Die Anzahl von Cyberattacken gegen Unternehmen ist in den vergangenen Jahren immer weiter gestiegen. Mehr als eine Million der rund 3,5 Millionen kleinen und mittelständischen Unternehmen (KMU) in Deutschland hat in den vergangenen Jahren bereits Cyber-Angriffe gegen das eigene Unternehmen erfahren müssen. Das sind Ergebnisse der HDI Cyber-Studie, zu der Versicherungs- und IT-Entscheider von mehr als 500 KMU in Deutschland durch das Forschungs- und Beratungsinstitut Sirius Campus repräsentativ befragt wurden.
Vor allem unter den Mittelständlern mit 50 bis 250 Mitarbeitern berichtet mehr als jedes zweite Unternehmen (57 %), schon mindestens einmal attackiert worden zu sein. Fast drei Viertel der erfolgreichen Angriffe (72 %) verursachen dabei erhebliche Schäden und kosten KMU im Schnitt 95.000 Euro. Bei Freiberuflern liegt der Schadendurchschnitt laut Studie sogar bei 120.000 Euro und größere Mittelständler berichten von Schäden von bis zu 500.000 Euro.
Dass laut Untersuchung Mittelständler überdurchschnittlich betroffen waren, heißt jedoch nicht, dass kleinere und Kleinstunternehmen für die Angreifer nicht interessant sind. Auch rund ein Drittel (31 %) der Kleinstunternehmen mit bis zu neun Mitarbeitern und 37 Prozent der Kleinunternehmen mit zehn bis 49 Mitarbeitern sind in den vergangenen Jahren bereits Opfer von Cyber-Attacken geworden.
Zudem zeigt sich ein weiterer unschöner Trend: Kleinere Unternehmen gerieten verstärkt in den Fokus seitdem sich größere Unternehmen besser gegen solche Angriffe schützten. KMU haben dagegen häufig nicht so hohe Sicherheitshürden wie große Unternehmen. Außerdem nutzen Angreifer die KMU auch als „Point of Entry“ für weitere Angriffe. Denn als Dienstleister unterhalten sie häufig auch IT-Schnittstellen zu Großunternehmen.
Die größte Schwachstelle ist meist der Mensch
Angriffe über erweiterte Computer- oder IoT-Netzwerke oder über Wartungsschnittstellen von Druckern oder Kopierern – Angriffsmethoden werden immer ausgefeilter und technisch anspruchsvoller. Allerdings sind es bislang relativ wenige Unternehmen, die in der Praxis bereits auf diese Weise attackiert wurden. Im Schwerpunkt zielen die Angriffsmethoden weiterhin klar auf die Schwachstelle Mensch. So geben 20 Prozent der Unternehmen an, dass sie bereits durch Vortäuschen falscher Identitäten, Spam- oder Phishing-Mails attackiert wurden. Fast genauso viele wurden über verseuchte Anhänge in E-Mails an Mitarbeiter und Schadsoftware angegriffen.
Rund ein Viertel der betroffenen Unternehmen (24 %) musste laut Untersuchung mit Betriebsunterbrechungen in Folge der Attacken klarkommen, so die Studien-Ergebnisse. Zum Beispiel konnte ein Unternehmen aufgrund der kompromittierten Systeme seine Kunden vorübergehend nicht beliefern. Ein anderes konnte nicht mehr auf E-Mails und Firmennetzwerk zugreifen. Buchführung und Kundenservice waren lahmgelegt. Nicht umsonst werden Betriebsunterbrechungen deshalb von 43 Prozent der Unternehmen als besonders relevant eingestuft.
Als noch relevanter bewerten die befragten Unternehmen nur den Diebstahl von Kundendaten: 45 Prozent der Befragten sahen hier eine große Relevanz und fast jedes vierte der angegriffenen Unternehmen (22 %) war bereits betroffen. Genauso häufig sind Auswirkungen auf den Ruf des Unternehmens: 22 Prozent der attackierten Unternehmen beklagen Image- und Reputationsschäden infolge der Cyber-Angriffe. Zudem sahen sich 15 Prozent mit Schadenersatzforderungen von Kunden konfrontiert und 16 Prozent mit Industriespionage und dem Verlust geheimer Unterlagen.
Betriebsunterbrechungen treiben die Schadenkosten in die Höhe
Betriebsunterbrechungen erweisen sich laut der HDI-Untersuchung auch als wichtiger Treiber der Schadenhöhe. Bei mehr als der Hälfte der betroffenen Unternehmen war der Betrieb für mindestens zwei Tage eingeschränkt. Rund 15 Prozent mussten sogar mit vier bis sieben Tagen Betriebsstörungen klarkommen. Besonders hart getroffen wurden dabei Kleinstunternehmen. Denn allein das Entfernen von Schadsoftware und das Einspielen von Updates ist in komplexen IT-Systemen von heute nicht in ein paar Stunden erledigt, auch nicht in kleineren Unternehmen.
Angriffe häufig nur zufällig entdeckt
Häufig werden Cyber-Angriffe bei kleinen und mittelständischen Unternehmen nur zufällig entdeckt. Auch das ist ein Ergebnis aus der Cyberstudie.
Mittelständische Unternehmen entdeckten Cyber-Angriffe dagegen zum großen Teil durch systematisches Screening. Neben der Überprüfung veröffentlichter Schwachstellen gehört das Screening zu den erfolgversprechendsten Methoden, Cyberattacken möglichst frühzeitig zu bemerken und Gegenmaßnahmen einleiten zu können. Kleinere Unternehmen haben hier oft erheblichen Nachholbedarf. Besonders schlecht für Unternehmen ist dagegen, wenn Cyberangriffe erst durch die Schäden, die sie anrichten, bemerkt werden. Etwa ein Fünftel der von Cyber-Attacken betroffenen Unternehmen musste bereits derartige Erfahrungen machen. Mit 17 Prozent etwas weniger bei den Mittelständlern, bei kleineren Unternehmen mehr.
Die Härtung der eigenen Systeme mit neuer Soft- und Hardware sowie zusätzlichen Präventionsmaßnahmen standen nach einer Cyber-Attacke bei vielen im Fokus: jeweils über ein Drittel Unternehmen entschieden sich für mindestens einen dieser Schritte. Dass Cyberangriffe zu Schäden führten, hatte häufig auch Auswirkungen auf die Zusammenarbeit mit IT-Dienstleistern: Für rund ein Fünftel der bisherigen IT-Dienstleister bedeutete es das Aus beim attackierten Unternehmen: 21 Prozent der Unternehmen wechselten in der Folge den IT-Dienstleister.
30 Prozent der Befragten verfügten über keinerlei Versicherungsschutz
Als Konsequenz der erlittenen Cyber-Attacke entschieden sich außerdem über ein Viertel der betroffenen Unternehmen für den Abschluss einer Cyber-Versicherung. Denn gerade nach größeren Schäden tritt die Frage nach einem möglichen Versicherungsschutz in den Fokus. Nur bei einem Viertel der Schadenfälle war der Schaden umfassend durch eine Cyber-Versicherung abgesichert. 30 Prozent der Befragten verfügten dagegen über keinerlei Versicherungsschutz für den erlittenen Schaden.
Autor(en): versicherungsmagazin.de
