Wussten Sie, dass Datenschutzverletzungen in Großbritannien weniger kosten als der globale Durchschnitt, aber die Sicherheitsbudgets auch kleiner sind? Oder dass die überwiegende Mehrheit der Unternehmen im Land Vorfälle erlitten hat, und in der Regel durch Phishing?Mit den richtigen Informationen können CISOs bessere und fundiertere Entscheidungen treffen und Risiken besser an die Stakeholder kommunizieren. Hier ist eine Liste nützlicher Cybersicherheitsstatistiken über Großbritannien, die in einen breiteren globalen Kontext gestellt werden, in dem vergleichbare Daten verfügbar sind.

Umfang von Datenschutzverletzungen in Großbritannien

Bis zu 88% der britischen Unternehmen haben in den letzten 12 Monaten Datenschutzverletzungen erlitten, berichtet Carbon Black. Das ist weniger als in Deutschland (92%), Frankreich (94%) und Italien (90%)

Laut Hiscox wird alle 19 Sekunden ein kleines Unternehmen in Großbritannien erfolgreich gehackt. In Großbritannien gibt es täglich rund 65.000 Versuche, kleine und mittlere Unternehmen (KMU) zu hacken, von denen rund 4.500 erfolgreich sind. Das entspricht rund 1,6 Millionen der 5,7 Millionen KMU in Großbritannien pro Jahr. Cisco schätzt, dass 53% der KMU im Jahr 2018 weltweit eine Sicherheitsverletzung erlitten haben.Siebenunddreißig Prozent der britischen Unternehmen haben in den letzten 12 Monaten dem Information Commissioner’s Office (ICO) einen Vorfall mit Datenverletzungen gemeldet. Siebzehn Prozent hatten mehr als einen Vorfall gemeldet.

Kosten der Cyberkriminalität in Großbritannien

Datenlecks kosten britische Unternehmen durchschnittlich 3,88 Millionen US-Dollar pro Datenleck, so die Cost of a Data Breach-Studie von IBM und Ponemon. Das ist etwas weniger als der globale Durchschnitt von 3,92 Millionen US-Dollar. Das Vereinigte Königreich hat auch eine geringere durchschnittliche Größe von Verstößen; 23,600 in Großbritannien gegenüber 25,575 weltweit.

Dreiunddreißig Prozent der britischen Unternehmen geben an, nach einer Datenschutzverletzung Kunden verloren zu haben. Eine Forrester-Studie unter britischen und US-amerikanischen Unternehmen ergab, dass 38% der Unternehmen aufgrund von Sicherheitsproblemen ihr Geschäft verloren hatten.Vierundvierzig Prozent der britischen Verbraucher geben an, dass sie nach einer Sicherheitsverletzung vorübergehend keine Ausgaben mehr für ein Unternehmen tätigen werden, und 41% geben an, dass sie nach einer Sicherheitsverletzung nie wieder zu einem Unternehmen zurückkehren werden, verglichen mit 83% und 21% für Kunden in den USA.

Dreiundzwanzig Prozent der Cyber-Versicherungsansprüche von AIG in EMEA im Jahr 2018 entfielen auf geschäftliche E-Mail-Kompromittierungsangriffe. Weitere 18% entfielen auf Ransomware-Vorfälle.Achtundvierzig Prozent der britischen Unternehmen, die im letzten Jahr von Ransomware betroffen waren, laut Sophos. Dies liegt unter dem globalen Durchschnitt von 51%. Berichten zufolge zahlten 13% der britischen Organisationen das Lösegeld.Die durchschnittlichen Sanierungskosten eines erfolgreichen Ransomware-Angriffs auf britische Unternehmen liegen bei 840.000 US-Dollar und damit über dem globalen Durchschnitt von 761.000 US-Dollar. 32% der britischen Unternehmen haben eine Cybersicherheitsversicherung, die Ransomware nicht abdeckt.

UK Phishing stats

Eine von 3.722 E-Mails in Großbritannien ist laut Symantec ein Phishing-Versuch. Das ist einer von 657 in Saudi-Arabien, einer von 3.231 in den USA, einer von 5.223 in Deutschland und einer von 3.471 in Australien. Fast 55% der britischen E-Mails sind Spam.

