5 kostspielige Folgen der Cyberkriminalität von KMU
Kriminelle, die Daten stehlen oder den Handel stören wollen, greifen nicht nur große Unternehmen an. Kleine und mittlere Unternehmen (KMU) sind in der Tat ein ebenso attraktives Ziel.
Im Jahr 2013 gab es etwa
KMUs in den USA, von denen zwei Drittel etwa 7,5 Billionen US-Dollar zur US-Wirtschaft beitrugen. Dies macht sie zu einem lukrativen und anfälligen Opfer für Cyberkriminelle, nur weil viele von ihnen nicht aufpassen.
Verbrechen, die über das Internet begangen werden, lassen sich in zwei große Kategorien einteilen: Informationsdiebstahl und digitaler Vandalismus. Diebstahl umfasst Finanzinformationen, Produkt- oder strategische proprietäre Informationen, Kundendatensätze und Transaktionshistorien. Einmal gestohlen, werden diese Informationen verwendet, um entweder direkt Geld von der SMB oder ihren Kunden zu stehlen, oder sie werden an andere Kriminelle verkauft.
Phishing ist eine Form des Informationsdiebstahls, der einen Benutzer dazu verleitet, vertrauliche Informationen wie Passwörter oder Kreditkartennummern preiszugeben, indem er sich als vertrauenswürdige Entität tarnt. Digitaler Vandalismus umfasst Denial-of-Service-Angriffe (DoS), Viren oder andere Arten von Malware, die häufig nur dazu dienen, ein Unternehmen zu stören. Alle Formen von Cyberkriminalität verursachen schädliche Kosten.
Bewertung der Kosten für kleinere Unternehmen
Für ein kleines Unternehmen kann der Diebstahl von Kundeninformationen den Betrieb lahmlegen oder ein Unternehmen aus dem Geschäft bringen. Ein einzelner Vorfall, der den Ruf eines Unternehmens schädigt oder die Integrität seines elektronischen Geschäfts beeinträchtigt, kann zu nicht behebbaren Verlusten führen.
Die durchschnittlichen direkten Kosten für ein kleines Unternehmen für einen
, aber das schließt Markenschäden und andere weiche Kosten aus. KMU verursachen fast das Vierfache der Pro-Kopf-Kosten für Cyberkriminalität gegenüber größeren Unternehmen,
.
Für viele KMU können sich diese Kosten als fatal erweisen. Eine
zeigte, dass 36 Prozent der Cyber-Angriffe gegen KMU durchgeführt werden. Davon gehen bis zu 60 Prozent innerhalb von sechs Monaten nach einem Angriff aus dem Geschäft. Dennoch glauben 77 Prozent der KMU-Eigentümer, dass ihre Unternehmen vor Cybersicherheitsverletzungen sicher sind.
Cyberkriminalität ist ein bedauerlicher Nebeneffekt des Informationszeitalters. Wo einst physische Güter oder Bargeld den gesamten Wert enthielten, auf den Diebe abzielten, haben Informationen heute einen noch größeren Wert. Unternehmen müssen fleißig sein, um sich vor elektronischem Diebstahl zu schützen. KMU müssen ihre potenzielle Gefährdung durch Cyberkriminalität bewerten und Maßnahmen ergreifen, um Angriffe zu verhindern und abzuwehren.
Obwohl sich die genauen Kosten eines Angriffs je nach Größe eines KMU und den Umständen dieses Angriffs unterscheiden, beschreiben die folgenden Abschnitte die Arten von Kosten, die einem KMU nach einem solchen unglücklichen Ereignis entstehen könnten.
Geschäftsverlust während eines Angriffs
Eine Sicherheitsverletzung bedeutet häufig, dass der elektronische Betrieb des KMU für einen bestimmten Zeitraum eingestellt wird. Ein Online-Händler, der einem DoS-Angriff ausgesetzt ist, kann für mehrere Tage oder Wochen heruntergefahren werden, während der Ursprung des Angriffs ermittelt und Korrekturmaßnahmen ergriffen werden.
Eine Verletzung der Kundendaten, bei der Kreditkarteninformationen gestohlen wurden, würde wahrscheinlich zu einer ähnlichen Sperrung führen. Korrekturmaßnahmen hängen oft von der Reaktionsfähigkeit eines Dienstanbieters ab; eine frustrierende, zeitaufwändige und kostspielige Angelegenheit. Die Kosten werden wahrscheinlich für mindestens mehrere Tage zu Gesamteinnahmeverlusten führen.
Verlust des Unternehmensvermögens
Bankkontonummern und Passwörter, die während eines Verstoßes gestohlen wurden, können zum Diebstahl von Kontogeldern führen. KMU-Eigentümer können
, ebenso wie Verbraucherkreditkartenunternehmen. Tatsächlich verliert ein KMU gestohlene Gelder, was dazu führen kann, dass ein Unternehmen sein Betriebskapital verliert.
