Kategorie wählen

Versicherungen

Wahrnehmung von Cyberrisiken bei KMU gesunken

HDI Versicherung legt neue Cyberstudie vor

NoName_13 / Pixabay

Die HDI Versicherung hat nachgelegt: Ein Jahr nach der ersten Cyberstudie hat der Versicherer erneut kleine und mittelständische Unternehmen (KMU) und Selbstständige zum Thema Cybersicherheit und Angriffe aus dem Cyberraum interviewen lassen. Befragt wurden dazu die Inhaber bzw. Versicherungs- oder IT-Entscheider der Unternehmen. Ein Ergebnis ist: Das Thema Cybersicherheit ist im Vergleich mit den Ergebnissen der letzten Studie bei vielen Unternehmen aus dem Fokus gerückt. Die Risikowahrnehmung für Cybergefahren hat abgenommen.

Über 700 kleine und mittelständische Unternehmen sowie Selbstständige ließ die HDI Versicherung Ende letzten Jahres für die HDI Cyberstudie 2023 zum Thema Cybersicherheit befragen. Durchgeführt hat die repräsentative Untersuchung, wie bereits im Jahr zuvor, das Markt- und Meinungsforschungsinstitut Sirius Campus.

Cyberbedrohung gerät aus dem Fokus

Grundsätzlich ist die Awareness für Cyberrisiken bei vielen Unternehmen nicht zuletzt aufgrund eigener Schadenerfahrungen weiterhin hoch. Im Vergleich zum Vorjahr ging diese dennoch zurück. Konkret schätzen 41 Prozent der Befragten das Risiko für ein kleines oder mittleres Unternehmen, in den nächsten zwei Jahren Ziel einer Cyber-Attacke zu werden, als „hoch“ oder „eher hoch“ ein. Bei der Befragung ein Jahr zuvor bewerteten 53 Prozent das Risiko entsprechend. Bei Kleinstunternehmen mit bis zu 9 Mitarbeitern war der Trend am deutlichsten festzustellen: Bei ihnen ging der Wert von 52 auf 35 Prozent zurück. Mittelständler folgten mit einem Rückgang von 62 auf 48 Prozent. Nur bei Unternehmen mit 10 bis 49 Mitarbeitern blieb der Umfragewert mit einem Rückgang von 46 auf 40 Prozent etwas stabiler.

Analog verhält sich auch die Risikoeinschätzung für das eigene Unternehmen. Nach 38 Prozent im Vorjahr sahen Ende 2022 nur noch 27 Prozent ein hohes oder eher hohes Risiko, selbst Opfer einer Cyberattacke zu werden. Und dass ein Angriff in ihrem Unternehmen einen Schaden herbeiführen könnte, befürchten nur noch 23 Prozent, nach 27 Prozent Ende 2021.

Vor dem Hintergrund, dass die tatsächliche Anzahl der Cyberangriffe 2022 gegenüber dem Vorjahr insgesamt etwas zurückgegangen ist und die mediale Aufmerksamkeit sich verlagert hat, erscheint diese Entwicklung plausibel. Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung weiß außerdem: „Auch die unmittelbaren Herausforderungen durch Energiekrise und Inflation haben das Thema überlagert und aus der Wahrnehmung vieler Unternehmer ein Stück weit verdrängt.“ Und er ergänzt: „Das Auftauchen neuer Herausforderungen darf aber nicht heißen, dass bestehende Cybergefahren ad Acta gelegt werden. Denn die reale Bedrohung aus dem Cyberraum ist und bleibt weiterhin akut.“

Angreifer zielen verstärkt auf Kleinunternehmen

Der Angriffsschwerpunkt scheint sich dabei ein Stück weit hin zu kleineren Unternehmen verschoben zu haben. So gaben in der neuen Umfrage 39 Prozent der kleineren Unternehmen (10 bis 49 Mitarbeiter) an, Ziel einer Cyber-Attacke gewesen zu sein. Im Vorjahr trafen nur 31 Prozent der kleineren Unternehmen diese Aussage. Bei Mittelständlern mit 50 bis 250 Mitarbeitern sank dagegen die Quote der Nennungen von 43 Prozent auf 36 Prozent. Bei Kleinstunternehmen mit bis zu 9 Mitarbeitern bleibt diese mit Nennungen von 25 Prozent (Vorjahr: 26%) konstant.

