9.2.2017 – Der aktuellen Studie „Cyber Readiness 2017“ zufolge sind deutsche Unternehmen nur unzureichend gegen Attacken auf ihr Firmennetzwerk geschützt. Obwohl über die Hälfte der befragten Unternehmen mindesten einen Angriff im letzten Jahr verzeichnen konnte, sind nur 20 Prozent gegen die Folgen eines Cyber-Angriffs gewappnet. Ein Fünftel der Vorfälle wurden durch Mitarbeiter verursacht. Um sich zumindest finanziell vor den Folgeschäden zu schützen, hat ein Drittel bereits eine Cyber-Versicherung abgeschlossen. Ein weiteres Drittel will es demnächst tun und das letzte Drittel hat kein Interesse. Studien-Auftraggeber Hiscox ruft zur Sensibilisierung und Vereinfachung der Policen auf.

Deutsche Unternehmen sind im Vergleich zu den USA und Groß Britannien nur unzureichend gegen Cyber-Attacken gewappnet. Das zeigt die internationale Studie „Cyber Readiness 2017“ (PDF, 2,9 MB) von Hiscox Insurance Company Ltd. (Hiscox) und Forrester Consulting. Für die im Auftrag von Hiscox durchgeführte Studie wurden in den drei Ländern jeweils circa 1.000 Unternehmen befragt.

Dabei wurden die Kriterien Strategie, Ressourcen, Technologie und Prozesse untersucht und anhand der Daten die „Cyber Readiness“ ermittelt. Der Begriff beschreibt, wie sehr die Unternehmen in den drei Ländern auf Cyber-Attacken vorbereitet sind.

Deutsche Unternehmen sind keine Cyber-Experten

Die Analysten ermittelten, dass 62 Prozent der deutschen Unternehmen in die Kategorie „Anfänger“ für Cyber-Schutz fallen. US-Unternehmen landen nur zu 40 Prozent in dieser Gruppe, Britische Firmen zu 57 Prozent. Damit sind die Deutschen am wenigsten auf Cyber-Attacken vorbereitet.

Nur ein Fünftel der befragten deutschen Unternehmen wurde als „Experte“ auf dem Gebiet kategorisiert. Das sind über 50 Prozent weniger als in den USA, die mit 44 Prozent als die am meisten geschützte Nation der Befragung hervorstechen. In die mittlere Gruppe der „Fortgeschrittenen“ fallen 18 Prozent der deutschen Firmen. Sie würden immerhin teilweise mit den Folgen einer Cyber-Attacke umgehen können.

Studie „Cyber Readiness 2017“ (Bild: Hiscox). Zum Vergrößern Bild klicken.

Dass die deutschen Betriebe nicht ausreichend geschützt sind, ist paradox. Denn gut 56 Prozent der Probanden gaben an, mindestens einen Angriff auf das Firmennetzwerk im vergangenen Jahr verzeichnet zu haben. Gleichzeitig ist es laut des „Risk Barometers“ der Allianz SE die größte Angst deutscher Unternehmer, dass ihr Netzwerk angegriffen wird (VersicherungsJournal 12.1.2017).

Besonders stark von Cyber-Angriffen betroffen waren die Fertigungsindustrie und die Medien-, Kommunikations- und Technologiebranche. Hier haben jeweils 65 Prozent mindestens eine Attacke festgestellt. Die Finanzdienstleistungs-Branche gab dies zu 64 Prozent an und landet damit auf Platz zwei.

Die Gefahr kommt auch aus den Unternehmen selbst

Die Folgen eines solchen Angriffs können finanziell schnell in die Zehntausende gehen, zeigt die Studie. Durchschnittlich kostete deutsche Unternehmen mit über 1.000 Angestellten die größte Attacke der vergangenen zwölf Monate rund 45.000 Euro. US-Unternehmen in dieser Größenordnung mussten mit über 100.000 Dollar rechnen.

Die Angriffe auf Firmennetzwerke kommen dabei nicht immer aus dem externen Raum. Zwar bilden Attacken von Außerhalb mit 38 Prozent in Deutschland die größte Gruppe, doch auf Platz zwei befinden sich die eigenen Mitarbeiter. Fahrlässigkeit oder Betrug durch Angestellte lösten 20 Prozent der Zwischenfälle und Netzwerkprobleme in deutschen Unternehmen aus.

Studie „Cyber Readiness 2017“ (Bild: Hiscox). Zum Vergrößern Bild klicken.

Ein Viertel der von Cyber-Attacken betroffenen Unternehmen haben nach dem Vorfall nichts verändert oder etwas getan, um einen weiteren zu verhindern. Ein weiteres Viertel hat danach die Ausgaben für Präventions-Technologie erhöht.

Um dem entgegen zu wirken, gaben jedoch fast 70 Prozent an, in den kommenden zwölf Monaten in neue Sicherheits-Technologie zu investieren. 57 Prozent der deutschen Unternehmen möchten mehr Geld in die Schulung ihrer Mitarbeiter investieren und sie so für das Thema Cyber-Sicherheit sensibilisieren.

Cyber-Versicherungen und Datenschutz

Zum Thema Cyber-Versicherung dritteln sich die Angaben derer, die bereits eine besitzen, die in den kommenden zwölf Monaten erwägen, eine abzuschließen und die kein Interesse daran haben.

Die Gründe dafür, eine solche Versicherung abzuschließen, seien für 45 Prozent der deutschen Unternehmen, dass sie im Falle eines Angriffs finanziell abgesichert seien. Damit gehe auch eine innere Ruhe der Verantwortlichen einher. Auf Platz zwei der Gründe liegt die Sorge über den zu gewährleistenden Datenschutz.

Studie „Cyber Readiness 2017“ (Bild: Hiscox). Zum Vergrößern Bild klicken.

Diejenigen, die keine Cyber-Versicherung wollen, gaben als Gründe dafür an, dass sie nicht unternehmensrelevant sei oder die Policen teils so kompliziert wären, dass sie nicht verstanden würden. 32 Prozent von ihnen würden zudem nicht darauf vertrauen, dass der Versicherer im Ernstfall auch wirklich zahlt.

Sieben Prozent der kleinen Unternehmen (bis 250 Mitarbeiter) und drei Prozent der großen Unternehmen würden nicht einmal wissen, was eine Cyber-Versicherung überhaupt ist.

Bewusstsein für die Gefahren schaffen

Das zwiespältige Verhältnis der Unternehmen zu dem Thema war auch schon in drei früheren Studien deutlich geworden (VersicherungsJournal 10.11.2016).

Die Hiscox ruft daher die Branche dazu auf, das Bewusstsein für Cyber-Attacken bei den Unternehmen zu stärken und ausführlich zu erläutern, wie eine Versicherung hier helfen kann.

Zum Fördern dieses Bewusstseins bietet die VdS Schadenverhütung GmbH bereits einen Schnelltest zur Cybersicherheit an (VersicherungsJournal 9.1.2017).

Zudem sieht es Hiscox als Aufgabe an, die komplizierten Policen zu vereinfachen und verständlicher zu machen. Zusätzliche Angebote wie Mitarbeiter-Schulungen wären ebenfalls ein Service, auf den die Versicherungs-Wirtschaft Wert legen sollte.

Eine der am stärksten wachsenden Versicherungs-Sparten

Trotz einiger Einwände gegen sie sei die Cyber-Versicherung eine der am stärksten wachsenden Versicherungs-Bereiche weltweit. Große internationale Hacker-Attacken hätten einen Regulierungs- und Präventions-Druck auf die Unternehmen ausgeübt und das Risikobewusstsein erhöht.

Das Interesse an einer solchen Versicherung sei in Deutschland seit des Hacker-Angriffs auf den Bundestag im Jahr 2015 sprunghaft angewachsen, heißt es in der Studie.

Gerade im Hinblick auf die 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (VersicherungsJournal 20.12.2016) sei über eine Cyber-Versicherung nachzudenken. Diese Verordnung besagt, dass Unternehmen alle notwendigen Maßnahmen zum Schutz personenbezogenen Daten ergreifen müssen. Sollte ein Leck nachgewiesen und Daten gestohlen werden, können die Unternehmen finanziell belangt werden.