- Internationale Studie zeigt: Deutsche Unternehmen haben Nachholbedarf bei Cybersicherheit.
- Im Ländervergleich liegen deutsche Unternehmen bei Cyber-Risk-Management deutlich hinter den USA und Großbritannien.
- Fokus auf Investitionen in IT-Infrastruktur, umfassende Cyber-Risk-Strategie wird vernachlässigt.
- Auf IT-Verantwortliche wartet viel Arbeit.
Der »Cyber Readiness Report 2017« des Spezialversicherers Hiscox zeigt, wie gut oder schlecht deutsche, britische und US-amerikanische Unternehmen auf Cyberattacken vorbereitet sind. Das Marktforschungsinstitut Forrester Consulting hat dazu im Auftrag von Hiscox die »Cyber-Readiness« von je rund 1.000 Unternehmen in den drei Ländern anhand der Kriterien Strategie, Ressourcen, Technologie sowie Prozesse ermittelt. Schlechte Noten erhalten vor allem die deutschen Unternehmen: Mit 62 Prozent weist Deutschland im Ländervergleich (USA: 40 %; GB: 57 %) den höchsten Anteil an Unternehmen auf, die als sogenannte »Cyberanfänger« gelten, also unzureichend auf Cyberattacken vorbereitet sind. Der Anteil der »Cyberexperten« liegt in Deutschland bei lediglich 20 Prozent, wohingegen 44 Prozent der befragten US-Unternehmen gut gegen Cyberattacken gerüstet sind (GB: 26 %). 18 Prozent der deutschen Befragten zählen zu den »Cyberfortgeschrittenen«, die zumindest teilweise mit den Folgen einer Cyberattacke klarkommen können (USA: 16 %; GB 17 %).
Nur eine umfassende Strategie hilft, Cyberattacken zu bewältigen
»Die Anzahl der schlecht gegen Cyberattacken gerüsteten Unternehmen in Deutschland ist erschreckend hoch. Bei gut vorbereiteten Unternehmen ist IT-Security ein Top-Management-Thema und es existiert eine klare Strategie. Der Fokus muss dabei auf zeitgemäßen Prozessen und Richtlinien, laufenden Investitionen in die technische IT-Security, Sensibilisierung und Schulung der Mitarbeiter und auf spezifischem Cyber-Versicherungsschutz liegen. Wer eines dieser Handlungsfelder vernachlässigt, läuft Gefahr, durch Cyberattacken nachhaltig geschädigt zu werden. Kein Unternehmen kann sich absolut vor Cyberattacken schützen, aber es kann die Schäden klein halten«, erläutert Robert Dietrich, Hauptbevollmächtigter bei Hiscox Deutschland.
Gezielte Cyberattacken auf wichtige Branchen der deutschen Wirtschaft
Dass Attacken zum Alltag gehören, zeigt auch die Studie: 56 Prozent der befragten deutschen Unternehmen haben im vergangenen Jahr mindestens einen Angriff auf ihre Netzwerke und Daten festgestellt (USA: 63 %; GB: 51 %). Besonders stark betroffen waren hierzulande die Fertigungsindustrie und die Medien-, Kommunikations- und Technologiebranche, in denen jeweils 65 Prozent der befragten Unternehmen mindestens eine Cyberattacke feststellten – gefolgt von der Finanzdienstleistungs-branche (64 %).
Cyberstrategie muss Chefsache sein
Die Diskrepanz zwischen »Cyberanfängern« und »Cyberexperten« manifestiert sich beispielsweise in der Rolle des Top-Managements. Während in den deutschen Unternehmen mit »Experten-Status« insgesamt 88 Prozent der Befragten der Aussage »Cybersicherheit muss Chefsache sein« zustimmen (USA: 93 %; GB: 91 %), sind es bei den Anfängern nur 58 Prozent (USA: 70 %; GB: 62 %).
Lange To-Do-Liste für Cyberverantwortliche
Die Komplexität der Cybergefahren stellt die Verantwortlichen im Bereich IT-Sicherheit vor große Herausforderungen: 69 Prozent der Befragten in deutschen Unternehmen gaben an, vor allem angesichts der sich ständig verändernden internen und externen Gefahren viel Arbeit vor sich zu haben. Für 65 Prozent der Cyberverantwortlichen in Deutschland hat es deshalb oberste Priorität, in den kommenden zwölf Monaten möglichst schnell auf Cyber-Vorfälle zu reagieren. 61 Prozent haben sich vorgenommen, bestehende Gefahren und Schwachstellen anzugehen. 56 Prozent wollen ihre generelle Verteidigungsfähigkeit verbessern und jeweils 55 Prozent planen, Cloud-basierte Managementsysteme zu implementieren oder eine Cyberpolice abzuschließen beziehungsweise den bestehenden Versicherungsschutz gegen Cybergefahren zu erweitern.
