IT-Infrastrukturen sind das Rückgrat von Unternehmen und die IT-Sicherheit (Cyber Security, IT Security) spielt eine wesentliche Rolle, um negative Auswirkungen wie etwa Betriebsausfälle, Leistungseinbussen, Datenverluste oder -diebstahl zu minimieren. Gezielte Cyber-Angriffe, Hard- und Software-Ausfälle, Fehlmanipulationen durch Nutzer oder Elementarschäden sind Risiken, denen die Unternehmens-IT ständig ausgesetzt ist.
Je zielgerichteter und aufwendiger die Sicherheitsmassnahmen angelegt werden, desto stärker lassen sich die Risiken reduzieren. Doch wie hoch dürfen die Investitionen und die laufenden Kosten für die Cyber Security in einem KMU sein? Oder anders gefragt: mit welchen Kosten ist bei einem IT-Ausfall zu rechnen?
Wer schon IT-Leistungseinbussen oder Datenverluste erlebt hat oder wem die letzte Version einer wichtigen Präsentation kurz vor dem entscheidenden Auftritt nicht mehr zur Verfügung stand, weiss wie zeitraubend und belastend IT-Ausfälle sein können. Das Spektrum der Folgen reicht von subjektiv empfundenen negativen Auswirkungen, die den Alltag einzelner Nutzer einschränken bis hin zu grossflächigen Ausfällen der gesamten Infrastruktur oder massiven Datenverlusten. Diese können zum Verlust von wichtigem Unternehmens-Know-how und damit von Wettbewerbsvorteilen führen. Auch Reputationsschäden für das Unternehmen und finanzielle Einbussen können die Folge sein – Letztere waren gemäss dem Cyber Security Trends Report 2017 (siehe Abbildung 1) erheblich.
Abbildung 1: Durchschnittliche quantitative Auswirkungen von Cyber-Security-Zwischenfällen in Unternehmen
Quelle: Cybersecurity Trends Report 2017 | Crowd Research Partners | 1‘900 Befragte
Damit KMU für die IT-Sicherheit ein sinnvolles Investitionsvolumen festlegen und die laufenden Betriebskosten planen können, müssen zunächst die Kosten von potenziellen IT-Zwischenfällen hochgerechnet werden. Diese hängen vom Geschäftsmodell und von der Dynamik der bearbeiteten Märkte ab. Danach kann mittels Risk-Management der Aufwand für die Cyber Security bestimmt werden. Zur Berechnung der potenziellen Ausfallkosten sind vier mögliche Verlustfaktoren zu berücksichtigen und hochzurechnen.
4 Kostenfaktoren bei IT-Ausfällen in KMU
Abbildung 2: Kostenrelevante Faktoren eines IT-Ausfalls
-
Kosten wegen Umsatzverlust
Zunächst gilt es, diejenigen Bereiche des Unternehmens zu identifizieren, die Einnahmen generieren und ihren jeweiligen Anteil am Gesamtumsatz festzulegen. Danach ist zu bestimmen, welcher prozentuale Anteil dieser Umsätze von der IT-Betriebsbereitschaft abhängt. Aus dem ermittelten Wert je Zeiteinheit (z.B. pro Tag oder Stunde) lässt sich anschliessend der Bruttogewinn errechnen. Dieser widerspiegelt die unmittelbaren Ausfallkosten, die eine nicht leistungsbereite IT je Unternehmensbereich erzeugen würde. -
Kosten aufgrund von Produktivitätsverlust
Für jeden Mitarbeitenden ist die Produktivität zu bestimmen. Dazu wird der erwartete zeitliche Anteil ermittelt, in dem der jeweilige Mitarbeitende auf die IT-Leistungsbereitschaft angewiesen ist, damit dieser seine Tätigkeit ausüben kann. Um die entstandenen Kosten zu errechnen, werden die daraus kalkulierten Stunden mit dem zu verrechnenden Stundensatz des Mitarbeitenden multipliziert. Die auf diese Weise ermittelten Kosten des gesamten Personals werden anschliessend addiert. Die Summe zeigt die Kosten des Produktivitätsverlusts pro Zeiteinheit auf, die aufgrund eines IT-Ausfalls entstehen. -
