Die Zahlen analysieren: Die hohe Kunst der Berechnung der Kosten von Cyberkriminalität

Wie viel kostet die Cyberkriminalität? Welche durchschnittlichen Kosten sind mit einem einzelnen Angriff verbunden? Und wie hoch sind die kumulierten jährlichen Kosten der Cyberkriminalität?

Sie müssen nicht viel über Statistiken zur Cyberkriminalität lesen, um eine ziemlich breite Palette von Antworten auf diese Fragen zu erhalten. Daher fragt man sich natürlich, wie diese Zahlen berechnet werden. Und ich bin mir sicher, dass es Sie nicht überraschen wird zu erfahren, dass es wirklich keine standardisierte Methode dafür gibt.

Was es jedoch gibt – und ich hoffe, ich verrate hier keine Branchengeheimnisse – ist ein Anreiz für Anbieter von Cybersecurity-Lösungen, in ihren Mitteilungen die höchsten Schätzungen zu verwenden, die sie finden oder erstellen können. Die Aussage „Ein Ransomware-Angriff könnte Ihr Unternehmen Zehntausende von Dollar kosten“ hat nicht ganz die gleiche verkaufsstarke Wirkung wie „Die durchschnittlichen Kosten eines Ransomware-Angriffs im letzten Jahr betrugen fünf Millionen Dollar!“

Es ist also sinnvoll, diese schnell wachsenden Schätzungen mit Vorsicht zu genießen und kritisch zu hinterfragen – insbesondere wenn sie in Form von Vorhersagen über zukünftige Kosten präsentiert werden.

Was zählt zu den Kosten der Cyberkriminalität?

Offensichtlich ist es wichtig, bei der Schätzung der Kosten der Cyberkriminalität einen weiten Bogen zu spannen. Wie im Cybercrime Magazine berichtet:

„Zu den Kosten der Cyberkriminalität zählen Beschädigung und Zerstörung von Daten, gestohlenes Geld, Produktivitätsverlust, Diebstahl geistigen Eigentums, Diebstahl persönlicher und finanzieller Daten, Unterschlagung, Betrug, Störungen des normalen Geschäftsablaufs nach einem Angriff, forensische Untersuchungen, Wiederherstellung und Löschung gehackter Daten und Systeme, Rufschädigung, Rechtskosten und möglicherweise regulatorische Geldstrafen sowie weitere Faktoren“, erläuterte Steve Morgan, Gründer von Cybersecurity Ventures.

Das ist eine ziemlich lange Liste, und die Tatsache, dass sie mit „sowie weitere Faktoren“ endet, lässt mich zumindest ein wenig skeptisch gegenüber den Zahlen sein, die daraus hervorgehen.

Im selben Artikel vom Mai 2025 wird prognostiziert, dass sich die weltweiten Kosten der Cyberkriminalität in diesem Jahr auf 10,5 Billionen USD belaufen werden – ein dramatischer Anstieg gegenüber der Schätzung von 1 Billion USD im Jahr 2020. Aber mit Blick auf das Jahr 2031 prognostiziert das Magazin, dass diese Zahl auf nur 12,2 Billionen Dollar steigen wird, basierend auf einem stetigen Anstieg von 2,5 % pro Jahr. Diese Annahme beruht auf der Vorstellung, dass die Wirtschaft der Cyberkriminalität so groß und so profitabel wird, dass ihre Wachstumsrate, die in der Vergangenheit stetig gestiegen ist, bald stagnieren wird, falls dies nicht bereits der Fall ist.

Direkte vs. indirekte Kosten

ITPro berichtete im Mai 2025 über eine Studie, die ergab, dass die Kosten der Cyberkriminalität in Großbritannien sich auf „64 Milliarden Pfund pro Jahr für Lösegeldzahlungen, Überstunden der Mitarbeiter, Geschäftsausfälle und andere damit verbundene Kosten“ belaufen.

Die Studie unterschied zwischen direkten und indirekten Kosten. Direkte Kosten wurden als zusätzlicher Zeitaufwand des Personals für die Abwehr von Angriffen identifiziert, zusammen mit „Lösegeldzahlungen, gestohlenen oder verlorenen Geldern, Rechts- und Regulierungskosten, Betriebsunterbrechungen und den Kosten für die Hinzuziehung von externen Experten sowie höheren Prämien für die Cyber-Versicherung“. Dieser Betrag belief sich nach Berechnung der Studie auf 37,3 Milliarden Pfund.

