05.09.2022 Sparten/Produkte

HDI-Studie: Optimierungspotenzial beim Cyberschutz

Damit Cyberpolicen erst gar nicht in Anspruch genommen werden, setzen die Versicherer vermehrt auf Prävention. Eine HDI-Studie will nun herausgefunden haben, dass vor allem eine Kombination von Maßnahmen, die auf Technik, Organisation und den Faktor Mensch zielen, bei KMU den Schutz deutlich verbessert.

Die eigenen Anstrengungen der Unternehmen zum Schutz vor Cyberattacken können einen signifikaten Einfluss auf Häufigkeit und Schadenhöhe haben. (Foto: © Monster Ztudio - stock.adobe.com)
Die eigenen Anstrengungen der Unternehmen zum Schutz vor Cyberattacken können einen signifikaten Einfluss auf Häufigkeit und Schadenhöhe haben.
(Foto: © Monster Ztudio - stock.adobe.com)

Versicherer warnen seit Jahren immer wieder vor Cyberangriffen. In der Folge betonen die Anbieter gerne, dass es ohne ihre Deckungskonzepte nicht geht. Tatsächlich erweist sich die Sparte aufgrund steigender Schadenzahlungen aus Sicht der Branche aber als wenig gewinnträchtig. Vielleicht ist das ein Grund, warum die Versicherer vermehrt auch die aus Ihrer Sicht zu geringen Anstrengungen von Unternehmen kritisieren, ihre IT vor externen Attacken zu schützen. Durch verschiedene Serviceleistungen wollen sie, so der allgemeine Tenor, die Präventionsmaßnahmen ihrer Kunden unterstützten und den Schadenfall gar nicht erst eintreten lassen.

Kombinierte Präventionsmaßnahmen halbieren Schadenhöhe

 

Auch die HDI Versicherung sieht in Präventionsmaßnahmen nach eigener Aussage einen wirksamen Schutz gegen Cyberangriffe und deren Folgen. Wenig überraschend kommt eine von Hannoveranern beauftragte Studie des Beratungsunternehmens Sirius Campus unter Freiberuflern sowie IT- und Versicherungsentscheidern von mehr als 500 kleinen und mittelständischen Unternehmen (KMU) zu dem Ergebnis, dass es beträchtliches Potenzial zur Verbesserung der Cyberabwehr gibt. Dabei zeige die Studie, dass erst eine Kombination aus technischen Vorkehrungen und organisatorischen Regeln mit Maßnahmen zur Mitarbeitersensibilisierung einen möglichst wirksamen Schutz verspricht. So waren 31 Prozent aller befragten Unternehmen in der letzten Zeit von erfolgreichen Cyberangriffen betroffen. Von denjenigen, die mehr als zehn der untersuchten Präventionsmaßnahmen einsetzen, waren es lediglich 18 Prozent. Noch signifikanter war der Unterschied bei der durchschnittlichen Schadenhöhe: Sie lag bei den 23 Prozent der befragten Unternehmen, die mehr als zehn Maßnahmen einsetzten, bei 54.000 Euro, im Vergleich zu durchschnittlich 95.000 Euro bei der Betrachtung aller betroffenen KMU.

Technische Maßnahmen an erster Stelle, aber allein nicht ausreichend

 

Laut Studie sind technische Maßnahmen die gängigsten Vorkehrungen, mit denen sich Unternehmen gegen Bedrohungen aus dem Cyberraum schützen. Firewalls, Spam-Schutz und automatische Datensicherungen durch Backups werden am häufigsten verwendet. So gaben 83 Prozent der Befragten an, dass sie Firewalls installiert hätten, 81 Prozent nannten Spam-Schutz und 80 Prozent automatisierte Backups. Seltener eingesetzt werden zum Beispiel Multi-Faktor Authentifizierungen (55 Prozent) oder verschlüsselte Zugänge zum Unternehmensnetzwerk zum Beispiel über VPN (66 Prozent). Technische Maßnahmen hätten für die Unternehmen den Vorteil, dass sie einen guten Basisschutz böten und häufig mit einem überschaubaren Aufwand umzusetzen seien.