Rund die Hälfte der Cyberangriffe in Großbritannien beinhalten Phishing. Das sind rund 20% mehr als im globalen Durchschnitt.Zweiundzwanzig Prozent der britischen Unternehmen bieten ihren Mitarbeitern keine regelmäßigen Schulungen zum Sicherheitsbewusstsein für E-Mails an.

Größte britische Schwachstellen

FTSE 250-Unternehmen haben durchschnittlich 35-Systeme, die dem Internet ausgesetzt sind. Das sind mehr als australische Unternehmen an der ASX 200 (29), aber viel weniger als die Fortune 500 (500).

Britische Sicherheitsstruktur und Budgets

Fünfundsechzig Prozent der britischen CISOs berichten an den CIO, während 12% der Unternehmen angeben, dass der CISO ein Peer des CIO ist. In den USA berichten rund 45% der CISOs an den CIO. In Großbritannien haben 58% einen CISO oder gleichwertig, verglichen mit 56% in den USA.Sechsundsechzig Prozent der britischen Organisationen geben an, dass ihre Sicherheitsbudgets im letzten Jahr gestiegen sind. Ein Viertel der Organisationen gab an, dass der Anstieg in den letzten 12 Monaten ’signifikant‘ war. Weltweit berichten rund 60% der Organisationen von Budgeterhöhungen um durchschnittlich 13%.Das durchschnittliche britische Cybersicherheitsbudget liegt laut Hiscox bei rund 900.000 US-Dollar, verglichen mit durchschnittlich 1,46 Millionen US-Dollar weltweit.Einunddreißig Prozent der britischen Unternehmen haben in den letzten 12 Monaten eine Cyber-Risikobewertung durchgeführt, so der Bericht der britischen Regierung über Cybersicherheitsverletzungen. Der gleiche Bericht sagt, dass nur 57% der großen Unternehmen über Cybersecurity-Incident-Response-Prozesse verfügen. Ponemon schlägt vor, dass diese Zahl weltweit nur 33% beträgt.

Laut ISC2 gibt es in EMEA einen Mangel an Sicherheitspersonal von mehr als 140.000 Personen. Über 60% der von CSO befragten Unternehmen geben an, dass sie unter Qualifikationslücken in der Sicherheitsfunktion leiden. In Nordamerika wird der Mangel auf fast 500.000 Menschen geschätzt.Laut einem Bericht der britischen Regierung gibt es in Großbritannien schätzungsweise 1.221 Unternehmen, die Cybersicherheitsprodukte und -dienstleistungen anbieten. Diese Unternehmen beschäftigen ~ 43.000 Vollzeitäquivalente (FTE) in einer cybersicherheitsbezogenen Rolle und erwirtschaften einen jährlichen Gesamtumsatz von £ 8,3 Milliarden. Die Anzahl der Unternehmen, Sicherheitsrollen und Umsätze sind in den letzten zwei Jahren um über 35% gestiegen.Cybersicherheitsfirmen in Großbritannien bieten überwiegend professionelle Cybersicherheitsdienste (von 71% der Unternehmen bereitgestellt), Bedrohungsinformationen, Überwachung, Erkennung und Analyse (46%) oder Endpunktsicherheit (einschließlich mobiler Sicherheit) an (37%). Die meisten britischen Cyber-Unternehmen haben weniger als 10 Mitarbeiter.42% der britischen Unternehmen nennen Bedenken hinsichtlich der Einführung von Sicherheits- oder Compliance-Risiken als Hindernis für die digitale Transformation, so NTT. Weitere 35% nennen potenzielle Geschäftsunterbrechungen als Innovationshemmnis.

UK Compliance stats

Fünfundsiebzig Prozent der britischen internationalen Datenströme sind mit der EU, nach einer aktuellen Studie von UCL. Die Studie ergab auch, dass die Unterbrechung des Datenflusses von der EU nach Großbritannien für britische Unternehmen „äußerst schädlich“ sein wird, falls das Vereinigte Königreich die EU ohne Abkommen verlässt. Fünfundfünfzig Prozent der EU-Unternehmen geben an, die Datenschutz-Grundverordnung (DSGVO) vollständig einzuhalten. In den USA sind es 43%, in Japan 32% und in China 29 %. Britische Organisationen geben durchschnittlich 1,16 Millionen US-Dollar aus, um DSGVO-konform zu sein, verglichen mit 1,75 Millionen US-Dollar in Deutschland, 1,58 Millionen US-Dollar in Frankreich und 1,41 Millionen US-Dollar in den USA.

