Gehen Unternehmen die Cyber-Experten aus?

In den vergangenen Wochen und Monaten wurden Risiken durch Cyberangriffe immer wieder heraufbeschworen, zahlreiche Studienveröffentlichungen inklusive. Viel davon hat mit dem Krieg in der Ukraine zu tun. Der große Knall ist allerdings, zumindest in der öffentlichen Wahrnehmung, bisher ausgeblieben.

Mehr Cyberattacken - aber nicht bei deutschen Unternehmen

Zahlen des Bundeskriminalamts zeigen für das Jahr 2021 einen Höchstwert erfasster Cyber-Straftaten. Die Polizeiliche Kriminalstatistik weist 146.363 Delikte aus, was einem Anstieg um mehr als zwölf Prozent gegenüber dem Vorjahr entspricht. „Der bereits in den vergangenen Jahren festgestellte Bedeutungszuwachs der Cyberkriminalität setzt sich damit fort. Die Entwicklung ist Ausdruck der fortschreitenden Verlagerung von Kriminalität in den digitalen Raum“, heißt es im „Bundeslagebild Cybercrime 2021“.

Ob die Straftaten auch vermehrt Unternehmen betreffen, lässt sich daraus nicht ableiten. Der zum sechsten Mal veröffentlichte „Cyber Readiness Report 2022“ des Spezialversicherers Hiscox spricht zwar an vielen Stellen von wachsenden Gefahren, die tatsächliche Anzahl der Angriffe scheint jedoch konstant geblieben zu sein. So geben 46 Prozent der befragten Unternehmen an, von mindestens einer Cyberattacke im vergangenen Jahr betroffen gewesen zu sein. Ein durchaus hoher Wert, aber identisch mit dem des Vorjahres, also kein Anstieg. Lediglich weltweit ist die Zahl der betroffenen Unternehmen unter den Befragten um fünf Prozentpunkte auf 48 Prozent gestiegen.

Cybergefahren werden als immer größeres Risiko wahrgenommen

Was wächst, ist die Angst vor den digitalen Gefahren: 44 Prozent der befragten deutschen Unternehmen nennen Cyberattacken als wichtigstes Risiko, knapp gefolgt vom Fachkräftemangel, den 43 Prozent nennen. Es folgen die Pandemie und ein wirtschaftliche Probleme mit je 41 Prozent. Hier waren Mehrfachnennungen möglich. Konkret schätzen die Befragten unter anderem die größere Zahl an Mitarbeitern, die im Home-Office arbeiten (32 Prozent), als Hauptgrund für das erhöhte Cyberrisiko ein. Zudem wird unter anderem auch der Fernzugriffsdienst (VPN) eines Unternehmens häufig als Einfallstor für Hacker angegeben (32 Prozent).

Auffällig ist auch, dass die mittleren Gesamtschadenkosten von Cybervorfällen in Deutschland mit 18.712 Euro im internationalen Vergleich (Schnitt: 15.255 Euro) die höchsten sind. Eine Folge des gewachsenen Stellenwertes des Themas sind laut Hiscox gestiegene Investitionen in Cybersicherheit. Sie erreichen in Deutschland einen Anteil von 24 Prozent des gesamten IT-Budgets, eine Steigerung um vier Prozentpunkte zum Vorjahr.

Kein Vertrauen mehr in eigene Cyber-Expertise

Die zunehmende Sorge vor Attacken, die veränderte Wahrnehmung der Bedrohungslage und laut der Studie immer professionellere Hacker zeigen an einer anderen Stelle einen besonders starken Effekt. So gibt es eine dramatische Veränderung bei der Selbsteinschätzung der befragten Entscheider in Hinblick auf ihre eigene Expertise im Umgang mit Cyberrisiken. Hiscox spricht davon, dass deutsche Unternehmen durch die angespannte Risikolage stark verunsichert seien.

In der Folge gibt sich noch ein viel geringerer Teil der Befragten an, sich selbst als „Cyber-Experten“ zu bezeichnen. Taten dies 2021 in Unternehmen mit über 1000 Mitarbeitern noch 23 Prozent, so sind es dieses Jahr nur noch fünf Prozent. In der Gruppe der befragten Unternehmen mit 250 bis 999 Mitarbeiter fiel der Wert gar von 23 auf ein Prozent. Die meisten stufen sich eine Kategorie darunter als Cyber-Fortgeschrittene ein. Auch bei den Kleinunternehmen sinkt der Anteil selbsternannter Experten drastisch. Hier ist der Anteil derer, die sich sogar nur als Cyber-Anfänger einordnen am größten.

Warum wächst die Verunsicherung so stark?

„Wir sehen über alle Länder hinweg den gleichen Effekt, dass es keine Cyber-Experten mehr gibt“, sagt Gisa Kimmerle, Underwriting Manager Cyber der deutschen Niederlassung der Hiscox SA vergangene Woche bei einem digitalen Pressegespräch. Grund für die stark zurückgegangene Cyber-Selbsteinschätzung sei neben den genannten Gründen die große Zahl an Kumul-Attacken. Damit gemeint ist, dass mehrere Versicherungsnehmer desselben Versicherers, die nicht miteinander in Beziehung stehen, vom selben Schadensereignis betroffen sind.

Fraglich scheint an dieser Stelle, inwieweit nicht auch die Stimmungsmache von Branchenakteuren und die enorme Zunahme veröffentlichter Studien über wachsende Cybergefahren, gerade in der jüngeren Vergangenheit, zu diesen Einschätzungen beigetragen haben. Dabei darf nicht unerwähnt bleiben, dass das Geschäftsmodell der meisten Studienauftraggeber wie Hiscox der Vertrieb von Cyberversicherungen ist.

Cyberpolicen an Gefahrenlage anpassen

Tatsächlich schützen sich laut Untersuchung 67 Prozent der befragten Unternehmen in Deutschland durch eine Cyberversicherung – international beträgt dieser Wert drei Prozent weniger. Elf Prozent der deutschen Befragten geben an, weder eine Cyber-Absicherung zu besitzen noch planen sie, in Zukunft eine Versicherung abzuschließen. „Die Erkenntnis, dass neue digitale Chancen immer auch zusammen mit neuen digitalen Risiken kommen, ist zwar mittlerweile in vielen Unternehmen angekommen, aber das Thema Cybergefahren ist deshalb noch lange nicht weniger brisant. Gleichzeitig besteht die Aufgabe der Cyberversicherer aktuell darin, sich an die veränderte Gefahrenlage anzupassen, um Cyberrisiken versicherbar zu halten und Unternehmen langfristig Versicherungsschutz zur Verfügung stellen zu können“, so Kimmerle.