Ausreichend ist das laut der Studienautoren allerdings nicht. Das zeigten sowohl Untersuchungen als auch die Schadenbilder von erfolgreichen Cyberangriffen. Die ebenso erforderlichen organisatorischen Präventionsmaßnahmen umfassen zum Beispiel verbindliche Passwort-Standards oder Schwachstellen-Scans der IT und im weiteren Sinne auch die Vorbereitung von Notfallmaßnahmen für einen Cyberangriff. Am weitesten verbreitet (bei 72 Prozent der KMU) sind verbindliche Standards für den Umgang mit Passwörtern. Kritischer sieht es dagegen in Sachen Notfallmanagement aus. So sind die Zuständigkeiten bei einem Cyberangriff lediglich bei 55 Prozent der Unternehmen eindeutig festgelegt.

Nachholbedarf bei der IT-Kompetenz der Mitarbeiter

 

Angriffe, die auf die Schwachstelle „Mensch“ zielen, sind laut Studie in der Praxis für den Angreifer am erfolgversprechendsten. „Im Rahmen der Studie wurden von betroffenen Unternehmen Angriffsmethoden wie Phishing-Mails oder Social Engineering mit Abstand am häufigsten genannt. Denn Mitarbeiter, die E-Mail-Anhänge von Unbekannten öffnen oder auf zweifelhafte Links klicken, können Kriminellen unkontrollierte Zugänge in die IT-Systeme öffnen“, sagt Malte Dittmann der HDI Versicherung AG. Umso überraschender sei das Ergebnis, dass nur knapp die Hälfte (48 Prozent) der befragten Unternehmen mindestens einmal jährlich Mitarbeiterschulungen zur Cybersicherheit einsetzt. Ein Viertel (25 Prozent) der KMU testen ihre IT-Sicherheit durch simulierte E-Mailangriffe.

Nachholbedarf gibt es anscheinend auch in Sachen Notfallmanagement. So zeigt die Studie, dass nur 55 Prozent der KMU Zuständigkeiten im Angriffsfall festgelegt haben. Einen Notfallplan besitzen 49 Prozent der Unternehmen. Notfallübungen werden nur von 34 Prozent der Befragten absolviert. Gefragt wurde, wie bei den anderen Themen auch, ob die Betriebe die Maßnahmen dauerhaft oder nach Bedarf einsetzen.

Risiko-Audits erhöhen die Informationssicherheit

 

Cyberrisiken sind laut der HDI-Studie extrem dynamisch und immer im Einzelfall zu bewerten. „Eine individuelle Beurteilung der Risiken durch ein Cyber-Sicherheitsaudit ist deshalb auch für KMU von zentraler Bedeutung“, so Dittmann. Tatsächlich wünscht sich auch die Hälfte aller Befragten eine externe Bewertung ihrer Cyberrisiken durch ein Audit als Zusatzleistung einer Cyberversicherung. Dadurch werden laut Anbieter mögliche Schwachstellen der IT-Infrastruktur festgestellt und potenzielle Gegenmaßnahmen aufgezeigt.


Weitere Artikel

Listing

12.02.2024 Sparten/Produkte

BaFin-Report: Nachfrage für Cyber-Versicherungen legt kräftig zu

Datendiebstahl, Spionage und Sabotage – Cyberattacken nehmen zu und auch die Angst der Unternehmen vor Hackern wächst. Doch wie sieht es mit der Absicherung der Informationstechnik aus? Die Finanzaufsichtsbehörde hat sich mit einer groß angelegten Umfrage einen Überblick über die Marktlage der Cyberversicherungen verschafft. Zentrales Ergebnis: Das Geschäft wächst schnell und wird bald die Milliardenschwelle übnerschreiten. Doch für die Anbieter ist es nicht immer auskömmlich.

> weiterlesen
Listing

17.11.2022 Sparten/Produkte

Die Ransomware-Bedrohung

Zwei Studien geben Auskunft über den Umgang mit Ransomware-Angriffen auf Unternehmen. Die große Mehrheit kommt den Lösegeld­forderungen der IT-Erpresser nach. Doch tatsächlich führt das oft nicht zur Rettung von Daten. Cyber­versicherungen können dabei offensichtlich nur ein Teil der Lösung sein.

> weiterlesen
Listing

24.10.2022 Sparten/Produkte

Service-Studie: Insurtechs schlagen Lebensversicherer

Eine aktuelle Studie stellt den meisten Insurtechs in Sachen Servicequalität ein gutes Zeugnis aus. Dabei zeigen die Ergebnisse vor allem, dass die Start-ups deutlich schneller und qualitativ besser auf Kundenanliegen reagieren als klassische Versicherer, die zuvor untersucht wurden. Ausnahme ist die Erreichbarkeit.

> weiterlesen