Risikofaktor Mitarbeiter: Potenzial von Cyberschulungen bislang verkannt
Zwar nehmen externe Cyberattacken den ersten Platz auf der Liste der folgenschwersten Cyberangriffe bei deutschen Unternehmen ein (DE: 38 %; USA: 25 %; GB: 34 %). Auf Platz zwei und drei folgen aber schon die Cyberzwischenfälle durch Mitarbeiter: Bei jedem fünften deutschen Unternehmen (20 %) konnten die Verantwortlichen innerhalb der Organisation ausgemacht werden (USA: 22 %; GB: 16 %), 14 Prozent der Befragten berichteten von verlorengegangenen beziehungsweise gestohlenen mobilen Geräten, wie Firmenhandys oder -tablets (USA: 17 %; GB: 18 %).
Trotz dieser alarmierenden Ergebnisse vernachlässigen die deutschen Befragten das Thema Sensibilisierung und Schulung von Mitarbeitern bislang. So verpflichtet gegenwärtig nur jedes vierte Unternehmen in Deutschland (24 %) seine Mitarbeiter zur Teilnahme an speziellen Cybertrainings (USA: 34 %; GB: 25 %). Jedoch wollen sich die deutschen Unternehmen für die Zukunft wappnen: 57 Prozent der deutschen Befragten planen, in den kommenden zwölf Monaten die Investitionen für Mitarbeiterschulungen um mehr als fünf Prozent zu erhöhen (USA: 64 %; GB: 57 %). Einen größeren Stellenwert nehmen hierzulande aber weiterhin Investitionen in neue IT-Sicherheitstechnologien ein: 68 Prozent der Befragten haben vor, das Budget dafür im kommenden Jahr um mehr als fünf Prozent zu steigern (USA: 71 %; GB: 67 %).
»Investitionen in die IT sind sinnvoll und notwendig, doch sie gaukeln eine trügerische Sicherheit vor, die den in der Realität immer komplexer werdenden Risiken aus dem Netz nicht gerecht werden. Der Faktor Mensch wird bei Investitionsentscheidungen immer noch hintenangestellt, obwohl ein Großteil der Cyberattacken durch Mitarbeiter verursacht wird. Dabei bieten gezielte Mitarbeitertrainings das größte Präventionspotenzial zur Vermeidung von Cyber-Zwischenfällen oder zumindest zur Minimierung ihres Ausmaßes. Sie lassen sich mit relativ überschaubarem Budget umsetzen und ermöglichen insbesondere kleinen und mittleren Unternehmen, ihre ›Cyber-Readiness‹ zu verbessern«, verdeutlicht Robert Dietrich.
Deutsche Unternehmen zeigen sich skeptisch gegenüber Cyber-Versicherungen
Auch der Abschluss einer Cyberpolice als zentrales Strategieelement wird noch von vielen Unternehmen vernachlässigt. In Deutschland liegt der Anteil der versicherten Unternehmen mit 30 Prozent merklich hinter den USA (55 %) und Großbritannien (36 %). Jedoch plant nahezu jedes dritte deutsche Unternehmen (31 %), das noch keine Cyberpolice abgeschlossen hat, dies innerhalb der nächsten zwölf Monate nachzuholen. Ihnen gegenüber steht aber immer noch ein Drittel (33 %), das kein Interesse an einer Cyberpolice hat.
Diesem hohen Anteil an Unternehmen, die keine Cyberpolice abschließen möchten, ist der Nutzen einer zusätzlichen Absicherung noch immer nicht klar. Hier fehlt es an Aufklärung, vor allem zu den Risiken und den damit verbundenen Kosten, aber auch zu den Leistungen einer Cyber-Versicherung. Denn nach wie vor gehen Unternehmen davon aus, dass Cyberschäden von ihrer Gewerbeversicherung gedeckt sind. Wir als Versicherer sind also gefragt, das öffentliche Bewusstsein für Cybergefahren zu schärfen und transparente Produkte zu schaffen, um das Vertrauen der Wirtschaft zu gewinnen«, so Robert Dietrich.
[1] Der vollständige »Hiscox Cyber Readiness Report 2017« und weitere Informationen zur Studie sind unter www.hiscox.de/hiscox-cyber-readiness-report-2017 verfügbar.
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.
Risk-Management-Strategien: Unternehmen brauchen Toleranzschwellen für Cyberrisiken
Die wichtigsten Tipps: Mehr Cybersicherheit (nicht nur) für Anwaltskanzleien
Deutsche Cyber-Sicherheitsorganisation unterstützt Unternehmen bei Abwehr von Gefahren aus dem Netz
Cyber-Angriffe: Lange Reaktionszeiten verursachen außerordentliche Kosten
Studie über Cyberbedrohungen und deren Folgekosten für mittelständische und große Unternehmen