Ergebnisse der CyberDirekt-Studie „Risikolage 2022“ Cybersicherheit im deutschen Mittelstand

Von Hanno Pingsmann

Anbieter zum Thema

Die Bedrohungslage für Unternehmen war noch nie so hoch und gleichzeitig so komplex – nicht zuletzt auch aufgrund von Effekten des Angriffskriegs in der Ukraine. Nahezu täglich finden sich Nachrichten über Datenpannen und Hacker-Angriffe in den überregionalen Medien, die allerdings nur einen Bruchteil der wirklichen Geschehnisse darstellen.

Anders als Feuer oder Unwetter sind Cyber-Attacken eine abstrakte Gefahr. Cyber-Angriffe sind lautlos und unsichtbar – lediglich die gravierenden Folgen sind deutlich spürbar.
Anders als Feuer oder Unwetter sind Cyber-Attacken eine abstrakte Gefahr. Cyber-Angriffe sind lautlos und unsichtbar – lediglich die gravierenden Folgen sind deutlich spürbar.
(Bild: Sergey Nivens - stock.adobe.com )

Mit der CyberDirekt-Studie „Risikolage 2022“ wollen wir versuchen, mehr Transparenz über die aktuelle Wahrnehmung von Cyberbedrohungen und dem daraus folgenden Riskmanagement im deutschen Mittelstand zu schaffen.

Die aktuelle Lage der Cybersicherheit

Die Zahl der erfolgreichen Cyberangriffe auf einzelne Organisationen steigt immer weiter und die Angriffsmuster werden immer perfider. Hinzu kamen allein im Jahr 2021 bei Microsoft Exchange mit Hafnium im März, VSA Kaseya im Juli und Log4Shell im Dezember drei weitreichende Ereignisse hinzu. Die Wahrnehmung der Gefahr kommt in den Köpfen langsam an, nichtsdestotrotz wird noch zu wenig für einen sinnvollen Schutz gegen Hackerangriffe getan. An vielen Stellen fehlt es noch am Bewusstsein und am Wissen. Hierzu wollen wir mit dieser Studie unseren Beitrag leisten.

Bildergalerie
Bildergalerie mit 10 Bildern

Die Gefahr ist real und wird immer noch unterschätzt

Anders als Feuer oder Unwetter sind Cyberattacken eine abstrakte Gefahr. Cyberangriffe sind lautlos und unsichtbar – lediglich die gravierenden Folgen sind deutlich spürbar. Aufgrund dieser Abstraktheit werden sie aktuell von vielen Entscheiderinnen und Entscheidern noch immer unterschätzt. Diese verzerrte Wahrnehmung führt häufig zu gefährlichen Trugschlüssen. 69,5 Prozent der befragten mittelständischen Unternehmen fühlen sich aktuell nicht durch einen Cyberangriff bedroht. Am stärksten bedroht fühlen sich der Handel mit 76,6 Prozent, das Baugewerbe mit 75,6 Prozent und Dienstleistungsbranchen mit 72,6 Prozent (Abb. 1, siehe Bildergalerie).

Hackerangriffe bereits erlebt

Insgesamt 26,6 Prozent der befragten mittelständischen Unternehmen geben an, innerhalb der letzten zwei Jahre Opfer eines Cyberangriffs geworden zu sein (Abb. 2a). Besonders hoch ist die Zahl unter den IT-Unternehmen (40,5 %), eher gering ist sie bei Unternehmen der Dienstleistungsbranche (16,7 Prozent).

Durchschnittliche Schadenhöhe

Die durchschnittliche geschätzte Schadenhöhe aller Betroffenen lag bei ca. 200.000 Euro. Das kann bei knapp zwei Drittel (64 Pr%ozent) der befragten Unternehmen, die weniger als 10 Millionen Euro Jahresumsatz erwirtschaften, schnell finanziell bedrohlich werden.

Die Folgen einer Cyberattacke

Die am meisten gefürchtete Auswirkung nach einem Cyberangriff ist für fast zwei Drittel (65,0 Prozent) der Befragten der Totalausfall des eigenen IT-Systems. Je größer und damit auch professioneller die Unternehmen werden, desto stärker sind sie sich der Gefahr bewusst. Auf Rang zwei folgen Umsatzeinbußen mit 48,9 Prozent. Besonders E-Commerce-Unternehmen haben hiervor große Sorge (66,7 %). Platz drei der meist gefürchteten Auswirkungen nach einem Cyberangriff belegt mit 48,5 Prozent die ungewollte Veröffentlichung der Kundendaten (Abb. 3.)

Gefahrenquellen teilweise bekannt

Als größte Cyber-Gefahrenquellen im Arbeitsumfeld unter den Befragten, werden schwache Passwörter mit 57,3 Prozent und die Nutzung öffentlicher WLAN-Netzwerke mit 47,6 Prozent genannt. Auch bei unserer Studie 2018 haben diese beiden Gefahrenquellen die Liste angeführt, allerdings nur mit 36,1 Prozent für die schwachen Passwörter und 34,4 Prozent für die Nutzung der öffentlichen WLAN-Netzwerke. Dicht gefolgt von verspätet ausgeführten System-Updates (42,5 Prozent gegenüber 27,5 Prozent im Vorjahr) und eigene Geräte der Mitarbeitenden in internen WLAN-Netzen (41,9 Prozent gegenüber 23,3 Prozent Vorjahr). Als geringste Gefahrenquellen ging der Einsatz der Firmenkreditkarte (30,3 Prozent) und die Website mit Terminbuchung und Kontaktformular (24,5 Prozent) aus der Befragung hervor. Ein behördliches Datenschutzverfahren und Bußgelder werden nur von 25,4 Prozent der Befragten gefürchtet (Abb. 5).

