.conf24: Splunk-Report zeigt, dass Ausfallzeiten die Global 2000 jährlich 400 Milliarden Dollar kosten

SAN FRANCISCO und LAS VEGAS, 12. Juni 2024 – Splunk Inc., das führende Unternehmen für Cybersicherheit und Observability, hat heute den Report „Die versteckten Kosten von Ausfallzeiten“ veröffentlicht. Die in Zusammenarbeit mit Oxford Economics durchgeführte weltweite Studie untersucht die direkten und die indirekten Kosten ungeplanter Ausfallzeiten. Das Ergebnis: Wenn digitale Umgebungen unerwartet ausfallen, summieren sich die Gesamtkosten von Ausfallzeiten der Global-2000-Unternehmen¹ auf jährlich $ 400 Milliarden oder 9 % des Gewinns. Die Analyse zeigt, dass Ausfallzeiten über die direkten finanziellen Kosten hinaus anhaltende Folgen haben: Der Unternehmenswert sinkt, die Markenreputation leidet, das Innovationstempo lässt nach und das Vertrauen der Kundschaft wird nachhaltig beschädigt.

Ungeplante Ausfallzeiten² – also jede Beeinträchtigung bzw. jeder Ausfall eines Business-Systems – können aufseiten der Kundschaft als lästiges Ärgernis bis hin zu einer Gefahr für Leib und Leben erscheinen. Für die Untersuchung wurden 2000 Führungskräfte der größten Unternehmen weltweit (Global 2000) befragt. Ermittelt wurden dabei sowohl die direkten als auch die indirekten Kosten von Ausfallzeiten:

• Direkte Kosten sind für das Unternehmen eindeutig und messbar. Hierzu gehören beispielsweise Umsatzverluste, Bußgelder, Konventionalstrafen und Überstunden.
• Versteckte Kosten sind schwieriger zu messen und treten oft erst im weiteren Verlauf auf, können aber ebenso verheerend wirken. Beispiele für versteckte Kosten sind ein verminderter Unternehmenswert, stagnierende Entwicklungsproduktivität, verzögerte Produkteinführung oder eine beschädigte Markenreputation.

Der Bericht beleuchtet auch die Ursachen von Ausfällen: 56 % der Ausfallzeiten sind auf Sicherheitsvorfälle wie Phishing-Angriffe zurückzuführen, 44 % sind auf Anwendungs- oder Infrastrukturprobleme wie Softwarefehler zurückzuführen. Die Hauptursache von Ausfallzeiten ist in beiden Szenarien menschliches Versagen.

Es gibt jedoch Praktiken, mit denen sich die Ausfallzeiten ebenso wie ihre direkten und indirekten Kosten deutlich reduzieren lassen. Die Untersuchung ergab, dass die Spitzengruppe der Unternehmen – die besten 10 % – resilienter ist als der Rest. Sie erleiden seltener Ausfallzeiten, haben insgesamt geringere direkte Kosten und nur minimale Auswirkungen in Form von versteckten Kosten. Diese Gruppe wird im Report als Resilienz-Leader³ definiert. Die Merkmale, die sie von den übrigen Unternehmen unterscheiden, sind ein vorbildliches Beispiel für optimale Geschäftsfortführung. Eines dieser Merkmale ist der erweiterte Einsatz generativer KI: Die Resilienz-Leader haben viermal häufiger Tools mit integrierten Funktionen generativer KI im Einsatz als die übrigen Unternehmen.

Kombination aus direkten und versteckten Kosten

Die wirtschaftlichen Folgen von Ausfallzeiten beschränken sich nicht auf einzelne Abteilungen oder Kostenkategorien. Im Interesse eines differenzierten Gesamtbilds wurden Chief Financial Officers (CFOs) und Chief Marketing Officers (CMOs), Security-, IT-Operations- und Engineering-Fachleute gebeten, die Kosten von Ausfallzeiten anhand von mehreren Dimensionen zu quantifizieren. Zu den wichtigsten Erkenntnissen über die Auswirkungen von Ausfallzeiten gehören diese:

