Was Cybercrime-Attacken kosten können, musste vor wenigen Wochen der österreichisch-chinesische Flugzeugzulieferer FACC erfahren. Kriminelle attackierten die Finanzbuchhaltung des Unternehmens mit der sogenannten Fake-President-Masche, indem sie die falsche Identität eines leitenden Angestellten vorspielten und Zahlungen freischalteten.
Die Beute: 50 Millionen Euro – rund zwei Drittel von FACCs zuletzt ausgewiesenen liquiden Mitteln in Höhe von 75 Millionen Euro. Finanzchefin Minfen Gu kostete der Vorfall den Job, FACC muss die Systeme in seiner Finanzabteilung jetzt von Grund auf erneuern.
Hackerangriff kostet im Schnitt 795.000 Euro
Der FACC-Vorfall ist zwar definitiv ein teures Beispiel, aber Finanzchefs müssen sich auf erhebliche Kosten einstellen, wenn ihr Unternehmen attackiert wird. Durchschnittlich schätzen CFOs und andere Top-Manager, dass ein schwerer Angriff auf ihr Unternehmen 910.000 US-Dollar kosten würde, umgerechnet 795.000 Euro. Und 65 Prozent von ihnen sind sich „ziemlich sicher“ oder „sicher“, dass ihr Unternehmen irgendwann getroffen wird.
Das hat der IT- und Risikoberater NTT Com Security gemeinsam mit dem Marktforschungsinstitut Vanson Bourne in einer kürzlich veröffentlichten Umfrage unter 1.000 Entscheidern herausgefunden. Von den Umfrageteilnehmern kamen 200 aus Deutschland, knapp ein Fünftel waren CFOs.
Die Zahlen können je nach Unternehmensgröße stark variieren. Bei einem Unternehmen mit 1.000 bis 5.000 Mitarbeitern belaufen sich die erwarteten finanziellen Einbußen auf 1,3 Millionen Euro. Bei bis zu 999 Angestellten nur noch auf 320.000 Euro.
Auch in einigen Branchen können die Kosten deutlich über dem Schnitt liegen. Unternehmen aus dem Einzelhandel-, Logistik- und dem Transportumfeld rechnen mit Kosten von überdurchschnittlich hohen 900.000 Euro. Konzerne aus dem IT-Segment trifft es noch härter: Sie kostet ein Cyberangriff im Schnitt sogar 2,4 Millionen Euro. Das ist kein Wunder: Ihre Geschäftsmodelle hängen stark von der Sicherheit ihrer Systeme ab.
CFOs müssen Anwalts- und Compliance-Kosten bedenken
Entsprechend spielen nicht nur direkte finanzielle Schäden eine Rolle. Mit einem Hackerangriff gehen erhebliche Folgekosten einher. CFOs sollten in ihrem Wiederherstellungsbudget ein Fünftel für Anwalts- und Prozesskosten einplanen, also im Schnitt knapp 160.000 Euro, rät NTT Com Security. Weitere 15 Prozent sollten sie für externe Berater sowie für Geldstrafen und Compliance-Kosten zurückstellen. Auch Entschädigungszahlungen, die gegenüber Kunden (18 Prozent) und Zulieferer (10 Prozent) fällig werden, sind große Kostenfaktoren.
Viele Finanzchefs unterschätzen zudem die Schäden, die durch den Reputationsverlust eines Cyberhacks entstehen. CFOs müssen hierfür tief in die Tasche greifen: Laut Umfrage planen Unternehmen für PR- und Kommunikationsdienste 13 Prozent in ihr Budget zur Schadensbehebung ein. Kein Wunder, macht doch niemand gerne Geschäfte mit einem Unternehmen, bei dem man die eigenen Daten nicht sicher wähnt oder auf dessen Widerstandsfähigkeit kein Verlass ist.
Ein weiterer unterschätzter Faktor: die technische Wiederherstellung der Daten. Rechtliche Formalitäten und das Entschädigungsprozedere sind zeitraubend. Im Schnitt sind Unternehmen neun Wochen mit einer Cyberattacke und der Aufarbeitung beschäftigt. In dieser Zeit können sich CFOs nur bedingt um vermeintlich wichtigere Themen kümmern.
Info
Welche Regeln Unternehmen in der IT-Sicherheit unbedingt beachten sollten und welche häufigen Fehler die Angreifer gern ausnutzen, das steht auf der FINANCE-Themenseite Cybercrime.
Jakob Eich ist Redakteur der Fachzeitungen FINANCE und DerTreasurer des Fachverlags F.A.Z Business Media, bei dem er auch sein Volontariat absolviert hat. Eich ist spezialisiert auf die Themen Digitalisierung im Finanzbereich und Treasury. Durch seine Zwischenstation bei der Schwesterpublikation „Der Neue Kämmerer“ ist der 1988 geborene Journalist auch versiert beim Thema Kommunalfinanzen. Erste journalistische Erfahrungen hat der gebürtige Schleswig-Holsteiner in den Wirtschaftsmedien von Gruner+Jahr sowie in der Sportredaktion der Hamburger Morgenpost gesammelt.