EU-Sicherheitsbehörde ENISA will Kosten von Cyber-Angriffen realistisch ermitteln

Angriffe auf kritische Informationsinfrastrukturen gelten als globale Bedrohungen für ganze Staaten und Industriezweige. Wie groß die tatsächlichen Schäden sind, ist jedoch schwierig zu bewerten. Das hat die EU nun mit einer Meta-Studie versucht.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
ENISA: Kosten von Cyber-Angriffen
Lesezeit: 2 Min.
Von
  • Jürgen Diercks

Die ENISA (European Union Agency for Network and Information Security) mit Sitz in Heraklion, Kreta, hat zahlreiche Studien, die sich mit den wirtschaftlichen Auswirkungen von Angriffen auf gesellschaftlich relevante IT-Infrastrukturen beschäftigen, systematisch überprüft. Eine Nichtverfügbarkeit dieser Ressourcen würde die Gesellschaft als Ganzes schwächen. Dazu gehört etwa der Finanzsektor, die Energie- und Wasserversorgung, das Gesundheitssystem sowie die öffentliche Verwaltung.

Laut der Metastudie ist die größte Herausforderung für Entscheidungsträger in Politik und Unternehmen, die Vorfälle in Bezug auf nationale oder EU-weite wirtschaftliche Auswirkungen richtig einzuordnen. Die Untersuchung soll auf Grundlage von öffentlichen Quellen eine gute Schätzung liefern.

Denn die zahlreichen bisher erschienenen Studien sind kaum vergleichbar. Sie beschäftigen sich in der Regel nur mit einzelnen Aspekten und deren Auswirkungen auf bestimmte Segmente oder Branchen. Zudem gibt es keinerlei verallgemeinerbare Kriterien für das Durchführen solcher Analysen.Während einige die jährlichen wirtschaftlichen Auswirkungen pro Land zeigen, errechnen andere die Kosten pro Vorfall oder pro Organisation. Darüber hinaus legen einige Studien realen Kosten zugrunde, andere arbeiten mit Hochrechnungen. Trotz des Mangels an vergleichbaren Studien hat die systematische Überprüfung laut ENISA doch einige bemerkenswerte Ergebnisse zu Tage gefördert.

Danach entstehen die höchsten Verluste in der Finanzindustrie, der Informations- und Kommunikationswirtschaft sowie bei den Energieversorgern. Als häufigste Bedrohungenin diesen Branchen haben die Forscher DoS/DdoS-Attacken (Distributed Denial of Service) und böswillige Insider ausgemacht. Letztere sind auch oft in der öffentlichen Verwaltung und in Regierungsstellen unterwegs. Die Angriffe von innen richten die größten Schäden an, gefolgt von DdoS- und webbasiertenVersuchen, IT-Infrastruktur zu schwächen oder zu zerstören.

Einige EU-Länder verlieren demnach bis zu 1,6 Prozent ihres Bruttoinlandsozialprodukts durch solche Aktivitäten. Andere Studien erwähnen Zahlen wie 425.000 Euro bis 20 Millionen Euro (Deutschland) pro Unternehmen pro Jahr. (jd)