Zwischen 2018 und 2019 gab es einen Rückgang der tatsächlichen und geschätzten Computermissbrauchsdelikte um 21% (auf 966.000). das berichtet das Office of National Statistics (ONS). Nur 422 Strafverfolgungen wurden unter dem Computer Misuse Act 1990 in den letzten zehn Jahren gebracht.Laut einer Umfrage von Apricorn hat ein Viertel der britischen Organisationen das ICO über einen Verstoß oder einen potenziellen Verstoß innerhalb ihrer Organisation informiert. Bei weiteren 21% wurde ein Verstoß oder ein potenzieller Verstoß von einem Dritten gemeldet.Die bisher größte Geldbuße der ICO beträgt £ 183 Millionen gegen BA wegen Verstößen gegen die DSGVO. In derselben Woche verhängte die Regulierungsbehörde eine Strafe von £ 99 Millionen an die Marriott Hotelkette. Nach der bisherigen Gesetzgebung betrug die höchste Geldstrafe, die verhängt werden konnte, £ 500,000. Im letzten Jahr des vorherigen Datenschutzgesetzes verhängte die ICO 22-Geldbußen in Höhe von nur £ 3 Millionen.Facebook die Telefonnummern und verknüpften Facebook-IDs von 18 Millionen Menschen aus Großbritannien online ausgesetzt zu verlassen, zusammen mit Hunderten von Millionen von Menschen aus dem Rest der Welt, ist der größte Vorfall von britischen Kunden. Equifax sagt, dass rund 15,2 Millionen britische Datensätze in seiner 2017-Verletzung ausgesetzt waren oder verloren gingen, während die Details von rund 7 Millionen britischen Kunden in der Marriott-Verletzung waren.

UK CISO, Vorstand und Fähigkeiten stats

Der durchschnittliche CISO Gehalt in Großbritannien ist £ 87.000 pro Jahr, nach PayScale.com. CISOs in London verdienen im Durchschnitt 30% mehr als in anderen Teilen des Landes.Die durchschnittliche Amtszeit eines CISO beträgt nur 26 Monate, und britische CISOs arbeiten laut Nominet durchschnittlich neun Stunden Überstunden pro Woche.

37% der CISOs sind laut ClubCISO seit 15 bis 25 Jahren in der Sicherheitsbranche tätig. 21% haben zwischen 11-15 Jahre Erfahrung, 19% haben 5-10 Jahre und 12% weniger als 5 Jahre.

55% der CISOs verließen ihre letzte Rolle, entweder um ihre Karriere voranzutreiben oder weil sie sich nicht mehr herausgefordert fühlten, so der gleiche Bericht. Weitere 22% verließen das Unternehmen, weil sie mit dem Sicherheitsansatz ihres Unternehmens frustriert waren.Laut einer Studie von SASIG / Cyber Connect UK sind achtundachtzig Prozent der britischen CISOs männlich und 12% weiblich. Im Vergleich dazu berichtet SpencerStuart, dass 29% der CIOs in Großbritannien Frauen sind.Siebenunddreißig Prozent der britischen Unternehmen haben Vorstandsmitglieder mit einem Cybersecurity-Brief, nach der britischen Regierung Data Breach Statistics, von 28% im Jahr 2016.Laut dem Bericht Cyber Security skills in the UK labour market 2020 der britischen Regierung wurden in den letzten drei Jahren knapp 400.000 Stellen im Bereich Cybersicherheit in Großbritannien ausgeschrieben. Die am häufigsten gesuchten Rollen sind Sicherheitsingenieure (18%), Sicherheitsanalysten (13%), Sicherheitsarchitekten (10%), Sicherheitsmanager (9%) und Sicherheitsberater (8%).

Die Hälfte aller Unternehmen in Großbritannien hat nur eine Person, die für Cybersicherheit verantwortlich ist, so die gleiche Regierungsstudie. Dreizehn Prozent der Organisationen mit über 250 Mitarbeitern haben immer noch nur einen Sicherheitsmitarbeiter, während 12% der großen Unternehmen einen Leiter der Informationssicherheit, CISO oder CSO, beschäftigen.