• Umsatzverluste sind der größte Kostenpunkt. Die aufgrund von Ausfällen entgangenen Erlöse schlagen mit $ 49 Millionen pro Jahr zu Buche. Im Schnitt dauert es 75 Tage, bis sich die Erlöse wieder erholen. Der nächstgrößte Posten sind Compliance-Bußgelder, sie belaufen sich auf durchschnittlich $ 22 Millionen pro Jahr. An dritter Stelle stehen Konventionalstrafen bei nicht eingehaltenen SLAs: $ 16 Millionen.
• Der Unternehmenswert leidet. Unternehmen müssen schon bei einem einzigen Ausfall damit rechnen, dass der Aktienkurs um bis zu 9 % einbricht. Im Durchschnitt dauert es dann 79 Tage, bis er sich wieder erholt.
• Cyberangriffe gehen ins Geld. 67 % der befragten CFOs geben an, dass sie CEO und Vorstand bei einem Ransomware-Angriff in der Regel zur Zahlung des Lösegelds raten, entweder direkt, über eine Versicherung, eine Drittpartei oder – was am häufigsten vorkommt – in einer Kombination dieser drei Möglichkeiten. Die Zahlungen bei Ransomware und Cyber-Erpressung summieren sich auf $ 19 Millionen pro Jahr.
• Innovationen werden ausgebremst. Als Folge von Ausfallzeiten verzeichneten 74 % der Technologie-Verantwortlichen Verzögerungen bei Produkteinführungen und 64 % berichten von einer stagnierenden Entwicklungsproduktivität. Jegliche Beeinträchtigung von Services führt dazu, dass die Teams wertschöpfende Arbeiten ruhen lassen, um stattdessen Software-Patches aufzuspielen und Post-Mortem-Analysen durchzuführen.
• Kundenwert und Kundenvertrauen sinken. Ausfallzeiten führen dazu, dass die Kundentreue nachlässt und die öffentliche Wahrnehmung des Unternehmens leidet. 41 % der technischen Führungskräfte geben zu, dass Ausfallzeiten „oft“ oder sogar „immer“ zuerst von der Kundschaft bemerkt werden. 40 % der CMOs sagen außerdem, dass durch Ausfälle der Kundenwert (Customer Lifetime Value, CLV) sinkt. Ebenfalls 40 % geben zu Protokoll, dass Ausfallzeiten den Beziehungen zu Resellern und/oder Partnern schaden.

Ausfallzeiten kommen US-Unternehmen im weltweiten Vergleich am teuersten zu stehen, vor allem aufgrund von direkten Umsatzverlusten und Konventionalstrafen: Die durchschnittlichen Kosten von Ausfallzeiten liegen in den USA bei $ 256 Millionen. Mit deutlichem Abstand folgen Europa ($ 198 Millionen) und der asiatisch-pazifische Raum ($ 187 Millionen). Allerdings zahlen europäische Unternehmen, für die ein strengeres Arbeitsrecht und schärfere Cybersicherheitsvorgaben gelten, mehr für Überstunden ($ 12 Millionen) und für die Wiederherstellung aus Backups ($ 9 Millionen). Die geografische Lage hat auch Einfluss darauf, wie schnell sich das Geschäft von einem Incident wieder erholt. Europa und die asiatisch-pazifische Region brauchen am längsten, während die Unternehmen in Afrika und im Nahen Osten am schnellsten zur Normalität zurückkehren.

„Geschäftsunterbrechungen sind unvermeidlich. Wenn digitale Systeme unerwartet ausfallen, entgeht den Unternehmen nicht nur beträchtlicher Umsatz und sie riskieren Geldbußen, sondern sie verlieren auch das Vertrauen ihrer Kundschaft und ihren guten Ruf“, sagt Gary Steele, President of Go-to-Market von Cisco und General Manager von Splunk. „Was Resilienz-Leader auszeichnet, ist die Art und Weise, wie diese Unternehmen auf disruptive Ereignisse reagieren, welche Konsequenzen sie ziehen und wie sie sich weiterentwickeln. Ein grundlegender Baustein resilienter Unternehmen ist ein einheitlicher Ansatz für Sicherheit und Observability, sodass sich Probleme im gesamten digitalen Fußabdruck schnell erkennen und lösen lassen.“

Resilienz-Leader sind schneller wieder da

Die Resilienz-Leader können mit Ausfällen am besten umgehen und kommen schneller wieder auf die Beine. Die Merkmale und Strategien, die sie von anderen Unternehmen unterscheiden, lassen sich als Musterbeispiel digitaler Resilienz verstehen. Resilienz-Leader investieren zwar mehr, aber sie tun dies vor allem strategisch klug. Zu den Erfolgsfaktoren gehören diese:

