Risikobewusstsein allein reicht nicht aus

Gefälschte E-Mails, gekaperte Server, eingeschleuste Erpressungstrojaner: HDI hat in einer eigenen Studie Freiberufler sowie Kleinstunternehmen, kleine und mittlere Unternehmen in Deutschland zum Thema Cyber-Sicherheit befragt. Das Ergebnis: Wie schon vermutet, ist die Kluft zwischen der allgemeinen Risikowahrnehmung und der eigenen Risikoeinschätzung noch immer sehr hoch. So sehen nur 38 Prozent der Unternehmen ein (eher) hohes Risiko für sich selbst, obwohl 54 Prozent die Gefahr bei kleinen und mittleren Unternehmen (KMUs) im Allgemeinen als hoch bewerten.  

Immer höhere Schäden

Um einschätzen zu können, wie groß das Risiko wirklich ist, hilft es, sich ein paar Zahlen anzuschauen. 2016 lag der Schaden durch Cyber-Angriffe in Deutschland laut dem Digitalverband Bitkom bei 55 Milliarden Euro. 2019 waren es schon 103 Milliarden, und für das vergangene Jahr geht man von 223 Milliarden Euro aus. 

Immerhin wächst inzwischen das Bewusstsein, dass Cyber-Angriffe oder ungenügende Datensicherheit schwere finanzielle Folgen haben können. Nach der HDI-Studie berichten 41 Prozent der Unternehmen davon, dass sie bereits Opfer einer Cyber-Attacke waren. Hochgerechnet auf alle KMUs in Deutschland sind dies circa 1,1 Millionen Unternehmen. 

Hohes Risiko für Kleinbetriebe

Datenklau, Spionage, Sabotage und Erpressung – die Motivation für Cyber-Angriffe ist in den meisten Fällen eine finanzielle. Da gibt es das „Big Game Hunting“, also den Angriff auf große Konzerne. Häufig kommt es aber auch zu breit gestreuten Attacken, von denen KMUs betroffen sind. Zudem bieten kleinere Unternehmen, wenn sie etwa als Zulieferer mit großen Konzernen vernetzt sind, für Hacker einen guten Hebel für Angriffe auf die „großen Fische“. Und es geht ja auch um das Thema Datenschutz: Wenn sich etwa Patientendaten einer Arztpraxis im Netz wiederfinden, ist auch das ein Schadenfall mit eventuell sehr teuren Konsequenzen. 

„Die Wucht, mit der Hacker-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, sagt Bitkom-Präsident Achim Berg.  

Das HDI-Sicherheitskonzept

Für den Fall eines Cyber-Schadens bietet HDI den Kunden ein 360-Grad-Sicherheitskonzept. Dazu gehören Präventionsdienstleistungen wie etwa die Schulung von Mitarbeitern. Bei Bedarf sind die HDI-Experten außerdem über eine Schadenshotline jederzeit zu erreichen und unterstützen beim Krisenmanagement. Darüber hinaus begleicht HDI den finanziellen Aufwand für die Analyse des Cyber-Angriffs und die Beauftragung externer Spezialisten zur Wiederherstellung der Reputation. Der HDI-Studie zufolge besitzt bislang nur rund jedes dritte Unternehmen (34 Prozent) eine Cyber-Versicherung. Der Anteil bei den bereits durch eine Cyber-Attacke betroffenen Betrieben beträgt 40 Prozent, gleichzeitig glauben aber nur 60 Prozent der Befragten, dass die Geschäftsführung für Schäden als Folge einer Attacke einstehen muss. 

Prüfung der eigenen IT-Sicherheit

Firmenkunden, die ein Audit ihrer IT mittels eines Security Baseline Checks durchführen, gewährt HDI einen geringeren Selbstbehalt im Schadenfall – jedoch keinen Nachteil in Bezug auf die Versicherungsleistungen. So ein ­Security Baseline Check (SBC) ist zwar nicht verpflichtend, stellt aber eine gute Möglichkeit dar, Risiko-Schwachstellen aufzudecken und Unterstützung bei der Erhöhung des Sicherheitsniveaus zu leisten. Denn die bisherigen Erfahrungen zeigen, dass fast 30 Prozent der auditierten Unternehmen die wichtigsten Basisanforderungen nicht erfüllen. Über die üblichen Risikofragebögen lassen sich solche Sicherheitslücken in der Regel nicht auffinden. 

Schnelle Unterstützung bei Bedrohung

Wie groß die Cyber-Gefahr ist, zeigt ein aktuelles Beispiel: So warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) erst kürzlich vor einer IT-Schwachstelle in der weit verbreiteten Java-Bibliothek Log4j, die von Kriminellen unter anderem für die erpresserische Verschlüsselung ganzer Netzwerke genutzt werden kann. Da sehr viele Firmen-Programme mit diesem Software-Baustein arbeiten, sind auch sehr viele von dieser Gefahr betroffen. 

HDI hat auf diese Bedrohung sofort reagiert und den Kunden in Kooperation mit dem Softwarespezialisten Cysmo einen Sicherheits-Scan angeboten. Hierbei werden die IT-Systeme ausschließlich auf die Schwachstelle hin überprüft, sodass es keinen Einfluss auf den Betriebsablauf eines Unternehmens gibt. 

Mehr Infos zum HDI Cyber-Sicherheitskonzept von HDI unter https://partner.hdi.de/cyber.