HDI hat eine neue Cybersicherheitsstudie vorgelegt. Dafür hat der Versicherer über 700 kleine und mittelständische Unternehmen sowie Selbstständige durch das Marktforschungsinstitut Sirius Campus befragen lassen: Die gute Nachricht: Grundsätzlich ist die Awareness für Cyberrisiken bei vielen Unternehmen, nicht zuletzt aufgrund eigener Schadenerfahrungen, hoch.
Die Schlechte: Konkret schätzen gerade noch 41 Prozent der Befragten das Risiko für ein kleines oder mittleres Unternehmen, in den nächsten zwei Jahren Ziel einer Cyber-Attacke zu werden, als „hoch“ oder „eher hoch“ ein. Bei der Befragung ein Jahr zuvor bewerteten 53 Prozent das Risiko entsprechend.
Bei Kleinstunternehmen mit bis zu neun Mitarbeitern war der Trend am deutlichsten festzustellen: Bei ihnen ging der Wert von 52 auf 35 Prozent zurück. Mittelständler folgten mit einem Rückgang von 62 auf 48 Prozent. Nur bei Unternehmen mit zehn bis 49 Mitarbeitern blieb der Umfragewert mit einem Rückgang von 46 auf 40 Prozent etwas stabiler.
Die Risikowahrnehmung nimmt ab – trotz des Kriegs
Analog verhält sich auch die Risikoeinschätzung für das eigene Unternehmen. Nach 38 Prozent im Vorjahr sahen Ende 2022 nur noch 27 Prozent ein hohes oder eher hohes Risiko, selbst Opfer einer Cyberattacke zu werden. Und dass ein Angriff in ihrem Unternehmen einen Schaden herbeiführen könnte, befürchten nur noch 23 Prozent, nach 27 Prozent Ende 2021.
Vor dem Hintergrund, dass die tatsächliche Anzahl der Cyberangriffe 2022 gegenüber dem Vorjahr insgesamt etwas zurückgegangen ist und die mediale Aufmerksamkeit sich verlagert hat, erscheint diese Entwicklung plausibel.
„Auch die unmittelbaren Herausforderungen durch Energiekrise und Inflation haben das Thema überlagert und aus der Wahrnehmung vieler Unternehmer ein Stück weit verdrängt. Das Auftauchen neuer Herausforderungen darf aber nicht heißen, dass bestehende Cybergefahren ad Acta gelegt werden. Denn die reale Bedrohung aus dem Cyberraum ist und bleibt weiterhin akut“, sagt Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung
Angreifer zielen verstärkt auf Kleinunternehmen
Der Angriffsschwerpunkt scheint sich dabei ein Stück weit hin zu kleineren Unternehmen verschoben zu haben. So gaben in der neuen Umfrage 39 Prozent der kleineren Unternehmen (10 bis 49 Mitarbeiter) an, Ziel einer Cyber-Attacke gewesen zu sein.
Im Vorjahr trafen nur 31 Prozent der kleineren Unternehmen diese Aussage. Bei Mittelständlern mit 50 bis 250 Mitarbeitern sank dagegen die Quote der Nennungen von 43 Prozent auf 36 Prozent. Bei Kleinstunternehmen mit bis zu neun Mitarbeitern bleibt diese mit Nennungen von 25 Prozent (Vorjahr: 26%) konstant.
Ein Grund für diese Verschiebung mag sein, dass mittlere Unternehmen inzwischen häufiger Wert auf Cybersicherheit legen und umfassendere Präventions-Maßnahmen ergreifen. Dadurch wird es für den Angreifer schwieriger, eine Attacke erfolgreich durchzuführen.
Kleine Unternehmen hingegen wenden seltener umfassende Sicherheitsmaßnahmen an und sind damit oft leichtere Ziele. Die Tendenz zeigt somit auch: Die häufig immer noch zu niedrige Risiko-Awareness kleinerer Unternehmen basiert mehr denn je auf einem Trugschluss. Auch Kleinunternehmen können sich heute bei Bedrohungen aus dem Cyberraum nicht mehr wegducken.
Stärkere Mitarbeiterschulungen
Die gesunkene Risikowahrnehmung scheint sich jedoch noch nicht signifikant auf die Anwendung von Präventionsmaßnahmen auszuwirken. So ist zwar bei der Abfrage zum Umfang der Anwendung von Präventionsmaßnahmen eine leicht rückläufige Tendenz erkennbar. In der Betrachtung einzelner wichtiger Maßnahmen erscheint die Tendenz dagegen differenzierter.
Positiv entwickelt hat sich die Aufmerksamkeit der Unternehmen für Präventionsmaßnahmen, die auf das wichtige Thema „Mitarbeiterverhalten“ einzahlen. Appelle aus vielen Richtungen zeigen hier offenbar Wirkung.
