Cyberkriminalität stellt eine wachsende Bedrohung für Unternehmen und Einzelpersonen auf der ganzen Welt dar, da Bedrohungsakteure versuchen, mit fast allen Mitteln Zugang zu vertraulichen Daten oder Finanzen zu erhalten. In Großbritannien zeigen Daten von Action Fraud, dass Unternehmen zwischen Januar und September 1,600 über 2024 Cyberkriminalität – Betrug nicht eingerechnet – gemeldet haben.
Ganz im Geiste von Halloween und gruseligen Statistiken werfen wir einen Blick auf die Regionen mit der gruseligsten Zahl von Cybercrime-Meldungen durch Organisationen im Jahr 2024 und darauf, wie Sie Ihr Unternehmen gegen Cyber-Vorfälle schützen können.
Wie hoch sind die Gesamtverluste der Unternehmen durch Cyberkriminalität?
Daten von Action Fraud zeigten, dass Organisationen zwischen Januar und September 1,613 insgesamt 932,200 Cyberkriminalität und Verluste in Höhe von 2024 £ meldeten.
| Monat | Berichte zu Cyberkriminalität | Gemeldete Verluste durch Cyberkriminalität |
| Januar 2024 | 196 | £423,500 |
| Februar 2024 | 200 | £89,000 |
| März 2024 | 191 | £2,200 |
| April 2024 | 179 | £24,000 |
| Mai 2024 | 173 | £120,400 |
| Juni 2024 | 206 | £5,800 |
| Juli 2024 | 182 | £63,000 |
| August 2024 | 149 | £190,000 |
| September 2024 | 137 | £14,300 |
| Gesamt | 1613 | £932,200 |
Der Januar 2024 war mit 423,500 £ der Monat mit den höchsten finanziellen Verlusten, was 45 % der gesamten wirtschaftlichen Verluste in den neun Monaten ausmachte. Die höchste Zahl an Cyberkriminalität wurde im Juni registriert, mit 206 Meldungen und gemeldeten Verlusten in Höhe von 5,800 £. Die wenigsten Meldungen von Cyberkriminalität wurden im September gemacht, mit 137 Meldungen und gemeldeten Verlusten in Höhe von 14,300 £.
Wo haben Unternehmen die meisten Cyberkriminalität gemeldet?
Diese Daten werden von der Polizei und nicht regional erfasst. Es überrascht vielleicht nicht, dass die Londoner Metropolitan Police die meisten Meldungen von Organisationen zu Cyberkriminalität erhielt: 325 Meldungen zwischen Januar und September und insgesamt 69,100 Pfund finanzieller Schaden. Die restlichen fünf Spitzenplätze belegten Greater Manchester (97 Meldungen), Thames Valley (82 Meldungen), West Yorkshire (54 Meldungen) und West Midlands (47 Meldungen).
| Rang | Polizei | Anzahl der Berichte | Gemeldete finanzielle Verluste |
| 1 | Metropolitan- | 325 | £69,100 |
| 2 | Greater Manchester | 97 | £891 |
| 3 | Themse-Tal | 82 | £400 |
| 4 | West Yorkshire | 54 | £50,000 |
| 5 | West Midlands | 47 | £565 |
Die Daten zeigen, dass eine hohe Zahl von Meldungen nicht unbedingt zu höheren finanziellen Verlusten führt. Während Greater Manchester auf Platz zwei liegt, verloren die Unternehmen in den letzten neun Monaten nur 891 Pfund, und die Unternehmen im Thames Valley verloren 400 Pfund bei 82 Vorfällen.
