(verpd) Immer weniger kleine und mittlere Unternehmen schätzen die Gefahren eines Cyberangriffs als „hoch“ ein. Das geht aus einer Studie eines Versicherers hervor. Dabei sind gerade Erstgenannte zur neuen Zielgruppe für die Kriminellen erklärt worden.
Es ist ein Paradoxon, das ein Versicherer in einer zweiten Cyberstudie aufgedeckt hat. Trotz andauernder Gefahr von Cyberattacken durch beispielsweise Ransomware sehen immer weniger kleine und mittlere Unternehmen (KMU) die Bedrohung.
Für die Untersuchung wurden 702 kleine und mittelständische Unternehmen sowie Selbstständige im letzten Quartal 2022 interviewt. Durchgeführt wurde die Befragung von der Sirius Campus GmbH, einem Marktforschungs- und Beratungsunternehmen.
Während 2021 noch 53 Prozent das Risiko für KMU, innerhalb der nächsten zwei Jahre Ziel einer Cyberattacke zu werden, als „hoch“ oder „eher hoch“ einschätzten, waren es nun 41 Prozent. Besonders Kleinstunternehmen mit bis zu neun Mitarbeitern glauben dies mittlerweile weniger: Hier bewerten nur noch 35 Prozent das Risiko für KMU als gegeben. Vorher waren es 52 Prozent.
Auch bei der Sicht auf das eigene Unternehmen haben digitale Angriffe bei den Umfrageteilnehmern ihren Schrecken verloren. Vor einem Jahr gaben noch 38 Prozent an, dass die eigene Firma ein potenzielles Ziel für Cyberangriffe sein könnte. Mittlerweile sind es noch 27 Prozent, die das so sehen. Zudem glauben nur noch 23 Prozent, dass ein Angriff überhaupt zu einem wirklichen Schaden führen würde. Auch diese Zahl lag 2021 mit 27 Prozent höher.
Dabei sitzen diese Unternehmen laut dem Report einem Trugschluss auf. Denn die Attacken hätten im vergangenen Jahr sich zunehmend gerade auf kleinere Unternehmen (zehn bis 49 Mitarbeiter) konzentriert. 39 Prozent dieser Unternehmen gaben an, Opfer gewesen zu sein. Eine Steigerung von acht Prozent. Beim Mittelstand sank die Angriffsquote dagegen von 43 Prozent auf 35 Prozent.
Die Studienersteller vermuten, dass die Fälle sich mehr auf kleinere Firmen verlagerten, da mittlere Unternehmen mittlerweile zahlreiche Sicherheitsmaßnahmen aufgesetzt haben und zu Präventions-Maßnahmen greifen. Das schmälert den Erfolg der Kriminellen.
Gerade die Mitarbeiter-Sensibilisierung ist essenziell, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt. Das haben auch die Unternehmen erkannt. Unvorsichtiges Mitarbeiterverhalten wird in Studien immer wieder als eines der Haupteinfallstore für Cyberangriffe identifiziert.
Positiv ist daher, das Umfrageergebnis zu bewerten, nachdem 64 Prozent der Teilnehmer angaben, mitarbeiterbezogene Maßnahmen zumindest teilweise umgesetzt zu haben. Das ist eine Steigerung von fünf Prozentpunkten zum Vorjahr. Neben der Mitarbeiterschulung seien Datensicherung, Einspielen von Updates und der Einsatz von Virtual Private Network (kurz VPN) die Mittel der Wahl.
Zum Schutz vor Cyberkriminellen gibt es vom BSI zahlreiche Sicherheitsempfehlungen und aktuelle Warnungen über kürzlich bekannt gewordene Sicherheitslücken und derzeit laufende weitverbreitete Cyberangriffe. Einen 100-prozentigen Schutz, nicht doch Opfer von Cyberkriminellen zu werden, gibt es trotz aller Vorsichtsmaßnahmen jedoch nicht.
Die Versicherungswirtschaft kennt die Cyberrisiken, die ein Unternehmen bedrohen können, und bietet mit entsprechenden Cyber-Versicherungen einen konkreten Versicherungsschutz gegen solche Gefahren an. Damit können Unternehmen diverse Kosten, die ihnen durch eine Cyberattacke entstehen, absichern.
Dazu zählen unter anderem Ausgaben für die Wiederherstellung beschädigter oder zerstörter Daten oder Aufwendungen, um eine Betriebsunterbrechung aufgrund eines geglückten Hackerangriffs zu verhindern.
Je nach Vertragsvereinbarung übernimmt eine solche Cyberpolice auch die Ausgaben für den Schadenersatz an Dritte. „Werden sensible Daten von Kunden aus dem Firmennetzwerk gestohlen, können Unternehmen haftbar gemacht werden. Kunden können bei Missbrauch Schadenersatz vom bestohlenen Unternehmen verlangen“, wie der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) erklärt.
Zudem steht dem versicherten Unternehmen im Ernstfall, sofern in der Cyberpolice vereinbart, ein umfangreicher Service seitens des Versicherers zur Seite: Nach einem Angriff stellt die Versicherung zum Beispiel Experten für IT-Forensik. Übernommen werden mitunter auch spezialisierte Anwälte und Krisenkommunikatoren, um beispielsweise einen Image- und Reputationsschäden so gering wie möglich zu halten.