Der Schutz vor Cyber-Gefahren bleibt für deutsche Unternehmen ein echter Stress-Faktor: Sie können im internationalen Vergleich mehrheitlich nur mangelhafte Cyber-Strategien vorweisen.
Laut der zweiten Auflage des „Cyber Readiness Reports“ des Marktforschungsinstituts Forrester im Auftrag des Spezialversicherers Hiscox liegt der Anteil der „Cyber-Anfänger“ in Deutschland bei 77 Prozent. 14 Prozent gelten als „Cyber-Fortgeschrittene“ und 10 Prozent als „Cyber-Experten“. Im internationalen Vergleich liegen die USA und Großbritannien damit leicht vorne: Unter den US-amerikanischen Unternehmen gelten 13 Prozent als „Cyber-Experten“ und 17 Prozent als „Cyber-Fortgeschrittene“, in Großbritannien sind es 13 Prozent Experten und 15 Prozent Fortgeschrittene.
Unternehmen scheitern an umfassender Cyber-Strategie
„Die hohen Anfänger-Quoten sind alarmierend, nachdem das Thema Cyber-Sicherheit in der öffentlichen Wahrnehmung immer präsenter wird. Die Verunsicherung in den Unternehmen ist jedoch groß. Das führt in vielen Fällen dazu, dass lieber nichts getan wird, als eine falsche Entscheidung zu riskieren und diese im Zweifelsfall verantworten zu müssen. Wobei Abwarten bei diesem Thema zu deutlich schwerer wiegenden Konsequenzen führen kann. Die Ratlosigkeit der Betriebe zeigt, dass sie Hilfe von Profis für die Erstellung einer wasserdichten Cyber-Strategie brauchen“, kommentiert Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland.
Anhaltende interne und externe Bedrohungslage
Von den befragten über 1.000 deutschen Unternehmen haben 48 Prozent in den letzten zwölf Monaten mindestens einen Cyber-Zwischenfall erlebt. Der Gesamtschaden für alle erlittenen Attacken der letzten zwölf Monate beläuft sich bei großen deutschen Unternehmen im Schnitt auf rund 342.000 Euro, bei deutschen KMU auf durchschnittlich rund 46.000 Euro.
Am häufigsten erlebten die deutschen Befragten mit 24 Prozent einen externen Angriff direkt auf das eigene Unternehmen, bei 14 Prozent war es eine externe Attacke auf einen Geschäftspartner. Durch Mitarbeiter verursachte Zwischenfälle machten 15 Prozent der Schäden aus, bei 12 Prozent handelte es sich um einen internen Zwischenfall mit einem Geschäftspartner oder Zulieferer.
Verunsicherte Unternehmen stecken Kopf in den Sand
Angesichts der komplexen Gefahrenlage wirken Unternehmen mit ihrer Cyber-Strategie zunehmend überfordert. So geben 45 Prozent der deutschen Unternehmen an, dass sich nach einem Cyber-Zwischenfall nichts geändert hat. 40 Prozent stehen ihrer Cyber-Strategie nicht selbstbewusst gegenüber. Vor allem in den sich laufend verändernden internen und externen Bedrohungsszenarien sehen die deutschen Unternehmen eine der größten Herausforderungen (55 %).
Zudem setzen bevorstehende Regulierungen die Unternehmen unter Handlungsdruck. Für 64 Prozent der deutschen Befragten ist etwa Compliance mit Blick auf die DSGVO eine Top-Priorität. Im Kampf gegen Cyberkriminelle wünscht sich die Mehrheit der Unternehmen auch verstärkte Hilfe seitens der Bundesregierung. Nur 37 Prozent stimmen der Aussage zu, die Regierung würde Unternehmen in diesem Bereich ausreichend unterstützen.
Prävention bleibt auf der Strecke
Im Kontext ihrer unzureichenden Cyber-Strategie vernachlässigen viele Unternehmen weiterhin auch präventive Maßnahmen gegen Cyber-Zwischenfälle und kürzen beispielsweise Budgets für Mitarbeiter-Trainings. In den kommenden zwölf Monaten wollen 17 Prozent der deutschen Unternehmen ihr Budget für entsprechende Schulungsangebote um mehr als 10 Prozent senken, 20% der Befragten möchten 5 bis 10 Prozent weniger dafür ausgeben. Der Anteil der deutschen Befragten mit einer Cyber-Versicherung liegt bei 33 Prozent. Weitere 25 Prozent planen jedoch, in den kommenden zwölf Monaten eine Cyber-Police abzuschließen.
„Mit Blick auf die Gefahrenlage und immer größerer Abhängigkeit der Unternehmen von digitalen Technologien gehen wir bei Hiscox davon aus, dass sich bis 2025 zwei Drittel der deutschen Unternehmen für eine Cyber-Police entschließen werden“, so Robert Dietrich. Die Versicherungs-Inhaber begründeten ihren Abschluss überwiegend damit, dass die hohen Kosten einer Attacke von der Police gedeckt werden und sie sich dadurch geschützt fühlen (37 %). Daneben spiele auch die Cyber-Expertise eine Rolle, auf die man über die Versicherung zugreifen könne und die im eigenen Unternehmen nicht vorhanden sei (33 %).