Proprietäre Informationen wie Produktdesigns, Kundendatensätze, Unternehmensstrategien oder Mitarbeiterinformationen werden häufig kompromittiert oder gestohlen. Alle diese Vermögenswerte haben einen unkalkulierbaren Wert für ein Unternehmen und können daher lähmende Verluste verursachen.
Reputationsschaden
Ein weiterer Kostenfaktor, der schwer zu quantifizieren ist, ist der Reputationsschaden nach einem Angriff. Der vielbeachtete
, der 100 Millionen Kundendatensätze kompromittierte, kostete das Unternehmen nach Versicherungszahlungen rund 148 Millionen US-Dollar an direkten Barkosten. Der Schaden für den Ruf von Target wird jedoch noch lange anhalten und die Menschen zögern lassen, persönliche Informationen weiterzugeben, ihre Kreditkarten zu verwenden oder im Geschäft einzukaufen. Forrester Research schätzte, dass die Gesamtkosten von Target 1 Milliarde US-Dollar übersteigen würden.
Dieses Szenario könnte für KMU schlimmer sein. Stellen Sie sich zum Beispiel einen Resortbetreiber vor, der sich stark auf seine Website verlässt, um neue Kunden zu gewinnen, Reservierungen zu buchen und seine Marke zu pflegen. Wenn diese Website gehackt und mit schädlichen Links infiziert wird, wird sie von Suchmaschinen für längere Zeit unter Quarantäne gestellt — in einen “Sündenbehälter” gelegt, was es den Kunden erschwert, die Website zu finden.
Selbst nachdem der Betreiber den Hack behoben hat, kann es Monate dauern, bis der virtuelle Ruf des Resorts wiederhergestellt ist. Hinzu kommen Umsatzeinbußen und der gute Wille der Kunden, die während des Angriffs betroffen waren.
Rechtsstreitigkeiten
KMU werden wahrscheinlich nicht verklagt, wenn die Informationen ihrer Kunden gestohlen werden, es sei denn, sie haben keine angemessenen Schutzmaßnahmen ergriffen. Im Target-Fall reichten beispielsweise Verbraucher und die Banken, die ihre Kreditkarten hielten, Sammelklagen ein.
Im letzteren Fall entschied ein
spielte, um Hackern den Zugang zu seinem Rechenzentrum zu ermöglichen, was es den Banken ermöglichte, ihre Klagen fortzusetzen. Sicherlich ist Target kein KMU, aber ein kleines Unternehmen muss die Notwendigkeit erkennen, die Informationen seiner Kunden zu schützen. Das Ergreifen angemessener Maßnahmen (“Ausübung der Sorgfaltspflicht” in rechtlicher Hinsicht) sollte im unglücklichen Fall einer Datenverletzung Schutz vor zukünftigen Rechtsstreitigkeiten bieten.
Schutzkosten: Personal, Firewalls, Verschlüsselung und Software
Die wichtigsten Kosten der Cyberkriminalität sollten auch der erste Aufwand sein: Prävention. Unternehmen jeder Größe müssen eine Strategie zum Schutz vor Cyberkriminalität umsetzen. Für die kleinsten KMU — ein Ein-Personen-Unternehmen – könnte dies so einfach sein wie die Verwendung eines robusten Kennwortschutzes auf allen Systemen und die Verwendung einer kostengünstigen Schutzsoftware, die möglicherweise nur 50 US-Dollar pro Jahr kostet.
Für größere Unternehmen skalieren die Kosten mit der Größe. Der Einsatz von Security Information and Event Management Solutions (SIEMs), Intrusion Prevention Systems (IPSs), Network Intelligence Systems und Data Analytics kann die Kosten für Cyberangriffe erheblich senken,
.
Expertenrat: Tun Sie etwas
Das größte Risiko für einen SMB-Manager ist Untätigkeit. Das Ignorieren von Cyberkriminalität lässt es nicht verschwinden und gefährdet das Geschäft. Schutzmaßnahmen gegen Cyberkriminalität sind heute wichtiger als die Schlösser an der Haustür eines Geschäfts.
Das Versäumnis, einen elektronischen Schutzplan aufzustellen, der der Größe und dem Geschäftsmodell des KMU entspricht, ist gleichbedeutend damit, die Haustür weit offen zu lassen und einen Haufen Bargeld in Sichtweite zu haben. Lassen Sie das Geld nicht weg: Legen Sie es unter Verschluss.
Chris Janson ist Technologe mit über 25 Jahren Branchenerfahrung in den Bereichen Engineering, Marketing und Management für große und kleine Unternehmen. Er hat viele Artikel über Kommunikationsnetze und deren Verwendung in Regierung, Finanzen, Bildung und anderen Branchen veröffentlicht. Er spricht auf Branchenkonferenzen, ist Vorstandsmitglied der OpenCape Corporation und des Rural Telecom Congress und hat Kurse an der Northeastern University in Boston unterrichtet.
Ed Tittel ist seit über 30 Jahren in der IT tätig. Er ist Autor von über 100 Computerbüchern, einschließlich der Exam Cram-Reihe von Certification Prep-Titeln. Er bloggt auch regelmäßig für den IT-Wissensaustausch (“
Leave a Reply