• Investitionen in Sicherheit und Observability: Die Resilienz-Leader investieren $ 12 Millionen mehr in Cybersicherheitstools und $ 2,4 Millionen mehr in Observability-Tools als die übrigen Befragten.
• Vorsprung durch generative KI: Resilienz-Leader haben beim Einsatz generativer KI einen höheren Reifegrad erreicht. KI-Funktionen als Integrationen in vorhandenen Tools nutzen sie viermal häufiger als andere Unternehmen.
• Schnellere Wiederherstellung: Systeme, die schnell wieder einsatzfähig sind, bedeuten eine bessere Customer Experience und weniger unerwünschte Medienaufmerksamkeit. Die Mean Time to Recover (MTTR) bei anwendungs- oder infrastrukturbedingten Ausfällen ist bei den Resilienz-Leadern im Durchschnitt um 28 % kürzer als bei der Mehrheit der Befragten. Bei Cybersecurity-Incidents sind sie um 23 % schneller wieder auf den Beinen.
• Geringere versteckte Kosten: Die meisten Resilienz-Leader erleiden im Grunde keinen Schaden durch versteckte Kosten oder stufen diesen als „moderat“ ein. Dies steht in krassem Gegensatz zu den übrigen 90 % der Unternehmen, die die Auswirkungen versteckter Kosten als „mäßig“ oder „sehr“ schädlich empfinden.
• Weniger finanzieller Schaden: Resilienz-Leader erleiden $ 17 Millionen weniger Umsatzverlust, zahlen $ 10 Millionen weniger Bußgelder und sparen sich $ 7 Millionen an Ransomware-Lösegeldern.

Ergänzende Zitate:

„Ungeplante Ausfallzeiten können für jedes Unternehmen erhebliche finanzielle Probleme mit sich bringen und sich negativ auf die Reputation des Unternehmens auswirken“, so Shefali Mookencherry, CISO und Privacy Officer an der University of Illinois Chicago. „Für Hochschulen können Ausfallzeiten zu einer Unterbrechung kritischer akademischer und administrativer Abläufe führen, die sich auf alle Bereiche – von Studentenservices bis hin zu Forschungsaktivitäten – auswirken. Die Folgen gehen über unmittelbare finanzielle Verluste hinaus und wirken sich langfristig auf den Ruf der Institution und das Vertrauen der Stakeholder aus. Unabhängig von der jeweiligen Branche müssen CISOs einen proaktiven und integrierten Ansatz für Cybersicherheit und Observability verfolgen, um diese Risiken zu minimieren und die Geschäftskontinuität zu gewährleisten.“

„Für digital ambitionierte Unternehmen sind Ausfallzeiten inakzeptabel“, sagt Archana Venkatraman, Senior Research Director Cloud Data Management bei IDC Europe. „Downtime ist nicht nur kostspielig, sie untergräbt auch das Vertrauen wichtiger Interessengruppen: von Kundschaft, Aktionären, Partnern Belegschaft. Und was noch wichtiger ist: Dieses Vertrauen wieder aufzubauen, kostet Zeit und Ressourcen. Dass das Rezept für digitale Resilienz und eine schnellere Wiederherstellung nach Ausfällen ein einheitlicher Ansatz für Sicherheit und Observability ist, liegt auf der Hand. Mit der einheitlichen Plattform von Splunk können Unternehmen Probleme schnell identifizieren und beheben – und Resilienz aufbauen.“

Weitere Erkenntnisse und Empfehlungen aus dem Report „Die versteckten Kosten von Ausfallzeiten“ finden Sie hier.

Methodik

Oxford Economics hat für diese Studie 2000 Führungskräfte der Global-2000-Unternehmen befragt. Erfasst wurden Unternehmen aus 53 Ländern (Afrika, Asien-Pazifik, Europa, Naher Osten, Nordamerika und Südamerika) und zehn Branchen (Energie und Versorgung, Finanzdienstleister, Gesundheitswesen und Life Sciences, IT und Technologie, Fertigung, Kommunikation und Medien, öffentliche Hand, Einzelhandel, Transport und Logistik sowie Reise und Gastgewerbe). Tätig sind die Befragten in den Bereichen Technologie (einschließlich Sicherheit, IT und Engineering), Finanzen (einschließlich Chief Financial Officers) und Marketing (einschließlich Chief Marketing Officers).

_{¹Die Forbes Global 2000 listen die größten Unternehmen der Welt auf, und zwar anhand von vier Kriterien (Stand 2023): Umsatz, Gewinn, Vermögen und Marktwert.}

_{²Für die Studie wurde Ausfallzeit (Downtime) als jederlei Beeinträchtigung von Services (z. B. Latenzen/Verzögerungen) sowie Nichtverfügbarkeit von Services in Bezug auf die End-User kritischer Geschäftssysteme definiert.}

_{³Die Zugehörigkeit zur Gruppe der Resilienz-Leader errechnet sich aus der Häufigkeit von Ausfallzeiten und der Höhe des wirtschaftlichen Schadens durch versteckte Kosten.}