Cyber-Sicherheit im deutschen Mittelstand

Ergebnisse der CyberDirekt-Studie „Risikolage 2022“ Cyber-Sicherheit im deutschen Mittelstand

28.07.2022 Von Hanno Pingsmann

Anbieter zum Thema

Pathlock Deutschland | akquinet enterprise solutions GmbH

Die Bedrohungslage für Unternehmen war noch nie so hoch und gleichzeitig so komplex – nicht zuletzt auch aufgrund von Effekten des Angriffskriegs in der Ukraine. Nahezu täglich finden sich Nachrichten über Datenpannen und Hacker-Angriffe in den überregionalen Medien, die allerdings nur einen Bruchteil der wirklichen Geschehnisse darstellen.

Anders als Feuer oder Unwetter sind Cyber-Attacken eine abstrakte Gefahr. Cyber-Angriffe sind lautlos und unsichtbar – lediglich die gravierenden Folgen sind deutlich spürbar.
(Bild: Sergey Nivens - stock.adobe.com)

Mit der CyberDirekt-Studie „Risikolage 2022“ wollen wir versuchen, mehr Transparenz über die aktuelle Wahrnehmung von Cyber-Bedrohungen und dem daraus folgenden Riskmanagement im deutschen Mittelstand zu schaffen.

Die aktuelle Lage der Cyber-Sicherheit

Die Zahl der erfolgreichen Cyber-Angriffe auf einzelne Organisationen steigt immer weiter und die Angriffsmuster werden immer perfider. Hinzu kamen allein im Jahr 2021 bei Microsoft Exchange mit Hafnium im März, VSA Kaseya im Juli und Log4Shell im Dezember drei weitreichende Ereignisse hinzu. Die Wahrnehmung der Gefahr kommt in den Köpfen langsam an, nichtsdestotrotz wird noch zu wenig für einen sinnvollen Schutz gegen Hackerangriffe getan. An vielen Stellen fehlt es noch am Bewusstsein und am Wissen. Hierzu wollen wir mit dieser Studie unseren Beitrag leisten.

Bildergalerie

Bildergalerie mit 10 Bildern

Die Gefahr ist real und wird immer noch unterschätzt

Anders als Feuer oder Unwetter sind Cyber-Attacken eine abstrakte Gefahr. Cyber-Angriffe sind lautlos und unsichtbar – lediglich die gravierenden Folgen sind deutlich spürbar. Aufgrund dieser Abstraktheit werden sie aktuell von vielen Entscheiderinnen und Entscheidern noch immer unterschätzt. Diese verzerrte Wahrnehmung führt häufig zu gefährlichen Trugschlüssen. 69,5 Prozent der befragten mittelständischen Unternehmen fühlen sich aktuell nicht durch einen Cyber-Angriff bedroht. Am stärksten bedroht fühlen sich der Handel mit 76,6 Prozent, das Baugewerbe mit 75,6 Prozent und Dienstleistungsbranchen mit 72,6 Prozent (Abb. 1, siehe Bildergalerie).

Hackerangriffe bereits erlebt

Insgesamt 26,6 Prozent der befragten mittelständischen Unternehmen geben an, innerhalb der letzten zwei Jahre Opfer eines Cyber-Angriffs geworden zu sein (Abb. 2a). Besonders hoch ist die Zahl unter den IT-Unternehmen (40,5 Prozent), eher gering ist sie bei Unternehmen der Dienstleistungsbranche (16,7 Prozent).

Durchschnittliche Schadenhöhe

Die durchschnittliche geschätzte Schadenhöhe aller Betroffenen lag bei ca. 200.000 Euro. Das kann bei knapp zwei Drittel (64 Prozent) der befragten Unternehmen, die weniger als 10 Millionen Euro Jahresumsatz erwirtschaften, schnell finanziell bedrohlich werden.

Die Folgen einer Cyber-Attacke

Die am meisten gefürchtete Auswirkung nach einem Cyber-Angriff ist für fast zwei Drittel (65,0 Prozent) der Befragten der Totalausfall des eigenen IT-Systems. Je größer und damit auch professioneller die Unternehmen werden, desto stärker sind sie sich der Gefahr bewusst. Auf Rang zwei folgen Umsatzeinbußen mit 48,9 Prozent. Besonders E-Commerce-Unternehmen haben hiervor große Sorge (66,7 Prozent). Platz drei der meist gefürchteten Auswirkungen nach einem Cyber-Angriff belegt mit 48,5 Prozent die ungewollte Veröffentlichung der Kundendaten (Abb. 3.)

Gefahrenquellen teilweise bekannt

Als größte Cyber-Gefahrenquellen im Arbeitsumfeld unter den Befragten, werden schwache Passwörter mit 57,3 Prozent und die Nutzung öffentlicher WLAN-Netzwerke mit 47,6 Prozent genannt. Auch bei unserer Studie 2018 haben diese beiden Gefahrenquellen die Liste angeführt, allerdings nur mit 36,1 Prozent für die schwachen Passwörter und 34,4 Prozent für die Nutzung der öffentlichen WLAN-Netzwerke. Dicht gefolgt von verspätet ausgeführten System-Updates (42,5 Prozent gegenüber 27,5 Prozent im Vorjahr) und eigene Geräte der Mitarbeitenden in internen WLAN-Netzen (41,9 Prozent gegenüber 23,3 Prozent Vorjahr). Als geringste Gefahrenquellen ging der Einsatz der Firmenkreditkarte (30,3 Prozent) und die Website mit Terminbuchung und Kontaktformular (24,5 Prozent) aus der Befragung hervor. Ein behördliches Datenschutzverfahren und Bußgelder werden nur von 25,4 Prozent der Befragten gefürchtet (Abb. 5).