Geeignete Schutzmaßnahmen

Virenschutz ist mit 75,5 Prozent die am meisten genutzte Maßnahme zur Absicherung gegen Cyberrisiken in mittelständischen Unternehmen und findet damit doppelt so oft Anwendung wie Patch-Management mit nur 35,8 Prozent. Über die Hälfte der befragten Unternehmen nutzen Virenschutz, Firewall, starke Passwörter VPN-Verschlüsselung und regelmäßige Passwortänderungen als Basisabsicherung. Auffällig ist, dass die regelmäßige Passwortänderung bei kleinen Unternehmen bis 500.000 Euro Jahresumsatz mit 24 Prozent nur halb so hoch ist wie im Durchschnitt über alle Unternehmensgrößen. Im Verhältnis dazu hat die Zwei-Faktor-Authentifizierung mit 41,9 Prozent ,als davon unabhängig deutlich sicherere Variante im Vergleich, schon eine hohe Akzeptanz und Verbreitung. Nur 48,1 Prozent der Befragten geben an, wöchentlich eine externe Datensicherung zu machen, die damit auf Rang 6 landet.

Einfallstor Mensch

Eine regelmäßige Sensibilisierung der Mitarbeitenden durch Schulungen wird in nur 42,7 Prozent der Unternehmen durchgeführt. Bei Firmen mit weniger als eine Million Euro Jahresumsatz erfolgt die Sensibilisierung sogar nur zu weniger als einem Drittel und bei Unternehmen bis 500.000 Euro Jahresumsatz sogar nur zu 12 Prozent. Erst ein Fünftel der Unternehmen hat aktuell einen Krisenplan als geeignetes Mittel zur besseren Reaktion bei erfolgreichen Cyberangriffen umgesetzt. Dabei hat sich gerade diese Vorbereitung auf den Ernstfall als wichtiges Instrument herausgestellt, um die Schäden möglichst zu begrenzen und die Lage über den Verlauf möglichst schnell wieder zu kontrollieren (Abb. 6). Ein Phishing-Test wird bisher nur bei knapp über einem Viertel (25,2 Prozent) der befragten Unternehmen regelmäßig durchgeführt. Aktuell bewerten nur ein Viertel (24,7 %) der befragten Entscheiderinnen und Entscheider eine Cyberversicherung als effektive Maßnahme für die Absicherung des Restrisikos (Abb. 6).

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Vorteile einer Cyberversicherung

Incident Response sehen 63 Prozent der befragten mittelständischen Unternehmen als höchsten Mehrwert einer Cyberversicherung. In der Studie 2018 lag diese Leistung noch auf Platz 3. Die Unterstützung durch diese spezialisierten IT-Krisenexperten, die den Unternehmen sofort zur Seite stehen und bei der Bewältigung des Vorfalls helfen, haben also stark an Bedeutung gewonnen (Abb. 8).

Recovery und Kostenübernahme IT-Forensik: Dicht gefolgt kommt auf Rang zwei der wichtigsten Mehrwerte einer Cyberversicherung die Kostenübernahme für die Wiederherstellung der IT-Systeme und der Daten mit 62,8 Prozent. Vor vier Jahren war diese Leistung noch auf Platz 1. Danach folgen die Kostenübernahme für IT-Forensik und Entfernung der Schadsoftware mit 59,3 Prozent, die 2018 noch auf Platz 5 lagen. Die Kompensation des Umsatzausfalls während der Betriebsunterbrechung ist mit 58,5 Prozent auf Rang 4 gestiegen und konnte deutlich an Bedeutung zulegen. 2018 war sie noch auf Platz 7 (Abb. 8).

Wissen = Handlung?

Die Mehrheit der Befragten (57,3 %) haben sich schon aktiv mit dem Abschluss einer Cyberversicherung auseinandergesetzt. Mit knapp drei Viertel (73,6 %) ist die Gruppe der befragten mittelständischen Unternehmen aus dem IT-Segment Spitzenreiter, gefolgt von E-Commerce-Unternehmen mit zwei Drittel (66,7 %). Digital-affine Unternehmen scheinen demnach ein deutlich ausgeprägteres Risikobewusstsein für Cybergefahren zu haben.

Die Kostenfrage

Das Preis-Leistungsverhältnis stellt für 94,1 Prozent der Unternehmen eine entscheidende Rolle bei der Auswahl einer Cyberversicherung dar. Hier können spezialisierte Maklerhäuser und Marktvergleiche bei der Bewertung und Auswahl unterstützen. Als weiteren, besonders wichtigen Punkt wird die Deckungssumme erachtet. Für 94,5 Prozent aller Befragten kommt es entscheidend auf dieses Kriterium bei der Auswahl an. Der Bekanntheitsgrad des Versicherers spielt hingegen nur für 74,2 Prozent eine entscheidende Rolle und ist damit am unwichtigsten (Abb. 10). Große Markennamen dürften es damit nicht automatisch leichter haben.

Über den Autor: Hanno Pingsmann ist Geschäftsführer von CyberDirekt mit Sitz in Berlin. Der Cyberexperte hat CyberDirekt im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyberversicherungen gegründet.

(ID:48503562)