Cyberschutz-Studie: Was Unternehmen befürchten und wie sie sich schützen
Trotz permanent kolpotierter Schreckenszenarien über wachsende Cyberrisiken sehen viele kleine und mittlere Betriebe für sich keine Gefahr. Das geht aus einer Befragung im Auftrag der Vermittlungsplattform Cyberdirekt vor. Die Verbeitung passender Absicherung ist entsprechend ausbaufähig.
Die Warnung vor Cybergefahren ist allgegenwärtig. Zuletzt schloss der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) im Zusamenhang mit dem Krieg in der Ukraine vermehrte russische Hackerangriffe nicht aus. Noch lässt sich die Bedrohung an den tatsächlichen Fallzahlen nicht ablesen. Das Risiko, so der Branchenverband, habe sich aber erhöht.
Studienergebnisse sollen unterschätzte Gefahr belegen
Passend zu dieser Einschätzung veröffentlicht nun der Makler Cyberdirekt eine Studie. Das Berliner Insurtech betreibt eine digitale Plattform für den Abschluss von Cyberpolicen und ist nach eigener Aussge auf kleine und mittlere Unternehmen spezialisiert. Die Ergebnisse der „CyberDirekt Risikolage 2022“ lassen den Schluss zu, dass es in puncto Cybersicherheit in Deutschland deutliches Aufholpotenzial gibt. So haben sich gut 57 Prozent der befragten Unternehmen bis dato aktiv mit Cyberversicherungsschutz beschäftigt. Davon wiederum gaben 23 Prozent an, dass sie bereits einen Versicherungsschutz besitzen: zwölf Prozent als eigenständige Cyberpolice und elf Prozent als Kombilösung im Verbund mit weiterem Versicherungsschutz. Weitere 18 Prozent sind noch auf der Suche nach einer passenden Versicherungslösung. Dass rund 43 Prozent der Unternehmen sich bisher noch überhaupt nicht mit diesem betrieblichen Absicherungsthema auseinandergesetzt haben, zeigt auch ein mögliches Vertriebspotenzial für Vermittler. Hier muss allerdings erhebliche Überzeugungsarbeit geleistet werden: Laut Studie fühlen sich 70 Prozent der mittelständischen Unternehmen aktuell gar nicht bedroht. Cyberdirekt nennt das ganz im Sinne des eigenen Geschäftsmodells „trügerisch“.
Weitere Ergebnisse: 26,6 Prozent der Unternehmen waren innerhalb der vergangenen zwei Jahre mindestens einmal Opfer eines erfolgreichen Cyberangriffs. Besonders hoch ist die Zahl unter IT-Unternehmen mit 40,5 Prozent. Die durchschnittliche Schadenshöhe bei den Betroffenen lag bei 193.697 Euro. Besonders stark fürchten die Unternehmen den Totalausfall der eigenen IT-Systeme (65 Prozent). Umsatzeinbußen folgen erst mit 48,9 Prozent.
Wird die Gefahr hochgespielt?
„Die Studie zur Cybersicherheit im deutschen Mittelstand zeigt vor allem, dass das Thema trotz der hohen Gefahrenlage und Medienpräsenz noch nicht durchgängig in den Köpfen angekommen ist“, sagt Cyberdirekt-Geschäftsführer Ole Sieverding. „Mit diesen zum Teil erschreckenden Ergebnissen hatten wir so nicht gerechnet. Wir sehen, dass die Dringlichkeit der Cyber-Bedrohungslage langsam in den Köpfen ankommt. Allerdings noch zu langsam. Daher müssen wir mehr tun, über die Cyber-Gefahren aufzuklären und Unternehmen besser vorzubereiten.“ Sieverding spricht davon, dass man mittlerweile im Tagesrhythmus von Cyberangriffen auch auf deutsche Organisationen höre – konkrete Beispiele nennt der Cyberdirekt-Chef allerdings nicht. Tatsächlich decken sich seine Erkenntnisse nicht mit der Nachrichtenlage und der GDV-Einschätzung.
Welche Präventivmaßnahmen Unternehmen ergreifen
Bei den präventiven Maßnahmen, die zum Teil Bedingung für den Abschluss einer Cyberversicherung als Möglichkeit des Risikotransfers ist, zeigen sich laut Studie stark unterschiedliche Ausprägungen. So werden als größte Cyber-Gefahrenquelle im Arbeitsumfeld vor allem schwache Passwörter (57,3 Prozent) und die Nutzung öffentlicher WLAN-Netzwerke (47,6 Prozent) genannt. 35,8 Prozent der Unternehmen nutzen ein aktives Patch-Management. Bei 50,9 Prozent der Unternehmen werden die Passwörter regelmäßig gewechselt. Immerhin 75,3 Prozent setzen auf einen aktuellen Virenschutz, aber nur ein Viertel (25,2 Prozent) führt regelmäßig einen Phishing-Test durch.
Schnelle Hilfe und Kostenübernahme wichtig
Was nun die Leistungen einer Cyberversicherung angeht, ist der Mehrheit der Befragten (63 Prozent) im Schadenfall der 24-Stunden-Notfall-Support durch IT-Spezialisten am wichtigsten. Auf Platz zwei landet die Kostenübernahme für die Wiederherstellung der IT-Syteme und Daten (62,8 Prozent), dicht gefolgt von der Kostenübernahme für IT-Forensik und für die Entfernung der Schadsoftware. Am Ende der Liste stehen mit 45 Prozent Benachrichtigungskosten für den Fall, dass alle Geschäftskontakte über einen Datenschutzvorfall informiert werden müssen. „Wenn erst die Produktion für Wochen ausfällt und kein Computer mehr nutzbar ist, kommt jede Einsicht zu spät”, so Hanno Pingsmann, Gründer und Geschäftsführer von Cyberdirekt. Der Nutzen einer entsprechenden Police überwiege noch immer bei weitem die Kosten einer Cyberattacke.
Das Düsseldorfer Marktforschungsinstitut Innofact AG hat im Dezember 2021 511 Entscheider online befragt. Die Befragten arbeiten in den Branchen E-Commerce (24), Handel (94), Baugewerbe (86), Dienstleistungen (186) und IT (121). Da über 84 Prozent der Befragten für Unternehmen mit 20 bis 249 Mitarbeiter und einem Jahresumsatz zwischen einer und 50 Millionen Euro tätig sind, handelt es sich primär um kleine und mittelständische Unternehmen (KMU). Die Teilnehmenden bilden den repräsentativen Querschnitt der Führungspersonen der KMUs aus den befragten Branchen ab.