HDI-Studie: Optimierungspotenzial beim Cyberschutz
Damit Cyberpolicen erst gar nicht in Anspruch genommen werden, setzen die Versicherer vermehrt auf Prävention. Eine HDI-Studie will nun herausgefunden haben, dass vor allem eine Kombination von Maßnahmen, die auf Technik, Organisation und den Faktor Mensch zielen, bei KMU den Schutz deutlich verbessert.
Versicherer warnen seit Jahren immer wieder vor Cyberangriffen. In der Folge betonen die Anbieter gerne, dass es ohne ihre Deckungskonzepte nicht geht. Tatsächlich erweist sich die Sparte aufgrund steigender Schadenzahlungen aus Sicht der Branche aber als wenig gewinnträchtig. Vielleicht ist das ein Grund, warum die Versicherer vermehrt auch die aus Ihrer Sicht zu geringen Anstrengungen von Unternehmen kritisieren, ihre IT vor externen Attacken zu schützen. Durch verschiedene Serviceleistungen wollen sie, so der allgemeine Tenor, die Präventionsmaßnahmen ihrer Kunden unterstützten und den Schadenfall gar nicht erst eintreten lassen.
Kombinierte Präventionsmaßnahmen halbieren Schadenhöhe
Auch die HDI Versicherung sieht in Präventionsmaßnahmen nach eigener Aussage einen wirksamen Schutz gegen Cyberangriffe und deren Folgen. Wenig überraschend kommt eine von Hannoveranern beauftragte Studie des Beratungsunternehmens Sirius Campus unter Freiberuflern sowie IT- und Versicherungsentscheidern von mehr als 500 kleinen und mittelständischen Unternehmen (KMU) zu dem Ergebnis, dass es beträchtliches Potenzial zur Verbesserung der Cyberabwehr gibt. Dabei zeige die Studie, dass erst eine Kombination aus technischen Vorkehrungen und organisatorischen Regeln mit Maßnahmen zur Mitarbeitersensibilisierung einen möglichst wirksamen Schutz verspricht. So waren 31 Prozent aller befragten Unternehmen in der letzten Zeit von erfolgreichen Cyberangriffen betroffen. Von denjenigen, die mehr als zehn der untersuchten Präventionsmaßnahmen einsetzen, waren es lediglich 18 Prozent. Noch signifikanter war der Unterschied bei der durchschnittlichen Schadenhöhe: Sie lag bei den 23 Prozent der befragten Unternehmen, die mehr als zehn Maßnahmen einsetzten, bei 54.000 Euro, im Vergleich zu durchschnittlich 95.000 Euro bei der Betrachtung aller betroffenen KMU.
Technische Maßnahmen an erster Stelle, aber allein nicht ausreichend
Laut Studie sind technische Maßnahmen die gängigsten Vorkehrungen, mit denen sich Unternehmen gegen Bedrohungen aus dem Cyberraum schützen. Firewalls, Spam-Schutz und automatische Datensicherungen durch Backups werden am häufigsten verwendet. So gaben 83 Prozent der Befragten an, dass sie Firewalls installiert hätten, 81 Prozent nannten Spam-Schutz und 80 Prozent automatisierte Backups. Seltener eingesetzt werden zum Beispiel Multi-Faktor Authentifizierungen (55 Prozent) oder verschlüsselte Zugänge zum Unternehmensnetzwerk zum Beispiel über VPN (66 Prozent). Technische Maßnahmen hätten für die Unternehmen den Vorteil, dass sie einen guten Basisschutz böten und häufig mit einem überschaubaren Aufwand umzusetzen seien.
Ausreichend ist das laut der Studienautoren allerdings nicht. Das zeigten sowohl Untersuchungen als auch die Schadenbilder von erfolgreichen Cyberangriffen. Die ebenso erforderlichen organisatorischen Präventionsmaßnahmen umfassen zum Beispiel verbindliche Passwort-Standards oder Schwachstellen-Scans der IT und im weiteren Sinne auch die Vorbereitung von Notfallmaßnahmen für einen Cyberangriff. Am weitesten verbreitet (bei 72 Prozent der KMU) sind verbindliche Standards für den Umgang mit Passwörtern. Kritischer sieht es dagegen in Sachen Notfallmanagement aus. So sind die Zuständigkeiten bei einem Cyberangriff lediglich bei 55 Prozent der Unternehmen eindeutig festgelegt.
Nachholbedarf bei der IT-Kompetenz der Mitarbeiter
Angriffe, die auf die Schwachstelle „Mensch“ zielen, sind laut Studie in der Praxis für den Angreifer am erfolgversprechendsten. „Im Rahmen der Studie wurden von betroffenen Unternehmen Angriffsmethoden wie Phishing-Mails oder Social Engineering mit Abstand am häufigsten genannt. Denn Mitarbeiter, die E-Mail-Anhänge von Unbekannten öffnen oder auf zweifelhafte Links klicken, können Kriminellen unkontrollierte Zugänge in die IT-Systeme öffnen“, sagt Malte Dittmann der HDI Versicherung AG. Umso überraschender sei das Ergebnis, dass nur knapp die Hälfte (48 Prozent) der befragten Unternehmen mindestens einmal jährlich Mitarbeiterschulungen zur Cybersicherheit einsetzt. Ein Viertel (25 Prozent) der KMU testen ihre IT-Sicherheit durch simulierte E-Mailangriffe.
Nachholbedarf gibt es anscheinend auch in Sachen Notfallmanagement. So zeigt die Studie, dass nur 55 Prozent der KMU Zuständigkeiten im Angriffsfall festgelegt haben. Einen Notfallplan besitzen 49 Prozent der Unternehmen. Notfallübungen werden nur von 34 Prozent der Befragten absolviert. Gefragt wurde, wie bei den anderen Themen auch, ob die Betriebe die Maßnahmen dauerhaft oder nach Bedarf einsetzen.
Risiko-Audits erhöhen die Informationssicherheit
Cyberrisiken sind laut der HDI-Studie extrem dynamisch und immer im Einzelfall zu bewerten. „Eine individuelle Beurteilung der Risiken durch ein Cyber-Sicherheitsaudit ist deshalb auch für KMU von zentraler Bedeutung“, so Dittmann. Tatsächlich wünscht sich auch die Hälfte aller Befragten eine externe Bewertung ihrer Cyberrisiken durch ein Audit als Zusatzleistung einer Cyberversicherung. Dadurch werden laut Anbieter mögliche Schwachstellen der IT-Infrastruktur festgestellt und potenzielle Gegenmaßnahmen aufgezeigt.