Immer mehr Unternehmen in Deutschland wird bewusst, wie wichtig Cyber-Sicherheit ist: So ist die Zahl der gut vorbereiteten „Cyber-Experten“ zum ersten Mal von 11 Prozent im Jahr 2019 auf 17 Prozent in diesem Jahr deutlich angestiegen. Das ist eines der zentralen Ergebnisse des Hiscox Cyber Readiness Reports 2020.
Zudem ergriffen im Vergleich zum Vorjahr doppelt so viele Firmen nach einer Attacke Gegenmaßnahmen und die Ausgaben für IT-Sicherheit wurden weiter erhöht.
Aber: Für eine Entwarnung ist es noch zu früh, denn Cyber-Kriminelle professionalisieren sich schneller als die Mehrheit der Unternehmen. Dass sie mit dieser Strategie Erfolg haben, zeigen nicht zuletzt die bis ums Sechsfache gestiegenen Kosten im Schadenfall.
Für den Hiscox Cyber Readiness Report 2020 Unternehmen aus Deutschland, den USA, Großbritannien, Frankreich, Spanien, Belgien, den Niederlanden und Irland befragt. Im Auftrag des Spezialversicherers Hiscox befragte das Marktforschungsinstitut Forrester Consulting Unternehmensvertreter zu ihren Erfahrungen sowie ihrem Umgang mit Cyber-Attacken.
Robert Dietrich, Managing Director Germany der Hiscox SA, dazu:
„Das gestiegene Bewusstsein für Cyber-Gefahren ist ein positives Signal: Unternehmen können so ihre Angriffsfläche reduzieren und wirksam auf Attacken reagieren. In einer Zeit, in der die Kosten nach Cyber-Angriffen oft förmlich explodieren und ein nicht zu unterschätzendes finanzielles Risiko darstellen, kommt diese Entwicklung keinen Augenblick zu früh. Schäden im Millionen-Euro-Bereich sind auch in Deutschland keine Seltenheit.“
Kosten nach Cyber-Attacken explodieren
Die Anzahl der Unternehmen, die von Cyber-Kriminellen angegriffen wurden, geht erstmals in der Geschichte des Hiscox Cyber Readiness Reports zurück. Während 2019 noch 61 Prozent der befragten deutschen Firmen berichteten, Opfer eines Cyber-Zwischenfalls geworden zu sein, waren es 2020 nur noch 41 Prozent.
Aber digitale Risiken sind trotzdem nicht zu unterschätzen, wie die stark gestiegenen Kosten nach einem Cyber-Angriff in internationalen Vergleich zeigen: Aktuell zahlen Unternehmen zur Behebung der Folgen von Attacken im Mittel 51.200 Euro. Im Vorjahresreport lag dieser Wert noch bei 9.000 Euro.
Deutsche Firmen mussten mit knapp 72.000 Euro im Schnitt eine deutlich höhere Summe begleichen und wurden darüber hinaus im internationalen Vergleich besonders häufig angegriffen. Deshalb verzeichnen deutsche Firmen auch die größten kombinierten Cyberverluste im Ländervergleich: 363 Millionen Euro bei 389 betroffenen Unternehmen.
Internationaler Vergleich: Deutschland ist abgeschlagen
Deutsche Firmen konnten ihre Spitzenpositionierung im Cyber Readiness Ranking nicht verteidigen: Gemessen an den Kriterien Strategie, Ressourcen, Technologie und Prozesse zählt nach wie vor die Mehrheit (66 Prozent) der befragten deutschen Unternehmen zu den sogenannten „Cyber-Anfängern“, 18 Prozent gelten als Fortgeschrittene und 17 Prozent als Experten.
Damit landet Deutschland auf Platz sechs vor den Schlusslichtern Spanien (14 Prozent Cyber-Experten) und den Niederlanden (12 Prozent Cyber-Experten).
An der Spitzen liegen Unternehmen aus den USA und aus Irland (je 24 Prozent Cyber-Experten).
Bezogen auf die unterschiedlichen Branchen gibt es in der verarbeitenden Industrie beziehungsweise der verarbeitenden Produktion (24 Prozent) und im Finanzdienstleistungssektor die meisten Cyber-Experten (ebenfalls je 24 Prozent).
Je größer das Unternehmen, desto bewusster die Cyber-Gefahren
Während Firmen mit mehr als 1.000 Mitarbeitern beim Thema Cyber-Sicherheit eine Vorreiterrolle einnehmen, hinken kleine und mittelgroße Unternehmen (KMU) immer stärker hinterher: Anzahl der Cyber-Experten: Unternehmen mit 1.000+ Mitarbeitern: 29 Prozent, Unternehmen mit 1-249 Mitarbeitern: 13,7 Prozent.
Auch ist das Thema Cyber-Sicherheit mittlerweile bei 63 Prozent der Großkonzerne Chefsache. In kleinen Firmen liegt der Wert hingegen nur bei 23 Prozent. Im Umgang mit digitalen Gefahren sind kleine Unternehmen vergleichsweise schlecht geschützt: Knapp die Hälfte (49 Prozent) der kleinen Unternehmen hat weiterhin keine Mitarbeiter, die für Cyber-Sicherheit verantwortlich sind. Bei Großkonzernen liegt dieser Wert nur bei 2 Prozent.
Mehr Ausgaben für Cyber-Sicherheit
26 Prozent der befragten Unternehmen sichert sich zusätzlich durch eine eigene Cyber-Versicherung ab. Immerhin 11 Prozent der Firmen ohne Cyber-Schutz planen eine solche Spezialversicherung im kommenden Jahr abzuschließen (2019: 30 Prozent).
Ob Unternehmen eine zusätzliche Police tatsächlich abschließen, bleibt abzuwarten. Die Ergebnisse aus den früheren Reports zeigen, dass oft nur ein Bruchteil der vorgesehenen Investitionen getätigt wurden.
Gleiches gilt auch für die geplanten Budgetsteigerungen zur Absicherung von digitalen Risiken: 72 Prozent der Firmen planen eine Erhöhung der Ausgaben für Cyber-Sicherheit im kommenden Jahr (2019: 67 Prozent). Der Großteil des Geldes soll in die Gesamt-Cyber-Sicherheitsstrategie fließen, gefolgt von Investitionen in neue Sicherheitstechnologien und in Präventionsmaßnahmen.
Ole Sieverding, Underwriting Manager Cyber der Hiscox SA, erläutert:
„Die Corona-Krise hat gezeigt, wie vielfältig die Risiken in der vernetzten Welt sind: Cyber-Kriminelle haben mit den oft weniger gut geschützten PCs der Mitarbeiter oder den Fernzugriffsmöglichkeiten auf das Unternehmensnetzwerk aus dem Home-Office neue Einfallstore gefunden. Die Sensibilisierung für Cyber-Risiken bekommt für Unternehmen bei steigender Abhängigkeit von solchen Lösungen zu Recht eine immer höhere Priorität. Cyber-Versicherungen können ein guter Baustein in einer ganzheitlichen IT-Sicherheitsstrategie sein. Vielen Firmen sind die Vorteile entsprechender Policen noch nicht bewusst, daher ist die Abdeckung noch lückenhaft. Im Gegensatz dazu sind fast alle Unternehmen gegen Feuer und Diebstahl versichert. Die Wahrscheinlichkeit, Opfer von Cyber-Kriminellen zu werden, ist laut Report jedoch fast zwanzig Mal höher.“