Deutsche Unternehmen

Nur wenig Wissen über Cybergefahren

Laut Studie des Spezialversicherers Hiscox zeichnen sich deutsche Unternehmen durch mangelndes Cyber-Know-how aus.

  • Hacker in Aktion

    Trotz zunehmender Digitalisierung und Vernetzung vernachlässigen viele Verantwortliche das Cyberrisikomanagement.

  • Robert Dietrich, Hiscox

    Robert Dietrich, Managing Director Germany der Hiscox SA: „Die wenigsten Firmen beschäftigen sich aktiv mit Cyberkrisenmanagement und das Niveau von Schutz- und Präventionsmaßnahmen ist in vielen Firmen nach wie vor bedenklich."

Die Ergebnisse des „Cyber Readiness Reports“ von Hiscox aus den vergangenen Jahren legen folgende Vermutung nahe: Trotz zunehmender Digitalisierung und Vernetzung, besserer Aufklärung vor Cybergefahren und medienwirksamer Hacker-Angriffe vernachlässigen viele Unternehmensverantwortliche ihr Cyberrisikomanagement. Dies verdeutlicht die konstant hohe Anzahl an schlecht vorbereiteten „Cyberanfängern“, die die Studie jährlich ermittelt. (Cyberanfänger in Deutschland laut Report 2019: 70 Prozent; 2018: 77 Prozent).

Gemessen an den Kriterien Strategie, Ressourcen, Technologie und Prozesse zählt nach wie vor die überwiegende Mehrheit (70 Prozent) der befragten deutschen Unternehmen zu den sogenannten Cyberanfängern. Auf den Fall eines Cyberangriffs sind sie nur unzureichend vorbereitet. 19 Prozent gelten als Fortgeschrittene und nur elf Prozent als Cyberexperten (Report 2018: 77 Prozent Anfänger; 14 Prozent Fortgeschrittene; zehn Prozent Experten). Die Daten basieren auf einer Umfrage unter rund 5.400 Unternehmen aus Deutschland, den USA, Großbritannien, Frankreich, Spanien, Belgien und den Niederlanden. Hierzu befragte das Marktforschungsinstitut Forrester Consulting Führungskräfte, Abteilungsleiter, IT-Manager und Verantwortliche für Cybersicherheit zu ihren Erfahrungen sowie ihrem Umgang mit Cyberattacken.

Während sich die Cyberabwehrbereitschaft nur leicht verbessert hat, wächst zumindest das Bewusstsein für den mangelnden Schutz – so die Erhebung weiter: Seit 2017 sinken die Zustimmungswerte in Bezug darauf, wie selbstbewusst Unternehmen ihrer Cyberstrategie gegenüberstehen. So gaben beispielsweise im Report 2019 nur noch 59 Prozent der international Befragten an, dass ihre Geschäftsleitung eine klare Vorstellung davon hat, wie Cybersicherheit gemanagt werden muss. Im Report 2018 stimmten dieser Aussage noch 61 Prozent zu und 2017 sogar 75 Prozent. Diese Entwicklung spricht dafür, dass sich der Kenntnisstand der Unternehmen rund um Cyberrisiken gebessert hat und sie ihre Abwehrkompetenzen im Vergleich zu den Vorjahren nicht mehr überschätzen.

Umgang mit digitalen Risiken

Obwohl die überwiegende Mehrheit der Befragten keine Cyberexperten sind, zeigen sich dennoch Verbesserungen im Umgang mit digitalen Gefahren. Immer mehr Unternehmen in Deutschland verfügen über einen Mitarbeiter, der dezidiert für Cyberrisiken zuständig ist (Report 2019: 85 Prozent; 2018: 69 Prozent). Außerdem reagieren mehr Firmen mit konkreten Gegenmaßnahmen, wenn sie Opfer eines Cyberangriffs wurden. Nur noch 32 Prozent der betroffenen deutschen Unternehmen gaben an, dass sich nach einer Attacke nichts geändert hat (Report 2018: 45 Prozent). Im Zuge regulatorischer Maßnahmen wie der Einführung der DSGVO haben 21 Prozent der deutschen Firmen 2018 verstärkt in Mitarbeitertrainings investiert. Zudem planen deutsche Firmen elf Prozent ihres gesamten IT-Budgets 2019 in Cybersicherheitsmaßnahmen zu investieren, womit die Investitionsbereitschaft zwei Prozentpunkte über der aller in der Studie befragten Unternehmen liegt (neun Prozent gemessen am IT-Budget).