Ein Grund für diese Verschiebung mag sein, dass mittlere Unternehmen inzwischen häufiger Wert auf Cybersicherheit legen und umfassendere Präventions-Maßnahmen ergreifen. Dadurch wird es für den Angreifer schwieriger, eine Attacke erfolgreich durchzuführen. Kleine Unternehmen hingegen wenden seltener umfassende Sicherheitsmaßnahmen an und sind damit oft leichtere Ziele. Die Tendenz zeigt somit auch: Die häufig immer noch zu niedrige Risiko-Awareness kleinerer Unternehmen basiert mehr denn je auf einem Trugschluss. Auch Kleinunternehmen können sich heute bei Bedrohungen aus dem Cyberraum nicht mehr wegducken.

Stärkere Beachtung von Mitarbeiterschulungen

Die gesunkene Risikowahrnehmung scheint sich jedoch noch nicht signifikant auf die Anwendung von Präventionsmaßnahmen auszuwirken. So ist zwar bei der Abfrage zum Umfang der Anwendung von Präventionsmaßnahmen eine leicht rückläufige Tendenz erkennbar. In der Betrachtung einzelner wichtiger Maßnahmen erscheint die Tendenz dagegen differenzierter.

Positiv entwickelt hat sich die Aufmerksamkeit der Unternehmen für Präventionsmaßnahmen, die auf das wichtige Thema „Mitarbeiterverhalten“ einzahlen. Appelle aus vielen Richtungen zeigen hier offenbar Wirkung. „Mit den Ergebnissen der Cyberstudie 2022 hatte auch HDI ausdrücklich davor gewarnt, dass gerade unbedarftes Mitarbeiterverhalten häufig dem Angreifer einen Weg in die Systeme des Unternehmens öffnete. Unvorsichtiges Mitarbeiterverhalten wurde dabei klar als Haupteinfallstor für Cyberangriffe benannt“, erklärt dazu HDI Vorstand Kussmann.

64 Prozent der Befragten gaben in der 2023er Studie an, dass sie mitarbeiterbezogene Maßnahmen zumindest teilweise umgesetzt hätten. Im Jahr zuvor lag diese Quote noch bei 59 Prozent. Am stärksten stieg dabei der Einsatz von simulierten E-Mail-Angriffen an: von 24 Prozent auf 35 Prozent. Und der Einsatz von Mitarbeiterschulungen, Mitarbeiter-Newslettern sowie Informationen in Meetings zu aktuellen Cyberangriffen wurden jeweils von rund der Hälfte der befragen Unternehmen mindestens einmal im Jahr eingesetzt. Die Umfragewerte legten damit zwischen einem und acht Prozentpunkten zu.

Technische und organisatorische Maßnahmen

Die häufigsten Nennungen bei der Frage nach konkreten Präventionsmaßnahmen entfielen, wie im Vorjahr, auf technische Maßnahmen wie automatische Datensicherung, zentrales Einspielen von Updates, Firewall oder VPN-Technik. Mit 82 nach 84 Prozent im Vorjahr gab ein praktisch gleichgroßer Anteil der Befragten an, solche Maßnahmen vollständig oder teilweise umgesetzt zu haben. Dabei verschob sich der Anteil zugunsten der vollständigen Umsetzung der Maßnahmen. Wie 2022 dominieren auch in diesem Jahr Maßnahmen wie automatische Datensicherung, Firewalls oder Spam-Schutz für E-Mails den Maßnahmenkatalog. Jeweils knapp 80 Prozent der Befragten gaben aktuell an, solche Maßnahmen zu anzuwenden. Die Werte liegen damit auf einem etwas niedrigeren Niveau als 2022. Zugelegt haben dagegen Maßnahmen wie Kryptographie, der Einsatz segmentierter Netzwerke oder Multi-Faktor-Authentifizierungen.

