Bedingt Cyber-bereit

Foto: © animaflora - stock.adobe.com

Die zweite Auflage des „Cyber Readiness Reports“ des Spezialversicherers Hiscox verdeutlicht, dass für deutsche Unternehmen Cyber-Gefahren einen echten Stress-Faktor darstellen und die Firmen hierzulande im internationalen Vergleich nur mangelhafte Cyber-Strategien vorweisen können.

Für den „Cyber Readiness Report“ hat das Marktforschungsinstitut Forrester Consulting im Auftrag von Hiscox insgesamt über 4.000 Unternehmen aus Deutschland, den USA, Großbritannien, Spanien und den Niederlanden untersucht. Diese Unternehmen wurden, basierend auf den Kriterien Strategie, Ressourcen, Technologie und Prozesse in „Cyber-Anfänger“, „Cyber-Fortgeschrittene“ und „Cyber-Experten“ eingeteilt. In Deutschland wurden 77 % der untersuchten Unternehmen in die Kategorie „Anfänger“ eingeteilt. 14 % gelten als fortgeschritten und nicht einmal 10 % gelten als „Cyber-Experten“. Die meisten „Cyber-Experten“ gibt es in den USA, wo 13 % der untersuchten Unternehmen in diese Kategorie fielen. Immerhin 17 % gelten als „Fortgeschrittene“. In Großbritannien gibt es ebenfalls 13 % Experten, aber „nur“ 15 % Fortgeschrittene.

„Die hohen Anfänger-Quoten sind alarmierend, nachdem das Thema Cyber-Sicherheit in der öffentlichen Wahrnehmung immer präsenter wird. Die Verunsicherung in den Unternehmen ist jedoch groß. Das führt in vielen Fällen dazu, dass lieber nichts getan wird, als eine falsche Entscheidung zu riskieren und diese im Zweifelsfall verantworten zu müssen. Wobei Abwarten bei diesem Thema zu deutlich schwerer wiegenden Konsequenzen führen kann. Die Ratlosigkeit der Betriebe zeigt, dass sie Hilfe von Profis für die Erstellung einer wasserdichten Cyber-Strategie brauchen“, kommentiert Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland.

Bedrohung von außen und von innen

Fast jedes Zweite (48 %) der über 1.000 befragten deutschen Unternehmen hat binnen Jahresfrist einen Cyber-Zwischenfall erlebt. Bei großen deutschen Unternehmen beläuft sich der dadurch verursachte Schaden im Schnitt auf ca. 342.000 Euro, bei deutschen KMU auf 46.000 Euro.  Die am häufigsten erlebte Angriffsart war ein externer Angriff direkt auf das Unternehmen (24 %), gefolgt von einer externen Attacke auf einen Geschäftspartner (14 %). Dabei muss die Cyber-Gefahr nicht einmal von außen an das Unternehmen heran getragen werden: In 15 % der Fälle löste ein Zwischenfall mit einem Mitarbeiter den Schaden aus, in 12 % der Fälle war es ein interner Zwischenfall mit einem Geschäftspartner oder Zulieferer.

Unternehmen kapitulieren vor der Gefahr

Die Unternehmen wirken angesichts der komplexen Gefahrenlagen mit ihrer Cyber-Strategie zunehmend überfordert. So gaben 45 % der deutschen Unternehmen an, dass sich einem Cyber-Zwischenfall nichts geändert hat. 40 % stehen ihrer Cyber-Strategie nicht selbstbewusst gegenüber. Als größte Herausforderungen nehmen die deutschen Unternehmen die sich laufend verändernden internen und externen Bedrohungsszenarien wahr. Die bevorstehenden Regulierungen setzen die Unternehmen zusätzlich unter Handlungsdruck. So hat für 64 % der deutschen Befragten etwa die Compliance mit Blick auf die kommende Europäische Datenschutz-Grundverordnung eine Top-Priorität. m Kampf gegen Cyberkriminelle wünscht sich die Mehrheit der Unternehmen auch verstärkte Hilfe seitens der Bundesregierung. Nur 37 % stimmen der Aussage zu, die Regierung würde Unternehmen in diesem Bereich ausreichend unterstützen.

Prävention bleibt auf der Strecke

Im Kontext ihrer unzureichenden Cyber-Strategie vernachlässigen viele Unternehmen weiterhin auch präventive Maßnahmen gegen Cyber-Zwischenfälle und kürzen beispielweise Budgets für Mitarbeiter-Trainings. In den kommenden zwölf Monaten wollen 17 % der deutschen Unternehmen ihr Budget für entsprechende Schulungsangebote um mehr als 10 % senken, 20 % der Befragten möchten 5-10 % weniger dafür ausgeben. Der Anteil der deutschen Befragten mit einer Cyber-Versicherung liegt bei 33 %. Weitere 25 % planen jedoch, in den kommenden zwölf Monaten eine Cyber-Police abzuschließen. „Mit Blick auf die Gefahrenlage und immer größerer Abhängigkeit der Unternehmen von digitalen Technologien gehen wir bei Hiscox davon aus, dass sich bis 2025 zwei Drittel der deutschen Unternehmen für eine Cyber-Police entschließen werden“, so Robert Dietrich. Die Versicherungs-Inhaber begründeten ihren Abschluss überwiegend damit, dass die hohen Kosten einer Attacke von der Police gedeckt werden und sie sich dadurch geschützt fühlen (37 %). Daneben spielte auch die Cyber-Expertise eine Rolle, auf die man über die Versicherung zugreifen kann und die im eigenen Unternehmen nicht vorhanden ist (33 %).

„Bei einer Cyber-Versicherung geht es nicht nur darum, dass im Schadenfall gezahlt wird. Unternehmen erhalten darüber vielmehr umfassende Unterstützung vom Aufsetzen präventiver Maßnahmen bis hin zum sofortigen IT-Support im Ernstfall. Dieses Maß an Erfahrung und Fachwissen können insbesondere kleine und mittlere Unternehmen selbst oft nicht personell abbilden, was bei einer akuten Cyber-Krise in einem gefährlichen Gemisch aus Hilflosigkeit und unmittelbarem Handlungszwang resultiert. Beim Thema Cyber-Sicherheit besteht auch hinsichtlich der Assistance-Leistungen für Unternehmen weiterhin Aufklärungsbedarf“, schließt Robert Dietrich. (ahu)

www.hiscox.de