Wie steht um die Cybersicherheit und wie groß ist die Bedrohungslage bei kleinen und mittelständischen Unternehmen? Die Frage stand im Mittelpunkt der Cyberstudie, den die HDI Versicherung im nun dritten Jahr in Folge aufgelegt hat. Dafür befragte der Versicherer immerhin rund 1.500 IT- und Versicherungs-Entscheider kleiner und mittelständischer Unternehmen sowie Selbstständige.
Eine nicht wirklich überraschende Erkenntnis ist, dass immer mehr kleine und mittelständische Unternehmen Erfahrungen mit Cyberangriffen. Nach rund 40 Prozent in den vergangenen Jahren gaben bei der aktuellen Befragung 53 Pozent der Teilnehmer an, bereits Cyberangriffe erfahren zu haben.
Dabei scheinen sich Cyberkriminelle, die Firmen ins Visier nehmen, im letzten Jahr auch wieder auf den Mittelstand, also Firmen mit 50 bis 250 Mitarbeitern, konzentriert zu haben. Das legen die Ergebnisse der HDI Cyberstudie 2024 nahe. War im Rahmen der letztjährigen Studie bereits ein Trend hin zu verstärkten Angriffen auf Kleinunternehmen mit zehn bis 49 Mitarbeiter ablesbar, so stehen laut Umfrage der neuen Cyberstudie inzwischen auch wieder Mittelständler im Fokus der Cyberkriminellen.
Im Blick auf Kleinbetriebe sei die aktuelle Entwicklung jedoch besonders ausgeprägt, betonen die Studienautoren: So hätten bereits 56 Prozent dieser Unternehmen bereits Erfahrung mit Cyberangriffen. Der Wert sei damit inzwischen auf dasselbe Niveau wie bei Mittelständlern gestiegen.
Vor zwei Jahren lag diese Quote laut Studie noch bei 37 Prozent. Und auch Kleinstbetriebe mit bis zu neun Mitarbeitern werden laut neuester Studie vermehrt angegriffen. Allerdings hat das Niveau mit 39 Prozent noch nicht das größerer Unternehmen erreicht. „Die neue Cyberstudie zeigt deutlich: Auch Kleinunternehmen, Kleinstunternehmen und Freiberufler werden für die Angreifer immer interessanter,“ stellt dazu HDI Vorstand Christian Kussmann fest.
Risikowahrnehmung wieder auf „Normalniveau“
Das Risiko für eine Cyber-Attacke auf ein kleines oder mittleres Unternehmen in Deutschland schätzen knapp die Hälfte der Studien-Teilnehmer als hoch oder eher hoch ein. Eine Betroffenheit des eigenen Unternehmens halten jedoch nur 38 Prozent der Befragten als wahrscheinlich. Im Vorjahresvergleich liegen beide Werte jeweils um rund zehn Prozentpunkte höher und damit auf dem Niveau der Cyberstudie 2022.
Im Vergleich zur früheren Umfrage registrieren die Studienautoren jedoch eine Tendenz zur stärkeren Wahrnehmung der eigenen Schadengefahr. So bewerteten nun 34 Prozent der Befragten die Schadenwahrscheinlichkeit für das eigene Unternehmen höher. Vor zwei Jahren waren es 27 Prozent. In der Umfrage für die Studie 2023 dagegen lag der Wert mit 23 Prozent der Umfrageteilnehmer signifikant niedriger. „Wir gehen daher davon aus, dass die Cyberbedrohung für die Unternehmen durch andere aktuelle Risiken wie Inflation und Lieferengpässe bei vielen vorübergehend in den Hintergrund gerückt war,“ erklärt Kussmann.
Schaden-Erfahrungen: Wenig nachhaltig
Aus Schaden wird man klug. Dies gilt grundsätzlich auch nach einem Angriff aus dem Cyberspace. Allerdings scheint diese Einsicht nur eine begrenzte Haltbarkeit zu haben, so lautet eine weitere Erkenntnis der aktuellen Untersuchung: Die Einschätzung der Befragten hinsichtlich des Angriffs- und des Schadensrisikos nehmen relativ schnell nach einem Angriff auf das Unternehmen wieder deutlich ab: So schätzen 57 Prozent der Befragten, deren Unternehmen innerhalb von 12 Monaten vor der Umfrage attackiert worden ist, das Angriffsrisiko für ihr eigenes Unternehmen als „hoch“ oder „sehr hoch“ ein. Mit drei Jahren Abstand zu einem Cyberangriff hat sich dieser Wert halbiert: nur noch 27 Prozent dieser Befragten teilen dann diese Ansicht.
Ähnlich auch die Ergebnisse zum Schadensrisiko: Von den in den letzten zwölf Monaten attackierten Unternehmen schätzen insgesamt 46 Prozent der Befragten das Risiko, dass ihr Unternehmen bei einem nächsten Cyberangriff Schaden nehmen könnte, als „hoch“ oder „eher hoch“ ein. Je länger der Angriff zurückliegt, desto geringer jedoch wird diese Sorge: Nach ein bis zwei Jahren, sind nur noch 39 Prozent dieser Ansicht. Und nach drei bis fünf Jahren teilen nur noch 25 Prozent Interviewten diese Einschätzung. Am niedrigsten ist der Wert bei Unternehmen, die in den fünf Jahren vor der Umfrage nicht attackiert wurden. Er liegt gerade einmal bei 22 Prozent.
Erfahrung mit Cyberangriffen wird schnell verdrängt
Noch deutlicher ist die Tendenz, wenn Teilnehmer nach dem generellen Angriffsrisiko für KMU gefragt werden: Innerhalb von zwölf Monaten nach einem Angriff schätzen 65 Prozent der Befragten das Risiko eines Angriffs für ein KMU als „hoch“ oder „eher hoch“ ein. Liegt der Angriff jedoch länger als zwölf Monate zurück, teilen nur noch zwischen 36 und 42 Prozent der Befragten diese Ansicht.
Offenbar werden die Risiken eines erneuten Angriffes schon nach kurzer Zeit von anderen Themen überlagert und verdrängt. Mit den Studien von 2022 und 2023 kann der Versicherer somit auf mehr als 2.700 Befragungsergebnisse zurückgreifen.
„Auch in diesem Jahr können wir wieder wichtige Schlüsse aus den Ergebnissen ziehen,“ sagt HDI Vorstand Christian Kussmann. Die Negativ-Erfahrung eines Cyberangriffs trete relativ schnell in den Hintergrund. „Von „Cyber-Vergessen“ sprechen, ist damit aus meiner Sicht nicht übertrieben”, lautet das Fazit des Vorstands.