Cybersicherheit: GDV kritisiert Sorglosigkeit des Mittelstands
Kleine und mittlere Unternehmen fürchten hohe Risiken für ihren Wirtschaftszweig durch Cyberattacken. Das ergab eine GDV-Umfrage. Ihr eigenes Unternehmen sehen die Befragten indes deutlich seltener betroffen. Der Verband kritisiert nicht nur diese Haltung, sondern auch fehlende Notfallpläne oder Datensicherungen.
Erneut liegt eine Studie vor, die beweisen will, dass stark gewachsene Cyberrisiken falsch eingeschätzt werden. Dieses Mal stammt sie allerdings vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Zur Erinnerung: In den vergangenen Wochen waren zahlreiche Untersuchungen erschienen, die auf – oft im Zusammenhang mit dem Ukraine-Krieg – gestiegene Gefahren und Ängste im Zusammenhang mit Cyberattacken hinwiesen und die Cyberversicherung als zwingend notwendige Absicherung anpriesen. Dabei konnten viele Interpretationen nicht überzeugen und deuteten eher auf ein Vertriebsinteresse der Auftraggeber hin.
Hohe Risikoeinschätzung - nur nicht für sich selbst
Beim GDV darf man etwas anderes erwarten. Und tatsächlich offenbart eine Umfrage des Marktforschungsunternehmens Forsa unter 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen einen echten Widerspruch: So sehen laut Befragung nur 34 Prozent ein hohes bzw. sehr hohes Risiko für das eigene Unternehmen. Das passt allerdings nicht zu der allgemeinen Risikoeinschätzung, da 76 Prozent der Teilnehmer für den deutschen Mittelstand insgesamt ein hohes bzw. sehr hohes Risiko erfolgreicher Cyberattacken sehen. Von der Mehrheit der befragten Managerinnen und Manager, die nur ein geringes Risiko für das eigene Unternehmen sehen, halten 82 Prozent ihre Computersysteme für umfassend geschützt (82 Prozent), ihre Daten für uninteressant (70 Prozent) oder für zu klein (62 Prozent), um ins Visier der Kriminellen zu geraten.
GDV kritisiert den Mittelstand
Der GDV behauptet deshalb, dass der deutsche Mittelstand sich hinsichtlich seiner Cyberrisiken in falscher Sicherheit wiege. GDV-Hauptgeschäftsführer Jörg Asmussen sagt: „Zu viele Entscheider nehmen die Bedrohung durch Cyberkriminelle immer noch nicht ernst genug, zudem überschätzen sie die Qualität ihrer IT-Sicherheit.“ Die Folgen seien weit verbreitete Sicherheitslücken: „80 Prozent der Mittelständler erfüllen schon die Basis-Anforderungen an die IT-Sicherheit nicht vollständig. Die Hälfte der Unternehmen hat keinen Notfallplan, ein Drittel hat keine ausreichenden Datensicherungen“, so Asmussen. 64 Prozent bieten ihren Mitarbeiterinnen und Mitarbeitern auch keine IT- oder Sicherheitsschulungen an. Laut GDV stagniert das Niveau der IT-Sicherheit seit Jahren, während die Cyberattacken gleichzeitig immer professioneller und häufiger werden.
Prävention wichtiger als Cyberversicherungen
Der Mittelstand habe die Potenziale bei der Prävention bei weitem noch nicht ausgeschöpft. Angesichts der Gefahren müsse IT-Sicherheit in jedem Unternehmen Chefsache sein, denn eine Cyberattacke kann die wirtschaftliche Existenz eines Unternehmens in kürzester Zeit vernichte, so der Verband. Die Versicherungswirtschaft könne mit Cyberversicherungen das Restrisiko eines erfolgreichen Angriffs absichern – ein solcher Schutz setze aber in aller Regel ein gewisses Maß an IT-Sicherheit voraus. Mit dem Cyber-Sicherheitscheck bietet der GDV kleinen und mittleren Unternehmen eine Hilfe rund um das Thema an.
Die Einschätzung lässt im positiven Sinne aufhorchen. Laut GDV sind Cyberversicherungen also kein Allheilmittel, sondern sichern nur ein Restrisiko ab. Dabei muss man wissen, dass die Produkte oft wegen unklarer Bedingungen, Ausschlüssen oder zu hoher Kosten in der Kritik stehen.