Cyberkriminalität: Ein Glücksspiel mit hohem Einsatz
Wenn wir die Regionen nicht nach der Anzahl der Meldungen, sondern nach den gemeldeten finanziellen Verlusten ordnen, sehen wir erneut, dass die Anzahl der Cyberkriminalität nicht unbedingt die Höhe der wirtschaftlichen Verluste der Unternehmen erhöht:
| Rang | Polizei | Anzahl der Berichte | Gemeldete finanzielle Verluste |
| 1 | Surrey | 31 | £442,000 |
| 2 | Unbekannt | 101 | £109,200 |
| 3 | Hampshire | 46 | £105,000 |
| 4 | City of London | 35 | £98,700 |
| 5 | Metropolitan- | 325 | £69,100 |
Organisationen in Surrey verzeichneten in neun Monaten nur 31 Meldungen, aber einen finanziellen Verlust von sage und schreibe 442,000 £ – fast die Hälfte (47 %) der gesamten finanziellen Verluste durch Cyberkriminalität, die von Unternehmen im Jahr 2024 gemeldet wurden. Von der vorherigen Liste der Polizeikräfte mit der höchsten Zahl an Meldungen ist nur die London Metropolitan auf dieser Liste vertreten und belegt mit 325 Meldungen und 69,100 £ Verlust den fünften Platz.
Der fehlende Zusammenhang zwischen der Zahl der bei der Polizei eingegangenen Meldungen und den gemeldeten finanziellen Verlusten zeigt, wie wahllos Cyberkriminalität ist. Schon ein einziger geschickt ausgeführter Angriff kann einem Unternehmen Tausende oder sogar Hunderttausende Pfund kosten. Der durchschnittliche finanzielle Verlust pro gemeldeter Cyberkriminalität in Surrey beträgt im Jahr 2024 14,258 Pfund, verglichen mit durchschnittlich 213 Pfund in der Londoner Metropolregion, obwohl in der Metropolregion mehr als zehnmal so viele Cyberkriminalitätsfälle gemeldet werden.
Meldung von Vorfällen und Einhaltung gesetzlicher Vorschriften
Die Statistiken von Action Fraud stellen nur gemeldete Daten dar. Viele Cyberkriminalität werden wahrscheinlich nicht gemeldet, da Unternehmen versuchen, Vorfälle ohne polizeiliches Eingreifen zu bewältigen und die Auswirkungen auf ihre Versicherung und ihren Ruf zu verringern.
A Studie 2021 von Van de Weijer et al. zeigte 529 Teilnehmern drei Vignetten über fiktive Cyberkriminalitätsvorfälle und fragte, wie sie in dieser Situation reagieren würden. Die Studie stellt fest, dass „die große Mehrheit der KMU-Besitzer sagte, sie würden die Vorfälle aus den Vignetten der Polizei melden, aber nach der tatsächlichen Viktimisierung wurden nur 14.1 Prozent der Cyberkriminalität der Polizei gemeldet.“
Die Meldung von Cyberkriminalität ist nun für Organisationen, die in der Europäischen Union tätig sind, gemäß der kürzlich aktualisierten Richtlinie zur Netzwerk- und Informationssicherheit (NIS 2)-Richtlinie, die diesen Monat in Kraft getreten ist. Organisationen, die sich nicht an die Richtlinie halten, darunter auch solche, die Cybervorfälle nicht melden, müssen mit möglichen Geldstrafen oder sogar dem Ausschluss von der Geschäftstätigkeit in einem Gebiet rechnen. Die Meldung von Cybervorfällen wird auch eine Verpflichtung im Rahmen des European Cyber Resilience Act sein, wenn dieser in Kraft tritt.
Glücklicherweise gibt es einen international anerkannten Standard für Informationssicherheit ISO 27001 kann einen Rahmen für die NIS 2-Konformität bereitstellen und Ihnen dabei helfen, Ihr Unternehmen vor Cyberbedrohungen zu schützen.
Mit ISO 27001 Cybervorfälle verhindern und sich an NIS 2 anpassen
Die ISO 27001-Zertifizierung hilft Unternehmen, ihre Sicherheitslage zu verbessern und das Risiko von Cyber-Vorfällen effektiv zu reduzieren. Um ISO Zertifizierung 27001muss eine Organisation eine ISO 27001-konforme Informationssicherheits-Managementsystem (ISMS) und ein externes Audit durch eine akkreditierte Auditstelle erfolgreich absolvieren.