Aber auch die indirekten Kosten waren mit 26,7 Milliarden Pfund sehr hoch. Die größte Kategorie der indirekten Kosten wurde als erhöhte Cybersecurity-Budgets infolge von Angriffen gemeldet. „Zu den weiteren indirekten Kosten gehörten der Verlust von Kunden, die Kosten für die Umleitung von Ressourcen zur Reaktion auf Vorfälle und der Verlust von Wettbewerbsvorteilen aufgrund des Diebstahls von geistigem Eigentum des Unternehmens.“

Zweifel säen

Ein weiterer Bericht vom Mai 2025, der vom Atlantic Council erstellt wurde, stellt einen sehr detaillierten Versuch dar, zwei wesentliche Probleme mit Cybersecurity-Metriken zu erklären, zu definieren und anzugehen, die nach Ansicht der Autoren dazu führen, dass es keine Möglichkeit gibt, die Effektivität staatlicher und anderer Maßnahmen zur Bekämpfung der Cyberkriminalität sinnvoll zu verstehen.

„Dieser Bericht identifiziert zwei Kernprobleme, die den Fortschritt behindern: Erstens den unbekannten Zustand des Systems, was bedeutet, dass Entscheidungsträger nicht empirisch beschreiben können, wie sicher oder unsicher die digitale Landschaft derzeit ist; und zweitens die nicht gemessene Wirksamkeit der Politik, die es den Entscheidungsträgern verwehrt, zu vergleichen, welche Interventionen am effektivsten sind, um die Sicherheit zu verbessern und Schäden zu reduzieren. „Das Ergebnis ist ein politisches Umfeld, das stark auf Intuition, Anekdoten, unvollständige Daten und Ersatzmaßnahmen angewiesen ist – allesamt unhaltbar für einen Bereich mit derart systemischen und eskalierenden Risiken und so hohen Investitionen in die Security.“

“Counting the costs: A cybersecurity metrics framework for policy” (Die Kosten ermitteln: Ein Rahmenwerk für Cybersecurity-Metriken für die Politik), The Atlantic Council

Dieser umfangreiche Bericht führt sehr überzeugend aus, dass die derzeit verwendeten Metriken der Aufgabe nicht gewachsen sind, und schlägt bedeutende, grundlegende Änderungen in der Art und Weise vor, wie solche Metriken konzipiert werden. Die Nettoauswirkung für diesen Leser ist erneut, erhebliches Misstrauen gegenüber Kostenschätzungen im Bereich der Cybersecurity zu wecken.

Was ist davon zu halten?

Was ist also das Fazit? Erstens, unabhängig von den tatsächlichen Zahlen steht außer Zweifel, dass die Cyberkriminalität der Weltwirtschaft enorme Kosten verursacht und dass diese Kosten steigen.

Für Regierungen und zwischenstaatliche Organisationen ist das allein nicht sehr hilfreich bei der Entwicklung von Richtlinien und der Messung ihrer Wirksamkeit. Für einzelne Unternehmen ist die Schlussfolgerung jedoch ziemlich einfach: Intelligente, gezielte Investitionen in Cybersecurity und Cyberversicherungen sind insofern von entscheidender Bedeutung, als sie das Risiko kostspieliger Angriffe für das jeweilige Unternehmen tatsächlich verringern.

Benötigen Sie präzise Zahlen, sei es für die durchschnittlichen Einzelkosten oder die globalen Kosten, um diese Investitionen korrekt zu tätigen? Ich glaube nicht. Was Sie benötigen, ist eine genaue Bewertung Ihrer eigenen Schwachstellen, basierend auf aktuellen Angriffstrends und wachsenden Angriffsflächen. Und Sie benötigen einen Cybersecurity-Partner, der Ihnen bei dieser Bewertung hilft und Lösungen sowie Strategien bereitstellt, die auf Ihre spezifischen Risikobereiche abzielen.

Und genau das tut Barracuda jeden Tag mit Organisationen jeder Größe auf der ganzen Welt.