Sicherheit

Viele Unternehmen glauben, sie werden schon nicht Opfer eines Cyberangriffs werden. Doch sie irren! Investitionen in IT-Sicherheit seien in gleich mehrerer Hinsicht gut angelegtes Geld, sagt Diethelm Siebuhr, Geschäftsführer von Nexinto.

Diethelm Siebuhr, Geschäftsführer von Nexinto
(Foto: Nexinto)

Maßnahmen zur IT-Sicherheit sind nicht zwangsläufig mit großen Investitionen verbunden. Angesichts möglicher Schäden rentiert sich ein Sicherheitskonzept für die IT schnell. Unternehmen sollten ihre IT-Sicherheitsrisiken kennen und eine individuelle Kosten-Nutzen-Rechnung aufstellen.

Nach wie vor fühlen sich manche Unternehmen nicht ernsthaft von dem Risiko, Opfer eines Cyberangriffs zu werden, betroffen. Jüngste Zahlen des Branchenverbandes Bitkom zeigen allerdings: Es hat bereits jedes zweite Unternehmen erwischt. Investitionen in IT-Sicherheit sind in vielerlei Hinsicht gut angelegtes Geld: Kommt es zu einem Sicherheitsvorfall, ist die Bandbreite potenzieller Folgen sehr weit gesteckt. Sie reicht vom Verlust von Daten bis hin zur existenziellen Bedrohung durch Produktions- und Betriebsausfälle. Nachgelagert zu einem Cyberangriff kommen dann unter Umständen Regressforderungen von Kunden und Partnern, Bußgelder, Imageschäden und so weiter auf ein Unternehmen zu. Das summiert sich schnell: 3,42 Millionen Euro – so viel kostet laut einer Studie des Ponemon Instituts durchschnittlich eine Datenpanne in Deutschland.

Eines der häufigsten Angriffsszenarien auf Unternehmen sind neben Ransomware vor allem Distributed-Denial-of-Service-Attacken (DDoS). Besonders für Webshop-Betreiber sind solche Angriffe, die ihre IT-Infrastruktur lahmlegen, schmerzhaft. Statt tausender eingehender Bestellungen herrscht Stillstand. Ein effektiver DDoS-Schutz erfordert hingegen keine großen Investitionen. Gemessen an den Gesamtkosten für den Betrieb einer State-of-the-Art-Webshop-Plattform ist das vergleichsweise wenig: Hier macht ein solcher Schutz nur ein bis zwei Prozent der Betriebskosten aus. Unternehmen sollten daher für sich eine eigene Kosten-Nutzen-Rechnung aufstellen – inklusive Risikobewertung der eigenen IT-Landschaft.