Mit den Ergebnissen der Cyberstudie 2022 hatte auch HDI ausdrücklich davor gewarnt, dass gerade unbedarftes Mitarbeiterverhalten häufig dem Angreifer einen Weg in die Systeme des Unternehmens öffnete. Unvorsichtiges Mitarbeiterverhalten wurde dabei klar als Haupteinfallstor für Cyberangriffe benannt.
64 Prozent der Befragten gaben in der 2023er Studie an, dass sie mitarbeiterbezogene Maßnahmen zumindest teilweise umgesetzt hätten. Im Jahr zuvor lag diese Quote noch bei 59 Prozent. Am stärksten stieg dabei der Einsatz von simulierten E-Mail-Angriffen an: von 24 Prozent auf 35 Prozent. Und der Einsatz von Mitarbeiterschulungen, Mitarbeiter-Newslettern sowie Informationen in Meetings zu aktuellen Cyberangriffen wurden jeweils von rund der Hälfte der befragen Unternehmen mindestens einmal im Jahr eingesetzt. Die Umfragewerte legten damit zwischen einem und acht Prozentpunkten zu.
Welche Sicherheitsmaßnahmen die Firmen haben
Die häufigsten Nennungen bei der Frage nach konkreten Präventionsmaßnahmen entfielen, wie im Vorjahr, auf technische Maßnahmen wie automatische Datensicherung, zentrales Einspielen von Updates, Firewall oder VPN-Technik.
Mit 82 nach 84 Prozent im Vorjahr gab ein praktisch gleich großer Anteil der Befragten an, solche Maßnahmen vollständig oder teilweise umgesetzt zu haben. Dabei verschob sich der Anteil zugunsten der vollständigen Umsetzung der Maßnahmen. Wie 2022 dominieren auch in diesem Jahr Maßnahmen wie automatische Datensicherung, Firewalls oder Spam-Schutz für E-Mails den Maßnahmenkatalog.
Jeweils knapp 80 Prozent der Befragten gaben aktuell an, solche Maßnahmen zu anzuwenden. Die Werte liegen damit auf einem etwas niedrigeren Niveau als 2022. Zugelegt haben dagegen Maßnahmen wie Kryptografie, der Einsatz segmentierter Netzwerke oder Multi-Faktor-Authentifizierungen.
Bei der Abfrage nach der Umsetzung organisatorischer Präventionsmaßnahmen gaben nach 74 Prozent im Vorjahr in der 2023er-Studie nur noch 63 Prozent der Befragten an, solche Maßnahmen zumindest teilweise umgesetzt zu haben.
Die Abfrage wichtiger einzelner Maßnahmen ergab allerdings zum Beispiel einen Anstieg von jeweils fünf Prozentpunkten bei der Auswertung öffentlicher Informationen für mögliche Angriffsziele (50%) und bei der Simulation von Cyberattacken (37%). Unternehmen schließen offenbar bei konkreten organisatorischen Maßnahmen bislang bestehende Lücken. Die Abfrage wichtiger Maßnahmen zum Notfall-Management ergab eine zunehmende Anwendung.
Absicherung gegen Cyberangriffe wächst leicht
Für den Cyber-Versicherungsschutz zieht HDI ein positives Resümee. Mehr Unternehmen haben sich nach Angaben von HDI gegen Cyberrisiken versichert: 38 Prozent der Befragten gaben an, über eine Cyberversicherung zu verfügen.
Im Vorjahr lag der Wert bei 34 Prozent. Am deutlichsten fiel das Plus dabei bei kleineren Unternehmen mit zehn bis 49 Mitarbeitern aus: 46 Prozent von ihnen bejahten die Frage, nach 38 Prozent im Vorjahr. 35 Prozent der von einem Cyberangriff betroffenen Unternehmen gaben jetzt an, dass ihre Schäden zum Beispiel durch eine Cyberversicherung gedeckt gewesen seien.
Unter dem Strich legen die Studienergebnisse nahe, dass sich das Schutzniveau der deutschen KMU – bei leichten Schwankungen in den Details – aufs Ganze gesehen leicht verbessert hat.
Bedenklich stimmt nach HDI-Angaben allerdings die Entwicklung, dass trotz unveränderter Risiken das Thema der Bedrohungen aus dem Cyberraum bei Unternehmen weniger im Fokus steht als noch als im Jahr zuvor.
„Es besteht die konkrete Gefahr, dass sich das Nachlassen der Aufmerksamkeit negativ auf künftige Schutzniveaus von Unternehmen auswirkt“, sagt Kussmann.
Hier sieht der HDI Vorstand auch die Versicherer in der Pflicht. Sie sollten ihre Kunden durch Information und Beratung über die weiterhin bestehenden Bedrohungen konsequent aufklären und die konkreten Möglichkeiten der Prävention und Risikoabsicherung aufzeigen, so Kussmann.