Cyberangriffe gegen die Unternehmens-IT kleiner und mittelständischer Unternehmen gibt es täglich. Einen wirksamen Schutz gegen solche Angriffe und deren Folgen können Präventionsmaßnahmen leisten. Dazu gehören technische genauso wie organisatorische Maßnahmen oder auch solche, die Mitarbeiter für die Cyberrisiken sensibilisieren. Eine Studie der HDI Versicherung zeigt hier beträchtliches Potenzial zur Verbesserung des Cyberschutzes auf.
Die Studie zum Thema Cybersicherheit erstellte das Forschungs- und Beratungsinstitut Sirius Campus im Auftrag der HDI Versicherung. Dazu befragte das Institut Ende letzten Jahres Freiberufler sowie IT- und Versicherungs-Entscheider von mehr als 500 kleinen und mittelständischen Unternehmen (KMU). Ein Ergebnis der Studie: Viele Unternehmen können durch die Kombination von Präventionsmaßnahmen ihren Cyberschutz wirksam erhöhen.
Technische Maßnahmen an erster Stelle
Technische Maßnahmen sind die gängigsten Vorkehrungen, mit denen sich Unternehmen gegen Bedrohungen aus dem Cyber-Raum schützen. Firewalls, Spam-Schutz und automatische Datensicherungen durch Backups werden laut HDI Studie am häufigsten verwendet. So gaben 83 Prozent der Befragten an, dass sie Firewalls installiert hätten, 81 Prozent nannten Spam-Schutz und 80 Prozent automatisierte Backups. Seltener eingesetzt werden zum Beispiel Multi-Faktor Authentifizierungen (55 Prozent) oder verschlüsselte Zugänge zum Unternehmensnetzwerk zum Beispiel über VPN (66 Prozent).
Die technischen Maßnahmen haben für die Unternehmen den Vorteil, dass sie einen guten Basisschutz bieten und häufig mit einem überschaubaren Aufwand umzusetzen sind. Allerdings reichen technische Lösungen allein nicht aus. Das zeigen sowohl Untersuchungen als auch die Schadenbilder von erfolgreichen Cyberangriffen. Organisatorische Maßnahmen und Mitarbeiterschulungen sind weitere entscheidende Bausteine.
Standards, Notfallmanagement, Mitarbeiterschulungen
Organisatorische Präventionsmaßnahmen umfassen zum Beispiel verbindliche Passwort-Standards oder Schwachstellen-Scans der IT und im weiteren Sinne auch die Vorbereitung von Notfallmaßnahmen für einen Cyberangriff. Am weitesten verbreitet (bei 72 Prozent der KMU) sind verbindliche Standards für den Umgang mit Passwörtern. Kritischer sieht es dagegen in Sachen Notfallmanagement aus. So sind die Zuständigkeiten bei einem Cyberangriff lediglich bei jedem zweiten Unternehmen (55 Prozent) eindeutig festgelegt.
Angriffe, die auf die Schwachstelle „Mensch“ zielen, sind in der Praxis am erfolgversprechendsten – für den Angreifer. Im Rahmen der Studie wurden von betroffenen Unternehmen Angriffsmethoden wie Phishing-Mails oder Social Engineering mit Abstand am häufigsten genannt. HDI Vorstand Malte Dittmann erklärt dies:
Mitarbeiter, die E-Mail-Anhänge von Unbekannten öffnen oder auf zweifelhafte Links klicken, können Kriminellen unkontrollierte Zugänge in die IT-Systeme öffnen.
Umso überraschender ist das Ergebnis, dass laut HDI Studie nur knapp die Hälfte (48 Prozent) der befragten Unternehmen mindestens einmal jährlich Mitarbeiterschulungen zur Cybersicherheit einsetzt. Ein Viertel (25 Prozent) der KMU testen ihre IT-Sicherheit durch simulierte E-Mailangriffe.
Kombinierte Präventionsmaßnahmen halbieren Schadenhöhe
Cyberangriffe sind vielfältig und die Schwachstellen, auf die diese zielen, immer wieder andere. Deshalb gibt es auch nicht die eine wirksame Präventionsmaßnahme, die den perfekten Schutz bietet. Die HDI Cyberstudie zeigt deutlich: Erst eine Kombination aus technischen Vorkehrungen und organisatorischen Regeln mit Maßnahmen zur Mitarbeitersensibilisierung verspricht einen möglichst wirksamen Schutz.
So waren 31 Prozent aller befragten Unternehmen in der letzten Zeit von erfolgreichen Cyberangriffen betroffen. Von denjenigen, die mehr als zehn der untersuchten Präventionsmaßnahmen einsetzen, waren es lediglich 18 Prozent. Noch signifikanter war der Unterschied bei der durchschnittlichen Schadenhöhe: Sie lag bei den 23 Prozent der befragten Unternehmen, die mehr als zehn Maßnahmen einsetzten bei 54.000 Euro – im Vergleich zu durchschnittlich 95.000 Euro bei der Betrachtung aller betroffenen KMU.
