Cyberangriffsanalyse: Höhere Kosten durch GenAI-Attacken

Foto: Smile Studio AP – shutterstock.com

Bei einer Umfrage des Cybersicherheitsanbieters Barracuda gaben mehr als die Hälfte der Teilnehmer an, dass Cyberangriffe im Jahr 2023 ausgefeilter (62 Prozent), schwerwiegender (55 Prozent) und gezielter (52 Prozent) waren als zuvor. Als Grund nannten die Teilnehmer, dass die Angreifer auf generative KI umgestiegen sind.

Für die Studie wurden insgesamt 1.917 IT-Sicherheitsexperten in Unternehmen mit einer Mitarbeiterzahl zwischen 100 und 5.000 Personen befragt. Die in die Umfrage einbezogenen Länder sind die USA, das Vereinigte Königreich, Frankreich, Deutschland und Australien.

Mehr Cyberangriffe durch GenAI-Einsatz

Die Hälfte der Befragten befürchtet, dass eine fortschrittliche Technologie wie GenAI die Hackzeit erheblich verkürzt, und sich damit die Zahl der Angriffe enorm erhöhen könnte. Doch für Michael Sampson, Analyst bei Osterman Research, ist das zu wenig: “Fast alle hätten diese Aussage bejahen müssen. Die Umfrageteilnehmer scheinen die Rolle von GenAI für Hacker aktuell noch nicht ernst genug zu nehmen.”

Zudem waren nur 39 Prozent der Unternehmen der Meinung, dass ihre Sicherheitsinfrastruktur ausreichend vor GenAI-gestützten automatisierten Angriffen schützt.

Kosten für die Behebung von Cyberattacken steigen

Darüber hinaus offenbaren die Studienergebnisse, dass ausgefeiltere Angriffe mehr Zeit und Ressourcen beanspruchten, um deren Auswirkungen zu beseitigen. Das trieb die durchschnittlichen jährlichen Behebungskosten in die Höhe. Die Kosten für IT-Schäden, technischen Support, Forensik und Kundenservice beliefen sich demnach im Durchschnitt auf 2,98 Millionen US-Dollar.

Weitere durchschnittlich 2,36 Millionen Dollar fielen für Betriebsunterbrechungen an, so dass sich die durchschnittlichen jährlichen Gesamtkosten für die Reaktion auf Sicherheitsverletzungen auf 5,34 Millionen Dollar beliefen.

Während 71 Prozent der Befragten angaben, 2023 einen Ransomware-Angriff erlebt zu haben, zahlten 61 Prozent tatsächlich das Lösegeld. Die durchschnittliche Lösegeldsumme, die für einen Ransomware-Angriff gezahlt wurde, betrug 1,38 Millionen US-Dollar.

Außerdem gaben 48 Prozent der Befragten an, dass sie im vergangenen Jahr in irgendeiner Form von Datenverletzungen betroffen waren. Das führte im Durchschnitt zu einem Verlust von 340.267 individuellen Datensätzen für ein Unternehmen. Die Hauptursachen für die Datenschutzverletzungen waren Viren oder andere Malware (49 Prozent) und Fehler Dritter (45 Prozent).

Zu den Gründen, warum sich Unternehmen nicht ausreichend auf Angriffe vorbereiten, gehören unzureichende Sicherheitsbudgets (55 Prozent), inkonsistente unternehmensweite Sicherheitsrichtlinien (42 Prozent), mangelnde Transparenz in Bezug auf Dritte mit sensiblem Zugang (38 Prozent), unzureichende Netzwerk- und Anwendungstransparenz (37 Prozent) und Herausforderungen bei der Sicherheit der Lieferkette (32 Prozent).

“Die Liste der Gründe, warum sich Unternehmen unvorbereitet fühlen, könnte eine Art Fahrplan zur Verbesserung der Sicherheit darstellen”, so Sampson von Ostermann Research. “Die Suche nach Möglichkeiten zur Verbesserung der Konsistenz der unternehmensweiten Sicherheitsrichtlinien und -programme wäre ein guter Anfang, ebenso wie die Transparenz der Netzwerke und Anwendungen des Unternehmens.”

“Sowohl dieser Bericht als auch der IBM-Bericht Cost of Data Breach (Kosten von Datenschutzverletzungen) von 2023 beziffern die Kosten eines Cybervorfalls auf oder um die 5-Millionen-Dollar-Marke herum”, fügt der Experte hinzu. “Die Tatsache, dass mehrere Studien ähnliche Zahlen nennen, erhöht die Dringlichkeit für Unternehmen, sicherzustellen, dass sie nicht zu Opfern werden.”

“Der verstärkte Fokus auf die Digitalisierung, das schnellere Tempo der technologischen Innovation, verteilte oder hybride Systeme, die zunehmende Raffinesse von Cyberangriffen und das mangelnde Bewusstsein für Cybersicherheit führen zu einer steigenden Zahl von Cyberangriffen”, erklärt IDC-Vizepräsident Sharath Srinivasamurthy.

Studien zufolge zählten Denial of Service (52 Prozent), Phishing/Social Engineering (48 Prozent) und Diebstahl von Zugangsdaten (41 Prozent) zu den häufigsten Angriffsarten 2023, wobei manchmal auch eine Kombination aus allen drei Arten vorkam. (jm)