Wahrnehmung von Cyberrisiken bei KMU gesunken

27.04.2023

Christian Kussmann / Foto: © HDI

Die HDI Versicherung hat nachgelegt: Ein Jahr nach der ersten Cyberstudie hat der Versicherer erneut kleine und mittelständische Unternehmen (KMU) und Selbstständige zum Thema Cybersicherheit und Angriffe aus dem Cyberraum interviewen lassen. Befragt wurden dazu die Inhaber bzw. Versicherungs- oder IT-Entscheider der Unternehmen. Ein Ergebnis ist: Das Thema Cybersicherheit ist im Vergleich mit den Ergebnissen der letzten Studie bei vielen Unternehmen aus dem Fokus gerückt. Die Risikowahrnehmung für Cybergefahren hat abgenommen.

Über 700 kleine und mittelständische Unternehmen sowie Selbstständige ließ die HDI Versicherung Ende letzten Jahres für die HDI Cyberstudie 2023 zum Thema Cybersicherheit befragen. Durchgeführt hat die repräsentative Untersuchung, wie bereits im Jahr zuvor, das Markt- und Meinungsforschungsinstitut Sirius Campus.

Cyberbedrohung gerät aus dem Fokus

Grundsätzlich ist die Awareness für Cyberrisiken bei vielen Unternehmen nicht zuletzt aufgrund eigener Schadenerfahrungen weiterhin hoch. Im Vergleich zum Vorjahr ging diese dennoch zurück. Konkret schätzen 41 Prozent der Befragten das Risiko für ein kleines oder mittleres Unternehmen, in den nächsten zwei Jahren Ziel einer Cyber-Attacke zu werden, als „hoch“ oder „eher hoch“ ein. Bei der Befragung ein Jahr zuvor bewerteten 53 Prozent das Risiko entsprechend. Bei Kleinstunternehmen mit bis zu 9 Mitarbeitern war der Trend am deutlichsten festzustellen: Bei ihnen ging der Wert von 52 auf 35 Prozent zurück. Mittelständler folgten mit einem Rückgang von 62 auf 48 Prozent. Nur bei Unternehmen mit 10 bis 49 Mitarbeitern blieb der Umfragewert mit einem Rückgang von 46 auf 40 Prozent etwas stabiler.

Analog verhält sich auch die Risikoeinschätzung für das eigene Unternehmen. Nach 38 Prozent im Vorjahr sahen Ende 2022 nur noch 27 Prozent ein hohes oder eher hohes Risiko, selbst Opfer einer Cyberattacke zu werden. Und dass ein Angriff in ihrem Unternehmen einen Schaden herbeiführen könnte, befürchten nur noch 23 Prozent, nach 27 Prozent Ende 2021.

Vor dem Hintergrund, dass die tatsächliche Anzahl der Cyberangriffe 2022 gegenüber dem Vorjahr insgesamt etwas zurückgegangen ist und die mediale Aufmerksamkeit sich verlagert hat, erscheint diese Entwicklung plausibel. Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung weiß außerdem: „Auch die unmittelbaren Herausforderungen durch Energiekrise und Inflation haben das Thema überlagert und aus der Wahrnehmung vieler Unternehmer ein Stück weit verdrängt.“ Und er ergänzt: „Das Auftauchen neuer Herausforderungen darf aber nicht heißen, dass bestehende Cybergefahren ad Acta gelegt werden. Denn die reale Bedrohung aus dem Cyberraum ist und bleibt weiterhin akut.“

Angreifer zielen verstärkt auf Kleinunternehmen

Der Angriffsschwerpunkt scheint sich dabei ein Stück weit hin zu kleineren Unternehmen verschoben zu haben. So gaben in der neuen Umfrage 39 Prozent der kleineren Unternehmen (10 bis 49 Mitarbeiter) an, Ziel einer Cyber-Attacke gewesen zu sein. Im Vorjahr trafen nur 31 Prozent der kleineren Unternehmen diese Aussage. Bei Mittelständlern mit 50 bis 250 Mitarbeitern sank dagegen die Quote der Nennungen von 43 Prozent auf 36 Prozent. Bei Kleinstunternehmen mit bis zu 9 Mitarbeitern bleibt diese mit Nennungen von 25 Prozent (Vorjahr: 26%) konstant.

Ein Grund für diese Verschiebung mag sein, dass mittlere Unternehmen inzwischen häufiger Wert auf Cybersicherheit legen und umfassendere Präventions-Maßnahmen ergreifen. Dadurch wird es für den Angreifer schwieriger, eine Attacke erfolgreich durchzuführen. Kleine Unternehmen hingegen wenden seltener umfassende Sicherheitsmaßnahmen an und sind damit oft leichtere Ziele. Die Tendenz zeigt somit auch: Die häufig immer noch zu niedrige Risiko-Awareness kleinerer Unternehmen basiert mehr denn je auf einem Trugschluss. Auch Kleinunternehmen können sich heute bei Bedrohungen aus dem Cyberraum nicht mehr wegducken.

Stärkere Beachtung von Mitarbeiterschulungen

Die gesunkene Risikowahrnehmung scheint sich jedoch noch nicht signifikant auf die Anwendung von Präventionsmaßnahmen auszuwirken. So ist zwar bei der Abfrage zum Umfang der Anwendung von Präventionsmaßnahmen eine leicht rückläufige Tendenz erkennbar. In der Betrachtung einzelner wichtiger Maßnahmen erscheint die Tendenz dagegen differenzierter.