Risiko-Audits erhöhen die Informationssicherheit
Cyberrisiken sind extrem dynamisch und immer im Einzelfall zu bewerten. Eine individuelle Beurteilung der Risiken durch ein Cyber-Sicherheitsaudit sei deshalb auch für KMU von zentraler Bedeutung, betont HDI Vorstand Dittmann. Folgerichtig wünscht sich auch die Hälfte aller Befragten eine externe Bewertung ihrer Cyber-Risiken durch ein Audit als Zusatzleistung einer Cyberversicherung. Durch ein Audit werden mögliche Schwachstellen der IT-Infrastruktur festgestellt und potenzielle Gegenmaßnahmen aufgezeigt. Im Rahmen der Cyber-Versicherung bietet HDI mit dem „Security Baseline-Check“ daher ein Audit ihres Kooperationspartners Perseus Technologies zu vergünstigten Konditionen an.
Themen:
LESEN SIE AUCH
IT-Dienstleister sind zentral für die Cybersicherheit
IT-Dienstleister haben erheblichen Einfluss darauf, wie KMU mit Cyberrisiken umgehen. Sie sind meist die erste Wahl im Hinblick auf Information und Umsetzung von Präventionsmaßnahmen. Nach einem Cyber-Angriff erwägen Unternehmen jedoch auch häufig, den IT-Dienstleister zu wechseln.
Digitale Briefe statt KI-Chatbot GPT
Bin ich schon drin? Während viele Marketing- und Vertriebsexperten den Erfolg der neuesten Künstlichen Intelligenz ChatGPT feiern, ist ein Großteil des deutschen Klein- und Mittelstandes auf der Digitalisierungsstufe E-Mail stehengeblieben.
Cyberangriffe und Schäden bei KMU
Über ein Drittel der KMU in Deutschland fiel in den letzten Jahren einem Cyberangriff zum Opfer. Die Attacken erfolgen meist über die Schwachstelle „Mensch". Seitdem sich die größeren Unternehmen besser schützen, geraten zunehmend die Kleineren in den Fokus.
Cyberangriff trotz Firewall: Warum viele Unternehmen zu wenig tun
Eine neue Studie des Cyberspezialisten Coalition offenbart gravierende Lücken im Schutz kleiner Unternehmen in Deutschland. Obwohl ein Großteil der befragten Betriebe bereits Opfer von Cyberangriffen wurde, fehlt es häufig an Zeit, Budget und Strategie zur Prävention.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
Digitalmacht ohne Substanz – Warum Europa beim KI-Wettlauf ins Hintertreffen gerät
Europa ruft nach Souveränität, investiert Milliarden, reguliert ambitioniert – und bleibt doch in der digitalen Peripherie. Trotz der politischen Verve, Künstliche Intelligenz zur strategischen Schlüsseltechnologie Europas zu erklären, ist das Bild ernüchternd: Die Substanz fehlt.
Mit KI zum digitalen Abschluss: die Bayerische und muffintech starten Pilotprojekt zur Antragsunterstützung
Die Versicherungsgruppe die Bayerische und das Technologie-Start-up muffintech starten ein gemeinsames Pilotprojekt zur digitalen Vertriebsunterstützung in der Sachversicherung. Im Zentrum steht der KI-Assistent LEA, der Kunden durch den Online-Antragsprozess begleitet und in Echtzeit Fragen beantwortet. Der erste Einsatz erfolgt im Bereich der Zahnzusatzversicherung, weitere Sparten wie die Hausratversicherung sollen kurzfristig folgen.
Wie KI-Agenten den Beratungsalltag neu definieren
Die Maklerarbeit verändert sich rasant: Digitale Assistenten auf KI-Basis übernehmen Routinetätigkeiten und ermöglichen so mehr Fokus auf Beratung und Beziehungspflege. Jonathan Posselt, Teamleiter KI bei Fonds Finanz, zeigt im Gastbeitrag, wie Maklerbüros schon heute die Weichen für die Zukunft stellen können. Der Text erschien zuerst im expertenReport 07/25.
Versicherungs-KI mit Potenzial – aber auch mit Vorbehalten
Viele Deutsche würden gerne Künstliche Intelligenz nutzen, um Versicherungsanträge schneller und einfacher zu erledigen. Auch bei der Vertragsanalyse zeigen sich viele aufgeschlossen. Doch sobald es um Gesundheitsdaten oder Schadensbewertungen geht, kippt die Stimmung.
Die neue Ausgabe kostenlos im Kiosk
Werfen Sie einen Blick in die aktuelle Ausgabe und überzeugen Sie sich selbst vom ExpertenReport. Spannende Titelstories, fundierte Analysen und hochwertige Gestaltung – unser Magazin gibt es auch digital im Kiosk.
"Unabhängigkeit hat viele Gesichter"
Was bedeutet Unabhängigkeit im Versicherungsvertrieb wirklich?