Wiederherstellungskosten
Um nach Ausfällen so rasch wie möglich die Betriebsbereitschaft wiederherzustellen, kommen in KMU in der Regel externe IT-Dienstleister (IT Support) zum Einsatz. Je nach Zwischenfall installieren diese eine blockierte Software neu, nehmen Einstellungen vor, ersetzen oder reparieren defekte Hardware oder kümmern sich um die Neukonfiguration der Systeme. Bei Bedarf ergänzen sie die IT mit zusätzlichen Sicherheitsmassnahmen oder sie versuchen, einen möglichst hohen Anteil an verlorenen Daten zu retten. Um die Kosten von solchen Einsätzen einzuschätzen, empfiehlt sich ein Beratungsgespräch mit einem Anbieter von IT Support oder von Managed IT Services. -
Immaterielle Kosten
Die immateriellen Kosten eines IT-Ausfalls haben unterschiedliche Ursachen: Gelangen aufgrund eines Datendiebstahls vertrauliche Informationen direkt oder auf Umwegen zu Mitbewerbern, kann die Wettbewerbsfähigkeit des Unternehmens empfindlich getroffen werden. Wenn persönliche Daten von Mitarbeitenden (Gehaltsdaten, Mitarbeiterbeurteilungen, Arbeitsverträge etc.) von Unbefugten eingesehen werden können und die Privatsphäre des Personals verletzt wird, nimmt die Reputation und Arbeitgebermarke (Employer Branding) eines KMU Schaden. Gestohlene Kunden- oder Lieferantendaten führen zu Image-Einbussen bei Kunden und Öffentlichkeit, welche den Ruf eines Unternehmens dauerhaft beeinträchtigen können.
Jeder Schaden an der Unternehmensreputation oder an der Marke führt auch zu finanziellen Auswirkungen. So kann schon eine geringe Ausfallzeit unter Umständen langfristige, kaum überwindbaren negative Folgen auf die künftige Geschäftsentwicklung haben. Immaterielle Kosten eines IT-Ausfalls sind zwar nicht einfach zu beziffern, doch mit einem Szenario, das die möglichen langfristigen Auswirkungen auf die zukünftigen Verkäufe und die Kundenbindung in einer Hypothese aufzeigt, kann die Unternehmensführung diese Ausfallkosten quantifizieren.
42% der Unternehmen mit finanziellen Schäden
Wie eine Umfrage von KPMG Schweiz zeigt, erlitten 2018 42% der Unternehmen (2017: 36%), die Opfer einer Cyberattacke wurden, finanzielle Schäden und Störungen der Geschäftstätigkeiten. Bei 33% der Firmen gelangten vertrauliche Informationen an die Öffentlichkeit, und bei einem Viertel verursachten die Angriffe Reputationsschäden. Umso mehr erstaunt es, dass sich die meisten Schweizer Unternehmen der Bedrohung durch Cyber-Attacken zwar bewusst sind, doch nicht ausreichend Massnahmen zum Risikomanagement ergreifen oder selten einen Disaster Recovery Plan (Wiederherstellungsplan) vorbereiten. Ein einziger Zwischenfall kann genügen, um dauerhaften Schaden für das Unternehmen anzurichten.
Prävention reduziert kostspielige Notfalleinsätze
Um die IT-Betriebszeit (Uptime) in KMU zu maximieren, hat sich die präventive Überwachung der IT-Infrastruktur bewährt. Potenzielle Schwachstellen für Cyberangriffe, drohender Datenverlust oder Systemausfälle werden dabei frühzeitig erkannt und schon vor dem Eintritt eines für die Unternehmensprozesse kritischen IT-Ereignisses beseitigt. Dieses proaktive Monitoring und die Bereinigung der Schwachstellen wird von Anbietern von Managed IT Services erbracht. Auf diese Weise lassen sich Betriebsausfälle und kostspielige Notfalleinsätze vermeiden.
Titelbild: Shutterstock
.png){kind=icon}