Bei der Abfrage nach der Umsetzung organisatorischer Präventionsmaßnahmen gaben nach 74 Prozent im Vorjahr in der 2023er Studie nur noch 63 Prozent der Befragten an, solche Maßnahmen zumindest teilweise umgesetzt zu haben. Die Abfrage wichtiger einzelner Maßnahmen ergab allerdings zum Beispiel einen Anstieg von jeweils 5 Prozentpunkten bei der Auswertung öffentlicher Informationen für mögliche Angriffsziele (50%) und bei der Simulation von Cyberattacken (37%). Unternehmen schließen offenbar bei konkreten organisatorischen Maßnahmen bislang bestehende Lücken. Die Abfrage wichtiger Maßnahmen zum Notfall-Management ergab eine zunehmende Anwendung.

Versicherer in der Pflicht

Für den Cyber-Versicherungsschutz lässt sich ein positives Resümee ziehen. Mehr Unternehmen haben sich gegen Cyberrisiken versichert: 38 Prozent der Befragten gaben an, über eine Cyberversicherung zu verfügen. Im Vorjahr lag der Wert bei 34 Prozent. Am deutlichsten fiel das Plus dabei bei kleineren Unternehmen mit 10 bis 49 Mitarbeitern aus: 46 Prozent von ihnen bejahten die Frage, nach 38 Prozent im Vorjahr. 35 Prozent der von einem Cyberangriff betroffenen Unternehmen gaben jetzt an, dass ihre Schäden zum Beispiel durch eine Cyberversicherung gedeckt gewesen seien.

Unter dem Strich legen die Studienergebnisse nahe, dass sich das Schutzniveau der deutschen KMU – bei leichten Schwankungen in den Details – aufs Ganze gesehen leicht verbessert hat. Bedenklich stimmt allerdings die Entwicklung, dass trotz unveränderter Risiken das Thema der Bedrohungen aus dem Cyberraum bei Unternehmen weniger im Fokus steht als noch als im Jahr zuvor. Christian Kussmann befürchtet: „Es besteht die konkrete Gefahr, dass sich das Nachlassen der Aufmerksamkeit negativ auf künftige Schutzniveaus von Unternehmen auswirkt.“ Hier sieht der HDI Vorstand auch die Versicherer in der Pflicht. Sie sollten ihre Kunden durch Information und Beratung über die weiterhin bestehenden Bedrohungen konsequent aufklären und die konkreten Möglichkeiten der Prävention und Risikoabsicherung aufzeigen.

(HDI Versicherung)

print

Tags: , , ,

ASCORE Auszeichnung

Es gibt viele gute Tarife – für die Auszeichnung „Tarif des Monats“ gehört mehr dazu. Lesen Sie hier, was die ausgezeichneten Tarife zu bieten haben.

Tarife des Monats im Überblick

ETF-News

ETF-News

Aktuelle News zu börsengehandelten Indexfonds.

zu den News

Guided Content

Guided Content ist ein crossmediales Konzept, welches dem Leser das Vergleichen von Finanzprodukten veranschaulicht und ein fundiertes Hintergrundwissen liefert.

Die Ausgaben im Überblick

ESG Impact Investing

In jeder Ausgabe stellt "Mein Geld" ein UN-Entwicklungsziel und dazu passende Investmentfonds vor.

Un-Entwicklungsziele im Überblick

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Mein Geld Imagefilm

Mein Geld Newsletter

Melden Sie sich für unseren 14-tägigen Newsletter an.

zur Newsletteranmeldung

25 Jahre Mein Geld
Icon

Mein Geld TV

Das aktuelle Video
-
Welche Neuerungen gibt es zum BAV-Geschäft?

Im bAV Geschäft gibt es immer wieder neue Trends und verbesserte Tarife. Was können Berater und Vermittler für 202472025 erwarten?

zum Video | alle Videos
Icon

Mein Geld Magazin

Die aktuelle Ausgabe
Mein Geld 03 | 2024

Die Zeitschrift Mein Geld - Anlegermagazin liefert in fünf Ausgaben im Jahr Hintergrundinformationen und Nachrichten aus den Bereichen Wirtschaft, Politik und Finanzen.

zur Ausgabe | alle Ausgaben

MeinGeld ONLINE

MeinGeld Magazin

MeinGeld TV

Mehr von MeinGeld