Cyber-Risiken sehen und stoppen

07.02.2017

Cyber-Risiken entdeckern, stoppen und mindern ist ein Chef-Sache © Drobot Dean - Fotolia.com

Viele Unternehmen nutzen eine IT-Infrastruktur, die nach außen über das Internet oder eine Cloud geöffnet sind. Durch diese Türe kommen ungebetene Gäste, aber auch Angriffe von innen gibt es.

Eine aktuelle globale Studie von Hiscox und Forrester zeigt auf dass die deutschen Unternehmen einen Nachholbedarf in Sachen Cyber-Sicherheit haben. Im internationalen Ländervergleich liegen deutsche Unternehmen bei Cyber-Risk-Management deutlich hinter den USA und Großbritannien.

Der „Cyber Readiness Report 2017" des Maklerversicherer Hiscox zeigt, wie gut oder schlecht deutsche, britische und US-amerikanische Unternehmen auf Cyber-Attacken vorbereitet sind.

Das Marktforschungsinstitut Forrester Consulting hat dazu im Auftrag von Hiscox die „Cyber-Readiness" von je rund 1.000 Unternehmen in den drei Ländern anhand der Kriterien Strategie, Ressourcen, Technologie sowie Prozesse untersucht.

Schlechte Noten erhalten vor allem die deutschen Unternehmen: Mit 62 Prozent weist Deutschland im Ländervergleich (USA 40 Prozent; GB 57 Prozent) den höchsten Anteil an Unternehmen auf, die als sogenannte „Cyber-Anfänger" gelten, also unzureichend auf Cyber-Attacken vorbereitet sind.

Der Anteil der „Cyber-Experten" liegt in Deutschland bei lediglich 20 Prozent, wohingegen 44 Prozent der befragten US-Unternehmen gut gegen Cyber-Attacken gerüstet sind (GB 26 Prozent). 18 Prozent der deutschen Befragten zählen zu den „Cyber-Fortgeschrittenen", die zumindest teilweise mit den Folgen einer Cyber-Attacke klarkommen können (USA 16 Prozent; GB 17 Prozent).

Nur Risiko-Management hilft gegen Cyber-Attacken

„Die Anzahl der schlecht gegen Cyber-Attacken gerüsteten Unternehmen in Deutschland ist erschreckend hoch. Bei gut vorbereiteten Unternehmen ist IT-Security ein Top-Management-Thema und es existiert eine klare Strategie. Der Fokus muss dabei auf zeitgemäßen Prozessen und Richtlinien, laufenden Investitionen in die technische IT-Security, Sensibilisierung und Schulung der Mitarbeiter und auf spezifischem Cyber-Versicherungsschutz liegen. Wer eines dieser Handlungsfelder vernachlässigt, läuft Gefahr, durch Cyber-Attacken nachhaltig geschädigt zu werden. Kein Unternehmen kann sich absolut vor Cyber-Attacken schützen, aber es kann die Schäden klein halten", sagt Robert Dietrich, Hauptbevollmächtigter bei Hiscox Deutschland.

Gezielte Cyber-Attacken gefährden deutsche Wirtschaft

Dass Cyber-Angriffe zum Alltag gehören, zeigt die Studie. 56 Prozent der befragten deutschen Unternehmen haben im vergangenen Jahr mindestens einen Angriff auf ihre Netzwerke und Daten festgestellt (USA 63 Prozent; GB 51 Prozent). Besonders stark betroffen waren hierzulande die Fertigungsindustrie und die Medien-, Kommunikations- und Technologiebranche, in denen jeweils 65 Prozent der befragten Unternehmen mindestens eine Cyber-Attacke feststellten – gefolgt von der Finanzdienstleistungs-branche (64 Prozent).

Cyber-Strategie sollte Chefsache sein

Die Diskrepanz zwischen „Cyber-Anfängern" und „Cyber-Experten" manifestiert sich beispielsweise in der Rolle des Top-Managements. Während in den deutschen Unternehmen mit „Experten-Status" insgesamt 88 Prozent der Befragten der Aussage „Cyber-Sicherheit muss Chefsache sein" zustimmen (USA 93 Prozent; GB 91 Prozent), sind es bei den Anfängern nur 58 Prozent (USA 70 Prozent; GB 62 Prozent).

Risikofaktor Belegschaft

Zwar nehmen externe Cyber-Attacken den ersten Platz auf der Liste der folgenschwersten Cyber-Angriffe bei 38 Prozent der deutschen Unternehmen ein (USA 25 Prozent; GB 34 Prozent). Auf Platz zwei und drei folgen aber schon die Cyber-Zwischenfälle durch Mitarbeiter: Bei jedem fünften deutschen Unternehmen (20 Prozent) konnten die Verantwortlichen innerhalb der Organisation ausgemacht werden (USA 22 Prozent; GB 16 Prozent), 14 Prozent der Befragten berichteten von verlorengegangenen bzw. gestohlenen mobilen Geräten, wie Firmenhandys oder Tablets (USA 17 Prozent; GB 18 Prozent).