Positiv entwickelt hat sich die Aufmerksamkeit der Unternehmen für Präventionsmaßnahmen, die auf das wichtige Thema „Mitarbeiterverhalten“ einzahlen. Appelle aus vielen Richtungen zeigen hier offenbar Wirkung. „Mit den Ergebnissen der Cyberstudie 2022 hatte auch HDI ausdrücklich davor gewarnt, dass gerade unbedarftes Mitarbeiterverhalten häufig dem Angreifer einen Weg in die Systeme des Unternehmens öffnete. Unvorsichtiges Mitarbeiterverhalten wurde dabei klar als Haupteinfallstor für Cyberangriffe benannt“, erklärt dazu HDI-Vorstand Kussmann.

64 Prozent der Befragten gaben in der 2023er Studie an, dass sie mitarbeiterbezogene Maßnahmen zumindest teilweise umgesetzt hätten. Im Jahr zuvor lag diese Quote noch bei 59 Prozent. Am stärksten stieg dabei der Einsatz von simulierten E-Mail-Angriffen an: von 24 Prozent auf 35 Prozent. Und der Einsatz von Mitarbeiterschulungen, Mitarbeiter-Newslettern sowie Informationen in Meetings zu aktuellen Cyberangriffen wurden jeweils von rund der Hälfte der befragen Unternehmen mindestens einmal im Jahr eingesetzt. Die Umfragewerte legten damit zwischen einem und acht Prozentpunkten zu.

Technische und organisatorische Maßnahmen

Die häufigsten Nennungen bei der Frage nach konkreten Präventionsmaßnahmen entfielen, wie im Vorjahr, auf technische Maßnahmen wie automatische Datensicherung, zentrales Einspielen von Updates, Firewall oder VPN-Technik. Mit 82 nach 84 Prozent im Vorjahr gab ein praktisch gleichgroßer Anteil der Befragten an, solche Maßnahmen vollständig oder teilweise umgesetzt zu haben. Dabei verschob sich der Anteil zugunsten der vollständigen Umsetzung der Maßnahmen. Wie 2022 dominieren auch in diesem Jahr Maßnahmen wie automatische Datensicherung, Firewalls oder Spam-Schutz für E-Mails den Maßnahmenkatalog. Jeweils knapp 80 Prozent der Befragten gaben aktuell an, solche Maßnahmen zu anzuwenden. Die Werte liegen damit auf einem etwas niedrigeren Niveau als 2022. Zugelegt haben dagegen Maßnahmen wie Kryptographie, der Einsatz segmentierter Netzwerke oder Multi-Faktor-Authentifizierungen.

Bei der Abfrage nach der Umsetzung organisatorischer Präventionsmaßnahmen gaben nach 74 Prozent im Vorjahr in der 2023er-Studie nur noch 63 Prozent der Befragten an, solche Maßnahmen zumindest teilweise umgesetzt zu haben. Die Abfrage wichtiger einzelner Maßnahmen ergab allerdings zum Beispiel einen Anstieg von jeweils 5 Prozentpunkten bei der Auswertung öffentlicher Informationen für mögliche Angriffsziele (50%) und bei der Simulation von Cyberattacken (37%). Unternehmen schließen offenbar bei konkreten organisatorischen Maßnahmen bislang bestehende Lücken. Die Abfrage wichtiger Maßnahmen zum Notfall-Management ergab eine zunehmende Anwendung.

Versicherer in der Pflicht

Für den Cyber-Versicherungsschutz lässt sich ein positives Resümee ziehen. Mehr Unternehmen haben sich gegen Cyberrisiken versichert: 38 Prozent der Befragten gaben an, über eine Cyberversicherung zu verfügen. Im Vorjahr lag der Wert bei 34 Prozent. Am deutlichsten fiel das Plus dabei bei kleineren Unternehmen mit 10 bis 49 Mitarbeitern aus: 46 Prozent von ihnen bejahten die Frage, nach 38 Prozent im Vorjahr. 35 Prozent der von einem Cyberangriff betroffenen Unternehmen gaben jetzt an, dass ihre Schäden zum Beispiel durch eine Cyberversicherung gedeckt gewesen seien.

Unter dem Strich legen die Studienergebnisse nahe, dass sich das Schutzniveau der deutschen KMU – bei leichten Schwankungen in den Details – aufs Ganze gesehen leicht verbessert hat. Bedenklich stimmt allerdings die Entwicklung, dass trotz unveränderter Risiken das Thema der Bedrohungen aus dem Cyberraum bei Unternehmen weniger im Fokus steht als noch als im Jahr zuvor. Christian Kussmann befürchtet: „Es besteht die konkrete Gefahr, dass sich das Nachlassen der Aufmerksamkeit negativ auf künftige Schutzniveaus von Unternehmen auswirkt.“ Hier sieht der HDI-Vorstand auch die Versicherer in der Pflicht. Sie sollten ihre Kunden durch Information und Beratung über die weiterhin bestehenden Bedrohungen konsequent aufklären und die konkreten Möglichkeiten der Prävention und Risikoabsicherung aufzeigen.