Die Risiken von Cyberattacken für Unternehmen steigen immer weiter. Wie drastisch die Gefahrenlage ist, zeigte die Anfang Mai veröffentlichte Polizeiliche Kriminalstatistik (PKS). Demnach verzeichneten die Kriminalbehörden 146.363 Cybercrime-Delikte. Tendenz weiter steigend. Wie groß die Bedrohungslage eingeschätzt wird, zeigen weitere Warnungen durch das BSI und den Gesamtverband der Deutschen Versicherungswirtschaft.
Bedroht sind Großunternehmen ebenso wie Klein- und Mittelstand. Umfassende Information und Risiko-Awareness sind dabei wichtige Triebfedern, um Präventionsmaßnahmen gegen die Bedrohungen zu ergreifen. Als wesentliche Faktoren haben sich auch die Unternehmensgröße und eigene Schadenerfahrungen herauskristallisiert.
Cybersicherheit ist wichtiges Thema
Das Thema Cybersicherheit ist für viele Entscheider in den Unternehmen ein wichtiges Thema. 37 Prozent der befragten Unternehmens-Verantwortlichen von KMU informieren sich regelmäßig dazu. Bei Mittelständlern mit 50 bis 250 Beschäftigten gilt das sogar für 44 Prozent. Die Tendenz ist laut der Studie deutlich, aber auch nicht überraschend: Je größer das Unternehmen, desto mehr stößt das Thema auf Interesse.
Mehr noch: Rund 47 Prozent der untersuchten Unternehmen aktualisieren regelmäßig ihre Präventionsmaßnahmen. Darunter 41 Prozent der Kleinstunternehmen mit bis zu neun Beschäftigten und 52 Prozent der Mittelständler. Allerdings bleibt immer noch fast ein Viertel der Befragten übrig, die nach eigenen Angaben lediglich „manchmal über das Thema IT- und Cybersicherheit nachdenken“.
Nur sechs Prozent denken gar nicht über Cybersicherheit
Sechs Prozent beschäftigen sich laut HDI Studie gar nicht damit. Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung sieht in der Einstellung Risiken: „Cyber-Bedrohungen sind dynamisch. Wer in Sachen Cybersicherheit nicht auf dem aktuellen Stand bleibt und laufend seine Schutzvorkehrungen und Präventionsmaßnahmen anpasst, kann leicht zum Opfer werden.“
IT-Dienstleister und Medien sind wichtigste Informationsquellen
Eine wichtige Voraussetzung von Risiko-Awareness ist das Know-how der Verantwortlichen. Deshalb die Frage: Woher bekommen diese ihre Informationen? Das Ergebnis der Studie: IT-Dienstleister und spezielle IT-Sicherheits-Beratungsunternehmen sind mit Nennungen von 52 Prozent beziehungsweise 36 Prozent der Befragen laut HDI Cyberstudie die meistgenannten Informationsquellen. IT-Spezialisten kommt somit die Hauptaufgabe der Information von KMU über Cyberrisiken zu.
Bereits an dritter Stelle im Ranking der Informationsquellen stehen mit Nennungen von 31 Prozent der KMU die Medien. Veröffentlichungen in der Tages- und Fachpresse, Rundfunkbeiträge, TV und Internet nehmen damit eine prominente Rolle vor allem in der aktuellen Information zu Cyberrisiken ein. Besonderes Gewicht kommt den Medien dabei bei der Information von Kleinstunternehmen und Selbstständigen zu.
Denn bei Firmen bis neun Mitarbeitern belegen die Medien als Informationsquellen mit Nennungen von 34 Prozent Rang Zwei, nur knapp hinter IT-Dienstleistern (37 Prozent) und vor Informationen aus dem privaten Umfeld (30 Prozent). Auch die Medien nehmen somit eine mitentscheidende Funktion im Hinblick auf Cyber-Sicherheit von Unternehmen ein.
Zentral für die Risikoeinschätzung: Unternehmensgröße und Schadenerfahrung
Als zentrale Faktoren für die Risikoeinschätzungen im Hinblick auf Cybersicherheit haben sich im Rahmen der Studie die Unternehmensgröße sowie die eigene Betroffenheit im Hinblick auf Cyber-Angriffe herausgestellt. So schätzen die Befragten von knapp der Hälfte (48 Prozent) der Unternehmen bis zwei Millionen Euro Jahresumsatz das Risiko für KMU im Allgemeinen als „eher hoch“ oder „hoch“ ein, im Gegensatz zu 69 Prozent der Mittelständler mit über zehn Millionen Euro Umsatz.
48 Prozent der bereits attackierten Unternehmen sehen auch weiterhin ein „eher hohes“ oder „hohes“ Risiko von Cyber-Angriffen auf ihr Unternehmen; bei bislang noch nicht erfolgreich attackierten Unternehmen gilt das nur für 31 Prozent.
Signifikat ist auch das Ergebnis, dass allgemeines und individuelles Risikobewusstsein deutlich auseinandergehen. So sehen laut Studie 53 Prozent der Befragten generell eher ein „eher hohes“ oder „hohes“ Risiko für ein KMU, in den nächsten zwei Jahren Ziel einer Cyber-Attacke zu werden. Für ihr eigenes Unternehmen schätzen jedoch lediglich 38 Prozent der Befragten das Risiko als „eher hoch“ oder „hoch“ ein.
„Die Einschätzung, das eigene Unternehmen als weniger gefährdet als andere anzusehen, kann riskant werden, wenn Sicherheitsmaßnahmen unterbleiben oder nicht sorgfältig umgesetzt werden“, warnt deshalb HDI Vorstand Kussmann. Dazu kommt, dass 52 Prozent aller Befragten im Rahmen der Studie die maximale Schadenhöhe durch eine Cyber-Attacke in ihrem Unternehmen nicht einschätzen konnten.
Die fehlende Ansprache ist ein großes Manko
Ein großes Manko gerade bei Klein- und Kleinstunternehmen ist zudem eine fehlende aktive Ansprache zum Thema Cybersicherheit. Rund 22 Prozent aller Befragten gaben an, in den letzten zwölf Monaten von niemanden auf das Thema Cybersicherheit angesprochen worden zu sein. Bei Kleinstunternehmen galt diese Aussage sogar für die Hälfte der Studienteilnehmer (50 Prozent).
Von den Mittelständlern mit 50 bis 250 Mitarbeitern wurde dagegen nur zwei Prozent bei der Ansprache links liegen gelassen. 38 Prozent der Befragten gaben dagegen an, dass sie durch ihren IT-Dienstleister, 26 Prozent durch die unternehmenseigene IT-Abteilung und jeweils 21 Prozent durch spezialisierte IT-Sicherheitsdienstleister oder Soft- und Hardwarehersteller direkt zum Thema Cybersicherheit angesprochen wurden.
Für die Studie hatte das Forschungsinstitut Sirius Campus Ende 2021 im Auftrag von HDI mehr als 500 Versicherungs- und IT-Entscheider in kleinen und mittelständischen Unternehmen (KMU) mit bis zu 250 Mitarbeitern und freiberuflich Tätige befragt. Dabei stand insbesondere die Schaden und Schadenprävention in den Mittelpunkt.