Geeignete Schutzmaßnahmen

Virenschutz ist mit 75,5 Prozent die am meisten genutzte Maßnahme zur Absicherung gegen Cyber-Risiken in mittelständischen Unternehmen und findet damit doppelt so oft Anwendung wie Patch-Management mit nur 35,8 Prozent. Über die Hälfte der befragten Unternehmen nutzen Virenschutz, Firewall, starke Passwörter VPN-Verschlüsselung und regelmäßige Passwortänderungen als Basisabsicherung. Auffällig ist, dass die regelmäßige Passwortänderung bei kleinen Unternehmen bis 500.000 Euro Jahresumsatz mit 24 Prozent nur halb so hoch ist wie im Durchschnitt über alle Unternehmensgrößen. Im Verhältnis dazu hat die Zwei-Faktor-Authentifizierung mit 41,9 Prozent ,als davon unabhängig deutlich sicherere Variante im Vergleich, schon eine hohe Akzeptanz und Verbreitung. Nur 48,1 Prozent der Befragten geben an, wöchentlich eine externe Datensicherung zu machen, die damit auf Rang 6 landet.

Einfallstor Mensch

Eine regelmäßige Sensibilisierung der Mitarbeitenden durch Schulungen wird in nur 42,7 Prozent der Unternehmen durchgeführt. Bei Firmen mit weniger als eine Million Euro Jahresumsatz erfolgt die Sensibilisierung sogar nur zu weniger als einem Drittel und bei Unternehmen bis 500.000 Euro Jahresumsatz sogar nur zu 12 Prozent. Erst ein Fünftel der Unternehmen hat aktuell einen Krisenplan als geeignetes Mittel zur besseren Reaktion bei erfolgreichen Cyber-Angriffen umgesetzt. Dabei hat sich gerade diese Vorbereitung auf den Ernstfall als wichtiges Instrument herausgestellt, um die Schäden möglichst zu begrenzen und die Lage über den Verlauf möglichst schnell wieder zu kontrollieren (Abb. 6). Ein Phishing-Test wird bisher nur bei knapp über einem Viertel (25,2 Prozent) der befragten Unternehmen regelmäßig durchgeführt. Aktuell bewerten nur ein Viertel (24,7 Prozent) der befragten Entscheiderinnen und Entscheider eine Cyber-Versicherung als effektive Maßnahme für die Absicherung des Restrisikos (Abb. 6).

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Vorteile einer Cyber-Versicherung

Incident Response sehen 63 Prozent der befragten mittelständischen Unternehmenals höchsten Mehrwert einer Cyber-Versicherung. In der Studie 2018 lag diese Leistung noch auf Platz 3. Die Unterstützung durch diese spezialisierten IT-Krisenexperten, die den Unternehmen sofort zur Seite stehen und bei der Bewältigung des Vorfalls helfen, haben also stark an Bedeutung gewonnen (Abb. 8).

Recovery und Kostenübernahme IT-Forensik: Dicht gefolgt kommt auf Rang zwei der wichtigsten Mehrwerte einer Cyber-Versicherung die Kostenübernahme für die Wiederherstellung der IT-Systeme und der Daten mit 62,8 Prozent. Vor vier Jahren war diese Leistung noch auf Platz 1. Danach folgen die Kostenübernahme für IT-Forensik und Entfernung der Schadsoftware mit 59,3 Prozent, die 2018 noch auf Platz 5 lagen. Die Kompensation des Umsatzausfalls während der Betriebsunterbrechung ist mit 58,5 Prozent auf Rang 4 gestiegen und konnte deutlich an Bedeutung zulegen. 2018 war sie noch auf Platz 7 (Abb. 8).

Wissen = Handlung?

Die Mehrheit der Befragten (57,3 Prozent) haben sich schon aktiv mit dem Abschluss einer Cyber-Versicherung auseinandergesetzt. Mit knapp drei Viertel (73,6 Prozent) ist die Gruppe der befragten mittelständischen Unternehmen aus dem IT-Segment Spitzenreiter, gefolgt von E-Commerce-Unternehmen mit zwei Drittel (66,7 Prozent). Digital-affine Unternehmen scheinen demnach ein deutlich ausgeprägteres Risikobewusstsein für Cyber-Gefahren zu haben.

Die Kostenfrage

Das Preis-Leistungsverhältnis stellt für 94,1 Prozent der Unternehmen eine entscheidende Rolle bei der Auswahl einer Cyber-Versicherung dar. Hier können spezialisierte Maklerhäuser und Marktvergleiche bei der Bewertung und Auswahl unterstützen. Als weiteren, besonders wichtigen Punkt wird die Deckungssumme erachtet. Für 94,5 Prozent aller Befragten kommt es entscheidend auf dieses Kriterium bei der Auswahl an. Der Bekanntheitsgrad des Versicherers spielt hingegen nur für 74,2 Prozent eine entscheidende Rolle und ist damit am unwichtigsten (Abb. 10). Große Markennamen dürften es damit nicht automatisch leichter haben.

Über den Autor: Hanno Pingsmann ist Geschäftsführer von CyberDirekt mit Sitz in Berlin. Der Cyber-Experte hat CyberDirekt im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyber-Versicherungen gegründet.

(ID:48496371)