Versicherer sehen kaum Fortschritte bei der IT-Sicherheit deutscher Unternehmen.

Mit einer Mischung aus Überschätzung der eigenen IT-Sicherheit und Verharmlosung der Gefahr reagiert der Mittelstand auf die Cyberbedrohung. Die Folge: Wichtige Sicherheitsvorkehrungen unterbleiben, wie eine Umfrage im Auftrag des GDV zeigt [1].

Kleine und mittlere Unternehmen werden immer wieder Opfer von Cyberattacken, wehren sich aber nur unzureichend gegen diese Bedrohung. Das geht aus einer repräsentativen Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hervor. »Rund zwei Drittel der mittelständischen Unternehmen in Deutschland lassen die IT-Sicherheit schleifen«, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. »Angesichts der Tatsache, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuletzt vor massenhaften Ransomware-Angriffen auf diese Unternehmen gewarnt hat, müssten bei den Entscheidern eigentlich alle Alarmglocken klingeln«, so Asmussen.

Zwei Drittel der mittelständischen Unternehmen haben Sicherheitslücken

In der Forsa-Umfrage gaben hingegen 66 Prozent der Befragten an, dass sie für ihr Unternehmen nur ein geringes Risiko eines Cyberangriffs sehen. Gleichzeitig liegt bei 69 Prozent der Unternehmen die IT-Sicherheit im Argen. »Manche Unternehmen sichern ihre Daten nur selten oder nicht richtig, andere kümmern sich nicht um Updates für ihre Software«, kritisiert Asmussen. Dabei sei jede dieser Sicherheitslücken ein potenzielles Einfallstor für Cyberkriminelle und ihre Lösegeldforderungen.

Ebenso wie die Prävention vernachlässigen viele Firmen auch die Vorbereitung auf einen erfolgreichen Angriff. »Jedes zweite Unternehmen (54 Prozent) ist bislang für den Ernstfall gar nicht gewappnet«, sagt Asmussen. Dementsprechend können die Angreifer erhebliche Schäden verursachen.

In der Umfrage brauchten 30 Prozent der gehackten Unternehmen vier Tage oder länger, um den Angriff zu stoppen und die IT-Systeme wieder herzustellen. Nur ein Viertel war noch am selben Tag wieder arbeitsfähig. Insgesamt berichtete jedes vierte befragte Unternehmen, schon Opfer eines erfolgreichen Cyberangriffs gewesen zu sein.

IT-Sicherheit stagniert auf niedrigem Niveau

Der GDV-Geschäftsführer fordert den Mittelstand daher zu größeren Anstrengungen bei der Prävention auf. »Wir beobachten, dass die IT-Sicherheit seit Jahren auf einem unzureichenden Niveau stagniert«, so Asmussen. Echte Fortschritte seien nicht erkennbar. Die Mehrheit der Unternehmen (60 Prozent) verzichtet weiterhin auf entsprechende Schulungen ihrer Belegschaft, nur ein Drittel (34 Prozent) schützt ihre IT-Systeme mit einer Zwei-Faktor-Authentifizierung.

Das geringe Schutzniveau wirkt sich auch auf die Zeichnungspolitik der Versicherer aus. Die Prämieneinnahmen in der Cybersparte stiegen zuletzt deutlich langsamer als in den Vorjahren. »Cyberversicherungen sind ein Sicherheitsnetz für den Ernstfall, ersetzten aber nicht einen starken Schutzschild. Angesichts der wachsenden Gefahrenlage bestehen die Versicherer bei Neuabschlüssen auf wirksame Schutzmaßnahmen«, so Asmussen.

[1] Im Rahmen seiner Initiative CyberSicher beauftragt der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen zu ihrer Wahrnehmung von Cyberrisken und den IT-Sicherheitsmaßnahmen der Unternehmen.

