IT-Sicherheit und Risikomanagement
Der Cyber Readiness Report 2020 des Spezialversicherers Hiscox zeigt: Nur noch 41 Prozent der befragten Unternehmen sind 2019 Opfer einer Cyberattacke geworden. Im Vorjahr waren es noch 61 Prozent. Gleichzeitig sind die Kosten auf durchschnittlich 51.200 Euro gestiegen. Im Vorjahresreport lag dieser Wert bei 9.000 Euro. Auch der Gesamtverband der Deutschen Versicherungswirtschaft belegt in einer Studie den Handlungsbedarf bei kleinen und mittelständischen Betrieben in Sachen Cybersicherheit.
Hiscox ist ein Spezialversicherer und bietet unter anderem Cyberversicherungen an. Jährlich ermittelt es mithilfe einer internationalen Umfrage die Anzahl der Cyberangriffe und die dadurch verursachten Schäden bei Unternehmen. Für den aktuellen Report wurden 5.569 Unternehmen aus Deutschland, den USA, Großbritannien, Frankreich, Spanien, Belgien, den Niederlanden und Irland befragt.
Plus 470 Prozent bei den durchschnittlichen Schadensummen
Die Ergebnisse: Während 2018 noch 61 Prozent der befragten Firmen im Hiscox Cyper Report berichteten, Opfer eines Cyber-Zwischenfalls geworden zu sein, waren es 2019 nur noch 41 Prozent – ein Minus von knapp 23 Prozent. Doch müssen die betroffenen Unternehmen im Schnitt rund 51.200 Euro für die Folgen einer Attacke zahlen. Im Vorjahr lag dieser Wert noch bei 9.000 Euro – ein Plus von fast 470 Prozent. Zudem mussten deutsche Firmen mit knapp 72.000 Euro im Schnitt eine deutlich höhere Summe begleichen und wurden darüber hinaus im internationalen Vergleich besonders häufig angegriffen, so Hiscox.
Betriebe sind heute besser geschützt
Offenbar ist der Rückgang der Cyberattacken einer erhöhten Absicherung der Unternehmen gegen Angriffe aus der virtuellen Welt zu verdanken: „Das gestiegene Bewusstsein für Cyber- Gefahren ist ein positives Signal: Unternehmen können so ihre Angriffsfläche reduzieren und wirksam auf Attacken reagieren. In einer Zeit, in der die Kosten nach Cyberangriffen oft förmlich explodieren und ein nicht zu unterschätzendes finanzielles Risiko darstellen, kommt diese Entwicklung keinen Augenblick zu früh. Schäden im Millionen-Euro-Bereich sind auch in Deutschland keine Seltenheit“, sagt Robert Dietrich, Managing Director Germany der Hiscox SA.
KMU haben oft weder Notfallpläne noch eine IT-Absicherung
Auch der Gesamtverband der deutschen Versicherungswirtschaft (GDV) hat eine Umfrage zur Cybersicherheit durchführen lassen. Der Fokus lag bei kleinen und mittelständischen Unternehmen (KMU). Das Ergebnis: Sie sind auch in Zeiten von Homeoffice und mobilen Arbeiten nur unzureichend gegen Cyberattacken geschützt. Laut der repräsentativen Umfrage unter 300 Entscheidern gab rund die Hälfte der Befragten (48 Prozent) zu, weder einen Notfallplan noch eine entsprechende Vereinbarung mit einem IT-Dienstleister zu haben.
Die mangelnde Vorbereitung auf den Ernstfall ist nach Angaben des Branchenverbandes nur eine von vielen Schwächen des Mittelstandes bei der Cybersicherheit. In 44 Prozent der befragten Unternehmen ist niemand explizit für die Sicherheit der IT-Systeme verantwortlich.
Die Mitarbeiter besser einbinden
Laut Umfrage sensibilisiert weniger als ein Drittel (31 Prozent) der Betriebe seine Mitarbeiter mit Schulungen für die Gefahren aus dem Internet. Das nutzen die Angreifer aus: Gezielte Hacks der IT-Systeme oder DDoS-Attacken sind eher Ausnahmen, die Mehrheit der erfolgreichen Angriffe (58 Prozent) kommt per Mail ans Ziel, weil Mitarbeiter verseuchte Anhänge öffnen oder schädliche Links anklicken. „Viele Unternehmen reagieren auf einen Cyberangriff plan- und kopflos. Das kostet im Ernstfall viel Geld, weil es länger dauert, bis die IT-Systeme gesäubert und die Daten wiederhergestellt sind“, sagt Peter Graß, Cyberexperte des GDV.
Viele Belege für dringenden Handlungsbedarf bei KMU
Weitere Sicherheitslücken ergeben sich aus den IT-Systemen selbst: Bei einer Untersuchung von 1.019 Mittelständlern stellte das Analyse-Tool Cysmo bei vier Prozent der Firmen veraltete Software fest, für die es keine Sicherheitsupdates mehr gibt. Auch bei den Selbstauskünften der befragten Unternehmen sieht der GDV laut Umfrage entsprechenden Handlungsbedarf. Zwölf Prozent der befragten Unternehmen spielen demnach Sicherheitsupdates nicht automatisch ein. 24 Prozent der befragten KMU verzichten auf mindestens wöchentliche Sicherheitskopien ihrer Daten und 25 Prozent lassen auch einfachste Passwörter zu. Insgesamt erfüllt nur jedes fünfte befragte Unternehmen die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit, so das ernüchternde Ergebnis.
Ein Viertel der Betriebe hat Cyber-Versicherungsschutz
Über ein Viertel (26 Prozent) der befragten Unternehmen sichert sich zusätzlich durch eine eigene Cyber-Versicherung ab, ergab der Hiscox-Report. Zudem planen elf Prozent der Firmen ohne Cyber-Schutz eine solche Versicherung in 2020 abzuschließen (2019: 30 Prozent). Außerdem wollen 72 Prozent der befragten Firmen ihre Ausgaben für Cyber-Sicherheit im diesem Jahr erhöhen (2019: 67 Prozent). Der Großteil des Geldes soll in die Gesamt-Cyber-Sicherheitsstrategie fließen, gefolgt von Investitionen in neue Sicherheitstechnologien und in Präventionsmaßnahmen, heißt es in dem aktuellen Report.
„Die Corona-Krise hat gezeigt, wie vielfältig die Risiken in der vernetzten Welt sind: Cyber-Kriminelle haben mit den oft weniger gut geschützten PCs der Mitarbeiter oder den Fernzugriffsmöglichkeiten auf das Unternehmensnetzwerk aus dem Home-Office neue Einfallstore gefunden. Die Sensibilisierung für Cyber-Risiken bekommt für Unternehmen bei steigender Abhängigkeit von solchen Lösungen zu Recht eine immer höhere Priorität . Cyber-Versicherungen können ein guter Baustein in einer ganzheitlichen IT-Sicherheitsstrategie sein. Vielen Firmen sind die Vorteile entsprechender Policen noch nicht bewusst, daher ist die Abdeckung noch lückenhaft. Im Gegensatz dazu sind fast alle Unternehmen gegen Feuer und Diebstahl versichert. Die Wahrscheinlichkeit, Opfer von Cyber-Kriminellen zu werden, ist laut Report jedoch fast zwanzig Mal höher“, so Ole Sieverding, Underwriting Manager Cyber der Hiscox SA.