Ein ISO 27001-zertifiziertes ISMS kann die Informationssicherheit Ihres Unternehmens verbessern und die Anforderungen von NIS 2 auf folgende Weise erfüllen:
Risikomanagement
Risikomanagement und -behandlung sind Anforderungen von ISO 27001 Abschnitt 6.1, Maßnahmen zum Umgang mit Risiken und Chancen, und NIS 2 Artikel 21. Ihre Organisation sollte die mit jedem Informationswert im Rahmen Ihres ISMS verbundenen Risiken identifizieren und für jedes Risiko die entsprechende Risikobehandlung auswählen – behandeln, übertragen, tolerieren oder beenden.
Anhang A der ISO 27001 beschreibt die 93 Kontrollen, die Ihr Unternehmen im Risikomanagementprozess berücksichtigen muss. In Ihrer Anwendbarkeitserklärung (SoA) müssen Sie die Entscheidung begründen, ob Sie eine Kontrolle anwenden oder nicht. Dieser gründliche Ansatz für Risikomanagement und -behandlung ermöglicht es Ihrem Unternehmen, Risiken während ihres gesamten Lebenszyklus zu identifizieren, zu behandeln und zu mindern, wodurch die Wahrscheinlichkeit eines Vorfalls verringert und die Auswirkungen im Falle eines Vorfalls gemindert werden.
Vorfallreaktion
Ihre Organisation sollte Vorfallmanagementprozesse und Vorfallprotokolle gemäß ISO 27001 Anhang A.5.24, A.5.25 und A.5.26 implementieren, die sich auf die Planung, Vorbereitung, Entscheidungen und Reaktionen im Zusammenhang mit dem Informationssicherheitsvorfallmanagement konzentrieren. Ein Vorfallmanagementverfahren und ein Reaktionsprotokoll sind auch in NIS 2 Artikel 21 vorgeschrieben. Dadurch wird sichergestellt, dass Ihre Organisation über einen Prozess verfügt, um die Auswirkungen von Vorfällen zu verwalten und zu minimieren.
Schulung und Sensibilisierung der Mitarbeiter
Die Förderung einer Kultur des Informationssicherheitsbewusstseins ist ein entscheidender Bestandteil von ISO 27001 und ebenso wichtig für die Einhaltung von NIS 2, die in ISO 27001 Anhang A.6.3, Informationssicherheitsbewusstsein, -schulung und -training, und NIS 2 Artikel 21 gefordert wird. Durch die Implementierung eines Schulungs- und Sensibilisierungsplans können Sie Ihre Mitarbeiter über Cyberrisiken aufklären. Es ist auch wichtig, sicherzustellen, dass Ihre Mitarbeiter die Bedeutung sicherer Passwörter im Einklang mit Ihrer ISO 27001-Passwortrichtlinie kennen.
Bedrohungsakteure nutzen bei ihren Versuchen, an vertrauliche Informationen zu gelangen, häufig menschliche Fehler aus und überreden Mitarbeiter sogar dazu, Finanztransaktionen über Phishing-E-Mails oder ausgeklügelte KI-gestützte Deepfakes durchzuführen. Von den 1,613 Cyberkriminalitätsfällen, die Action Fraud in diesem Jahr von britischen Unternehmen gemeldet wurden, wurden 919 (56 %) unter dem Code für Social-Media- und E-Mail-Hacking registriert. Um das Risiko dieser Vorfälle zu verringern, ist es unerlässlich, einen Schulungs- und Sensibilisierungsplan zu haben und Mitarbeiter zu schulen.
Verbessern Sie noch heute Ihre Informationssicherheit
Angesichts der bevorstehenden neuen Cyber-Regulierungen wie dem Cyber Resilience Act und dem Digital Operational Resilience Act (DORA) ist es jetzt an der Zeit, sich einen Vorsprung zu verschaffen. Buchen Sie Ihre Demo um zu erfahren, wie Sie Risiken minimieren, Ihren Ruf stärken, sich in der komplexen Regulierungslandschaft zurechtfinden und mit ISMS.online die ISO 27001-Konformität erreichen. Sie finden auch praktische Anleitungen für NIS 2-Compliance mit ISO 27001 meistern in unserem Webinar mit Experten von A-LIGN, Cybercontrols.io und ISMS.online.