Zur Absicherung ihrer Risiken haben international bereits 41 Prozent der Studienteilnehmer eine Cyberversicherung abgeschlossen (Report 2018: 33 Prozent), 30 Prozent planen einen Abschluss innerhalb der nächsten zwölf Monate (Report 2018: 25 Prozent). In Deutschland gaben 34 Prozent an, durch eine solche Versicherung vor den Folgen eines Cyberschadens geschützt zu sein.

Schadenhöhen steigen drastisch

Desweiteren zeigen die Ergebnisse, dass Cyberrisikomanagement auf der Agenda jeder Firmenleitung stehen sollte: Die Frequenz von Cybereinschlägen steigt weiter und die Folgen der Angriffe für die Unternehmen werden immer teurer. 61 Prozent der befragten deutschen Firmen waren in den vergangenen zwölf Monaten von mindestens einer Cyberattacke betroffen (Report 2018: 48 Prozent). Mit einem Anteil von 30 Prozent erlebten in den befragten Ländern zudem mehr Unternehmen vier oder sogar mehr Angriffe, während laut dem Report 2018 noch 20 Prozent so oft attackiert wurden.

Die durchschnittlichen Kosten aus allen erlittenen Cyberzwischenfällen pro Unternehmen stiegen international von 229.000 US-Dollar (Report 2018) auf 369.000 US-Dollar, was einem Zuwachs von 61 Prozent entspricht. Aufgrund einzelner besonders hoher Schadenfälle vermeldeten betroffene deutsche Unternehmen eine durchschnittliche Schadenhöhe von besonders hohen 906.000 US-Dollar.

Cyberangriffe im Mittelstand

Die steigenden Angriffszahlen bekommen vor allem kleine und mittlere Unternehmen verstärkt zu spüren. In allen untersuchten Ländern wurden 47 Prozent der kleinen und 63 Prozent der mittelgroßen Firmen Opfer von Cyberattacken (2018: kleine Firmen: 33 Prozent; mittlere Firmen: 36 Prozent). 23 Prozent der Unternehmen mit bis zu 999 Mitarbeitern fielen dabei Schad-Software wie Viren oder Würmern zum Opfer, 20 Prozent mussten mit Datenschutzverletzungen und dem Verlust von Mitarbeiter- und Kundendaten umgehen und 15 Prozent erlitten eine Ransomware-Attacke.

„Der Anstieg von Schadenfällen und -summen verwundert uns nicht und deckt sich mit unserer Schadenpraxis. Die wenigsten Firmen beschäftigen sich aktiv mit Cyberkrisenmanagement und das Niveau von Schutz- und Präventionsmaßnahmen ist in vielen Firmen nach wie vor bedenklich. Diesen Vorteil können Cyberkriminelle leicht für sich nutzen. Entscheidungsträger müssen realisieren, dass Cyberkriminalität ein reales Geschäftsrisiko der digitalisierten Welt ist, und nicht nur eine Modeerscheinung“, erläutert Robert Dietrich, Managing Director Germany der Hiscox SA.

Wie schnell decken Unternehmen Cyberangriffe auf?

In Summe gaben 90 Prozent der Befragten an, einem Cybervorfall innerhalb eines Tages auf die Schliche zu kommen. Gefragt wurde nach der benötigten Zeit, um den größten Cybervorfall innerhalb der letzten zwölf Monate im eigenen Unternehmen zu erkennen:

13 Prozent der befragten Unternehmen benötigen laut eigenen Angaben weniger als eine Stunde,
48 Prozent mehr als eine Stunde, aber weniger als fünf Stunden,
23 Prozent mehr als fünf Stunden, aber weniger als zwölf,
sechs Prozent mehr als zwölf Stunden, aber weniger als einen Tag.

Mehr als einen Tag, aber weniger als eine Woche benötigten fünf Prozent,
mehr als eine Woche, aber weniger als einen Monat brauchten zwei Prozent,
mehr als einen Monat, aber weniger als drei Monate benötigten ein Prozent,
mehr als drei Monate ein Prozent und ein weiteres Prozent gab an, es nicht zu wissen.

Bildquellen: Thinkstock/iStock, Hiscox

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok