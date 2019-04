24.4.2019 – Deutsche Firmen schließen im aktuellen „Cyber Readiness Report 2019“, den Hiscox seit einigen Jahren anfertigt, besonders schlecht ab. Zwar hat das Bewusstsein um die Risiken aus dem Netz zugenommen, doch bei Schutzmaßnahmen und Wissen gibt es noch viel zu tun.

Im „Cyber Readiness Report 2019“ der Hiscox Insurance Company Ltd. geben 61 Prozent der befragten deutschen Firmen an, 2018 Opfer eines Cyberzwischenfalls geworden zu sein. Im Vorjahr waren es bei der gleichen Studie nur 45 Prozent gewesen (VersicherungsJournal 7.2.2018).

„Dabei kommt ein Angriff selten allein“, sagte Tobias Tessartz, Technical Underwriter Cyber Hiscox, bei der Vorstellung der Studie. Man beobachte einen deutlichen Anstieg der Frequenz. Immerhin erlebten 2019 30 (Vorjahr: 20) Prozent der attackierten Unternehmen vier oder mehr Angriffe.

24 Prozent hatten einen Virus oder Wurm im eigenen System, 17 Prozent eine Ransomware-Attacke und 15 Prozent wurden Opfer einer DDoS-Attacke (Denial of Service, Nichtverfügbarkeit eines Internetdienstes).

Irrglaube in Sachen Versicherung

Für den „Cyber Readiness Report 2019“ hatte das Marktforschungsinstitut Forrester Consulting im Auftrag von Hiscox zwischen dem 22. Oktober und dem 7. Dezember 2018 eine Umfrage durchgeführt. Befragt wurden insgesamt 5.392 Führungskräfte, Abteilungsleiter, IT-Manager und andere Verantwortliche für Cybersicherheit von Unternehmen in Deutschland, Großbritannien, den USA, Spanien, den Niederlanden, Frankreich und Belgien.

34 Prozent der deutschen Unternehmen gaben an, über eine Cyberversicherung zu verfügen. „Viele Unternehmen befinden sich im Irrglauben, einen vollständigen Cyber-Versicherungsschutz zu haben“, meint Tessartz dazu.

Er geht von einem „deutlich niedrigeren Prozentsatz“ für die tatsächlich ausreichend versicherten Firmen aus. Oftmals würden in den Unternehmen Teildeckungen über die Elektronik-, Vertrauensschaden- oder auch Haftpflicht-Versicherung schon als Cyberversicherung angesehen.

26 Prozent Versicherungsverweigerer

Unter einem umfassenden Schutz versteht Tessartz eine Police, die den Haftpflicht- ebenso wie den Eigen- und Vermögensschaden ersetzt. Zudem sollte sie Dienstleistungen zur Prävention, der IT-Forensik, der Krisen-PR, Rechtsberatung und zur Wiederherstellung der IT-Systeme bereitstellen.

Über alle Länder betrachtet gehen 41 (33) Prozent der Befragten davon aus, bereits eine Cyberpolice abgeschlossen zu haben. 30 (25) Prozent planen einen Abschluss. Die Zahl der Versicherungs-Verweigerer ging auf 26 Prozent zurück.

Im Vorjahr hatten noch 37 Prozent gesagt, dass sie sich gegen die finanziellen Auswirkungen von Cybergefahren nicht versichern wollen. Drei (vier) Prozent sind sich unsicher darüber, was eine Cyberpolice ist.

Teure Hacker

In der Hiscox-Schadenstatistik entfallen 32 Prozent aller Schadenursachen auf die E-Mail-Kompromittierung, die dann 27 Prozent aller Schadenkosten ausmacht. Die teuersten Schäden verursachen Hacker. Hierauf entfallen zwar nur acht Prozent der Schäden, aber 38 Prozent der Kosten. „Hackerangriffe sind komplex und werden oft erst spät erkannt“, so Tessartz.

Schäden und Kosten nach der Hiscox Schadenbilanz. Zum Vergrößern Bild klicken (Bild: Hiscox)

Ein Ergebnis der Umfrage ist zudem, dass Cyberschäden immer teurer werden. 369.000 US-Dollar (327.916 Euro; Vorjahr: 229.000 US-Dollar) kosteten die erlebten Cyberattacken pro Unternehmen 2018. Mit 906.000 US-Dollar (805.126 Euro; 494.000 US-Dollar) kamen die deutschen Firmen auf den höchsten untersuchten Durchschnittswert.

Die Varianz der Schadenhöhen ist sehr groß. 2018 sei es im Wesentlichen ein Großschaden gewesen, der den deutschen Durchschnitt maßgeblich bestimmte. Eine deutsche Firma hatte Kosten für alle Vorfälle von 48 Millionen US-Dollar (42,7 Millionen Euro) gemeldet. Dies war der höchste Schaden in der Studiengruppe.

Kontrolle der Lieferkette

65 Prozent aller Unternehmen haben bereits Erfahrungen mit Cyberattacken gemacht, die mit ihrer Lieferkette zusammenhingen. Deshalb legen 54 Prozent der Befragten in Verträgen mit Zulieferern mittlerweile Cyberstandards fest.

32 Prozent der Befragten überprüfen die Cybersicherheit ihrer Zulieferer im Schnitt einmal im Monat. 25 Prozent tun dies einmal innerhalb eines Quartals und zehn Prozent alle sechs Monate. Aber acht Prozent haben die Sicherheits-Vorkehrungen ihrer Zulieferer noch nie geprüft, so Tessartz.

70 Prozent Cyberanfänger

Die deutschen Unternehmen schätzten ihre eigene Cyberkompetenz realistischer ein. Dies zeigt sich laut Hiscox daran, dass das bekundete Vertrauen der Unternehmen in ihre eigenen Cyberfähigkeiten kleinere Werte aufweist. 70 (77) Prozent der deutschen Unternehmen bezeichnet der Report immer noch als Cyberanfänger.

Maßstab dafür sind ihre Cyberstrategie, die Ressourcen, Technologie und Prozesse. Nur elf (zehn) Prozent werden als Cyberexperten eingestuft. Und dies sind dann vor allem eher große Firmen. Hier stieg die Quote „Experten“ im Cyber-Readiness-Modell von elf auf 20 Prozent.

Zwar wachse das Bewusstsein, aber die Schutzmaßnahmen seien noch unzureichend, so Tessartz. In 15 (31) Prozent der deutschen Unternehmen gebe es noch keinen Mitarbeiter mit definierter Cyberrolle. Nach einem Cybervorfall änderten 32 Prozent der deutschen Firmen nichts. „Sie zogen keine konkreten Lehren – das ist noch viel zu hoch“, so Tessartz.

Der „Hiscox Cyber Readiness Report 2019“ in englischer Sprache steht unter diesem Link zum kostenlosen Download zur Verfügung.