Cyberangriffe auf Unternehmen schrecken deren Kunden ab

Im Durchschnitt attackierten Cyberkriminelle deutsche Unternehmen binnen zwölf Monaten 49 Mal (erfolgreiche und abgewehrte Angriffe zusammengerechnet). Zu diesem Ergebnis kommt der Cyberversicherer Hiscox in einem aktuellen Report.

In Deutschland gaben 60 Prozent der befragten Unternehmer an, dass sie 2024 häufiger als im Vorjahr angegriffen wurden – diese Zahl ist gegenüber dem Vorjahr leicht angestiegen. 2023 waren es noch 58 Prozent.

Mehr zum Thema

Dienstleistungen

Cyberrisiken vorbeugen – welche Rolle der Versicherer spielt

Windows-Systemausfall

Das müssen Versicherer zum Crowdstrike-Vorfall definitiv wissen

„Fotos vom Sommerfest“

Wie Kriminelle arglose Mitarbeiter für Cyberangriffe ausnutzen

Dienstleistungen

Cyberrisiken vorbeugen – welche Rolle der Versicherer spielt

Windows-Systemausfall

Das müssen Versicherer zum Crowdstrike-Vorfall definitiv wissen

„Fotos vom Sommerfest“

Wie Kriminelle arglose Mitarbeiter für Cyberangriffe ausnutzen

Reputationsschäden durch Cyberangriffe

Und was für viele betroffene Unternehmen noch schlimmer war: Die Hälfte der Befragten gab an, dass es für sie schwieriger gewesen sei, neue Kunden zu gewinnen, wenn diese von einem Cyberangriff gehört hatten. Bei 46 Prozent waren die Folgen schwerwiegender – sie verloren sogar Kundinnen und Kunden.

Die Kosten der Angriffe variieren stark: Die Mehrheit (52 Prozent) der angegriffenen Unternehmen musste Folgekosten von knapp 100.000 Euro zahlen. Ein Viertel der Firmen meldete aber Gesamtschäden von über 500.000 Euro.

Systeme wiederherzustellen kann Monate dauern

Neben finanziellen Schäden belastet die Unternehmen aber auch besonders der Zeitraum, bis die IT-Systeme wieder auf dem Stand vor dem Angriff waren.

• 26 Prozent der Befragten gaben an, dass sie Betriebsunterbrechungen von zwei bis vier Wochen verkraften mussten.
• Bei 30 Prozent dauerte der Prozess sogar ein bis drei Monate, bei 7 Prozent noch länger.

Einige Unternehmen gehen nach Cyberangriffen auf Lösegeldforderungen ein. Davon raten die Hiscox-Experten allerdings ab:

• Nur 16 Prozent der Firmen gaben an, dass sie ihre Daten wieder vollständig zurückerhalten haben.
• 34 Prozent konnten dadurch lediglich einen Teil ihrer Daten retten.
• In jeweils 22 Prozent der Fälle funktionierte entweder der Wiederherstellungsschlüssel nicht oder die Erpresser forderten sogar noch mehr Geld.
• In 27 Prozent der Fälle haben die Kriminellen die Daten trotz Zahlung geleakt.

Die gestiegene Aktivität von Cyberkriminellen sorgt bei Unternehmen dafür, dass sie sich mehr um ihre Cybersicherheit und -resilienz kümmern. 79 Prozent der befragten Firmen sehen in der eigenen Cyberresilienz ein wichtiges beziehungsweise sehr wichtiges Unternehmensziel.

45 Prozent der Befragten gaben an, dass ihr Unternehmen zwischen 6 und 10 Prozent des gesamten IT-Budgets für ihre Cybersicherheit ausgeben, 42 Prozent sogar bis zu 15 Prozent des IT-Budgets.

Ein Teil dieses Budgets entfällt auf dedizierte Personen beziehungsweise Teams, die für die Cybersicherheit zuständig sind: 76 Prozent der befragten Unternehmen haben hier klare Zuständigkeiten umgesetzt.

Cybersicherheit deutscher Firmen ist ausbaufähig

So weit so gut. Die Cyberresilienz vieler Firmen könnte aus Sicht der Hiscox-Experten allerdings besser sein.

• Denn 33 Prozent der Unternehmen verfügen nur über eine Basis-Resilienz, was ihre IT-Sicherheit angeht. Sie haben dokumentierte und regelmäßige Prozesse etabliert, bei denen das Mitarbeiterwissen zum Thema Cybersicherheit jedoch nur auf einem mittleren Niveau vorhanden ist.
• Nur 26 Prozent der befragten Unternehmer bezeichnen ihre IT-Systeme und Cyberresilienz tatsächlich als „fortgeschritten“. Sie haben integrierte Prozesse mit Metriken zur Nachverfolgung in der gesamten Organisation etabliert, reagieren aktiv auf sicherheitsrelevante Vorfälle und legen viel Wert auf Mitarbeiter-Schulungen.

Lediglich 4 Prozent der Firmen in der Studie sind der Meinung, über eine vorbildliche Resilienz mit Best-in-Class-Praktiken gegen Cyberangriffe zu verfügen.