Trotz dieser alarmierenden Ergebnisse vernachlässigen die deutschen Befragten das Thema Sensibilisierung und Schulung von Mitarbeitern bislang. So verpflichtet gegenwärtig nur jedes vierte Unternehmen in Deutschland (24 Prozent) seine Mitarbeiter zur Teilnahme an speziellen Cyber-Trainings (USA 34 Prozent; GB 25 Prozent). Jedoch wollen sich die deutschen Unternehmen für die Zukunft wappnen: 57 Prozent der deutschen Befragten planen, in den kommenden zwölf Monaten die Investitionen für Mitarbeiterschulungen um mehr als fünf Prozent zu erhöhen (USA 64 Prozent; GB 57 Prozent). Einen größeren Stellenwert nehmen hierzulande aber weiterhin Investitionen in neue IT-Sicherheitstechnologien ein: 68 Prozent der Befragten haben vor, das Budget dafür im kommenden Jahr um mehr als fünf Prozent zu steigern (USA 71 Prozent; GB 67 Prozent).

„Investitionen in die IT sind sinnvoll und notwendig, doch sie gaukeln eine trügerische Sicherheit vor, die den in der Realität immer komplexer werdenden Risiken aus dem Netz nicht gerecht werden. Der Faktor Mensch wird bei Investitionsentscheidungen immer noch hintenangestellt, obwohl ein Großteil der Cyber-Attacken durch Mitarbeiter verursacht wird. Dabei bieten gezielte Mitarbeitertrainings das größte Präventionspotential zur Vermeidung von Cyber-Zwischenfällen oder zumindest zur Minimierung ihres Ausmaßes. Sie lassen sich mit relativ überschaubarem Budget umsetzen und ermöglichen insbesondere kleinen und mittleren Unternehmen, ihre ‚Cyber-Readiness‘ zu verbessern", so Hiscox-Experte Dietrich.

Cyber-Versicherungsdeckungen haben Potential

Der Abschluss einer Cyber-Police als zentrales Strategie-Element wird noch von vielen deutschen Unternehmen oder durch Versicherungsmakler vernachlässigt. Hierzulande liegt der Anteil der versicherten Unternehmen mit 30 Prozent merklich hinter den USA (55 Prozent) und Großbritannien (36 Prozent). Jedoch plant nahezu jedes dritte deutsche Unternehmen (31 Prozent), das noch keine Cyber-Police abgeschlossen hat, dies innerhalb der nächsten zwölf Monate nachzuholen. Ihnen gegenüber steht aber immer noch ein Drittel (33 Prozent), das kein Interesse an einer Cyber-Police hat. 40 Prozent von ihnen glauben, eine Cyber-Versicherung wäre für sie nicht relevant und 32 Prozent vertrauen nicht darauf, dass ein Versicherer im Schadenfall überhaupt zahlen würde.

„Diesem hohen Anteil an Unternehmen, die keine Cyber-Police abschließen möchten, ist der Nutzen einer zusätzlichen Absicherung noch immer nicht klar. Hier fehlt es an Aufklärung, vor allem zu den Risiken und den damit verbundenen Kosten, aber auch zu den Leistungen einer Cyber-Versicherung. Denn nach wie vor gehen Unternehmen davon aus, dass Cyber-Schäden von ihrer Gewerbeversicherung gedeckt sind. Wir als Versicherer sind also gefragt, das öffentliche Bewusstsein für Cyber-Gefahren zu schärfen und transparente Produkte zu schaffen, um das Vertrauen der Wirtschaft zu gewinnen", so Robert Dietrich.

Krisenmanagement aus einer Hand bei Schäden

Besonders die zusätzlichen Leistungen im Rahmen von Cyber-Policen stoßen bei Unternehmen auf reges Interesse. Von den deutschen Unternehmen, die bereits eine Cyber-Versicherung haben oder planen, in den nächsten zwölf Monaten eine abzuschließen, gaben 44 Prozent an, sie würden die Beratungsleistungen ihres Versicherers in Anspruch nehmen. 41 Prozent würden Angebote des Versicherers zu präventiver Hard- oder Software nutzen und 40 Prozent interessieren sich für Mitarbeitertrainings.

Studie kostenfrei verfügbar

Der vollständige „Hiscox Cyber Readiness Report 2017" und weitere Informationen zur Studie sind für interessierte Leser und Nutzer als Studie hier im Internet verfügbar. (db)