Cybersicherheitsstudien gibt es viele. Die der Gothaer zum Thema Cybersicherheit bei kleinen und mittleren Unternehmen sticht insofern heraus, weil sie seit mehr als sechs Jahren alljährlich veröffentlicht wird. Das schöne an dieser Zeitreihen-Studie ist, dass sich hier wunderbar herauslesen lässt, wie sich einerseits die Wahrnehmung von Cybergefahren in den vergangenen Jahren bei KMU deutlich verändert hat. So wächst zwar die Sensibiliät für die Gefährdungslage. Aber abgesichert, falls es digital richtig fackeln sollte, ist das Gros der Firmen hingegen immer noch nicht.
Größte Sorge: Hackerangriffe
So gehen bei der nun veröffentlichen neuen KMU-Studie mittlerweile 37 Prozent der befragten Firmen davon aus, dass das Risiko, Opfer eines Cyberangriffs zu werden, in den nächsten 12 Monaten zunehmen wird. Im vergangenen Jahr waren es 34 Prozent. Immerhin 49 Prozent erwarten, dass die Gefahr gleich bleibt und nur zwei Prozent gehen von einem sinkenden Risiko aus.
Knapp die Hälfte der Befragten (48 Prozent) sieht in einem Hackerangriff das bedrohlichste Risiko für ihren Betrieb. Damit bleibt die Furcht vor Cyberkriminalität nach wie vor auf Platz eins der größten Gefahren für KMU. Auf den Plätzen zwei und drei der am meisten gefürchteten Risiken folgen menschliches Versagen (41 Prozent) und Betriebsausfälle (40 Prozent).
„KMU sind zunehmend für die Gefahren im digitalen Raum sensibilisiert. Das zeigt die wachsende Anzahl an Unternehmen, die sich mit einer Cyberpolice gegen Cyberrisiken absichern“, so Thomas Bischof, Vorstandsvorsitzender der Gothaer Allgemeine AG. Waren es 2023 nur 20 Prozent, die eine Cyberpolice abgeschlossen hatten, sind es heute mit 25 Prozent deutlich mehr. Im Vergleich zum Jahr 2021 ist sogar ein Anstieg von neun Prozentpunkten zu verzeichnen.
Gleichwohl ist der Anteil der Unternehmen, die sich nicht schützen, mit 75 Prozent erschreckend hoch, wie die Studie zeigt. Und das obwohl sich KMU der Gefahr zunehmender digitaler Angriffe bewusst seien, so Bischof. „44 Prozent der Befragten ohne Absicherung gehen davon aus, dass sie kein lohnendes Ziel für Cyberattacken darstellen – aber das ist ein Trugschluss“, erklärt er.
„Gerade kleinere Unternehmen können für Angreifer ein attraktives Ziel sein. Denn hier sind teilweise noch wenige robuste Sicherheitsmaßnahmen implementiert und wertvolle Daten können gestohlen oder verschlüsselt werden“, so Bischof weiter. 35 Prozent der KMU ohne Absicherung sehen keine Notwendigkeit für eine Absicherung, da sie sich technisch gut genug geschützt fühlen. Immerhin 28 Prozent halten eine Cyberpolice für zu teuer.
Die Beitragshöhe ist ein wichtiges Kriterium
17 Prozent der befragten Unternehmen waren schon einmal von einem Angriff betroffen. Von ihnen gaben 47 Prozent an, dass Daten gestohlen wurden, 43 Prozent hatten mit einer Betriebsunterbrechung zu kämpfen und bei 21 Prozent wurden Geschäftsgeheimnisse gestohlen.
„Wenn es zu einem Angriff gekommen ist, ist es wichtig, Unterstützung von Experten zu erhalten, die umgehend notwendige Maßnahmen ergreifen können“, erklärt Oliver Schulze, Leiter Cyberversicherung bei der Gothaer.
Das sehen auch die befragten Unternehmen so, für die bei Abschluss einer Cyberpolice die Assistance-Leistungen im Schadenfall – also Krisenberatung und Datenwiederherstellung – am wichtigsten wären. Weiterhin wären die Beitragshöhe der Cyberpolice (47 Prozent) und eine 24-Stunden-Notfallhotline (45 Prozent) wichtige Kriterien bei einem Abschluss
Präventionsmaßnahmen werden wichtiger
Das Angebot von präventiven Maßnahmen in einer Cyberpolice, um Angriffe bereits im Vorfeld entgegen zu wirken, werden für KMU beim Abschluss einer Cyber-Versicherung immer wichtiger. Im Vergleich zu den Vorjahren hat dieser Aspekt kontinuierlich zugenommen (2024: 40 Prozent, 2023: 38 Prozent; 2022: 35 Prozent; 2021: 34 Prozent).
„Häufig sind Mitarbeiter der zentrale Angriffspunkt für Cyberkriminelle. Von Phishing-Mails über Social Engineering bis hin zu unsicheren Passwörtern – die Möglichkeiten für Cyberkriminelle sich Zugang zu Systemen zu verschaffen, sind vielfältig“, erklärt Schulze.
Um solche Angriffe zu vermeiden, seien präventive Maßnahmen wie Mitarbeiterschulungen zur Erhöhung des Risikobewusstseins notwendig. Als Versicherer biete man Kunden daher neben einer 24-Stunden-Cyber-Soforthilfe-Hotline oder der Wiederherstellung von Daten nach einem Angriff auch Präventionsmaßnahmen, wie Phishing-Simulationen oder eLearnings an.