Versicherungsbote: Der aktuelle Hiscox Cyber Readiness Report 2020 berichtet von einer rückläufigen Zahl an Attacken, aber ums Sechsfache gestiegene Kosten je Schadensfall. Was sind die Gründe, dass die einzelnen Schäden immer teurer werden? Und mit welchen Kosten müssen Firmen ungefähr rechnen?

Anzeige

Tobias Tessartz: Die Angriffe werden zwar in ihrer Anzahl weniger, sind jedoch in der Umsetzung besser orchestriert und professioneller geplant. Die Hacker setzen verstärkt darauf, sich längere Zeit unbemerkt im Firmennetz umzusehen und dann zielgerichtet den größtmöglichen Schaden zu verursachen. Gleichzeitig sind eine Vielzahl der deutschen Unternehmen noch immer nicht gut genug vorbereitet und investieren zu wenig Zeit und Ressourcen in ihre IT-Sicherheitsstrategie. In der Folge fehlt es an der nötigen technischen Infrastruktur sowie internen Prozessen. So werden sie zu leichten Opfern.
Die Kosten, die einem Unternehmen durch einen Hackerangriff entstehen, sind nicht nur die des reinen Schadens. Vielmehr geht es auch um die adäquate Reaktion auf eine solche Attacke. Es braucht ein Expertennetzwerk: Angefangen bei den IT-Fachleuten, die die IT-Infrastruktur wiederherstellen und Zugänge für Hacker schließen, über Anwälte, die bei verlorenen Daten und Datenschutzverletzungen beraten und Betroffene informieren bis hin zu PR-Beratern, die helfen, Reputationsverluste für das Unternehmen vorzubeugen. Die Liste ist lang und das Know- how meist nicht im Unternehmen verfügbar. Eine Cyber-Versicherung übernimmt die Bereitstellung und die Kosten für solche Leistungen. Die Summe daraus ergibt die hohen Schadensangaben. Dabei variieren die Kosten je nach Art und Umfang des Angriffs. In Deutschland betrug der Umfang des höchsten Schadensfalls, den Hiscox bearbeitet hat, rund drei Millionen Euro, international sogar rund zehn Millionen Euro.

Beobachten Sie, dass sich deutsche Unternehmen besser gegen Cyber-Attacken schützen? Hat in den letzten Jahren ein Bewusstseinswandel eingesetzt? Das Thema ist ja medial zunehmend präsent. Viele Firmen waren zudem selbst bereits von Angriffen betroffen.

Generell sehen wir eine positive Entwicklung. Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Security ist. Die Zahl der Unternehmen mit Expertenstatus in Deutschland ist in unserem diesjährigen Cyber Readiness Report auf 17 Prozent gewachsen. Zum Vergleich: 2019 waren es noch 11 Prozent. Gerade große Firmen nehmen hier eine Vorreiterrolle ein. Kleine und mittelgroße Unternehmen hingegen haben noch Nachholbedarf. Gerade sie unterschätzen nämlich, dass sie sehr attraktive Ziele für Hacker darstellen.

Was sind häufige Einfallstore für Cyber-Kriminelle, gerade bei deutschen Unternehmen? Und haben sich diese in den letzten Jahren geändert?

Der einfachste Weg ins Unternehmensnetzwerk für einen Hacker sind nach wie vor unbedarfte Mitarbeiter. Durch Schadsoftware oder Phishing-Mails ist es unkompliziert und lukrativ, in Unternehmen einzudringen, denn noch immer öffnen Mitarbeiter zu häufig Links und Anhänge fremder Absender.

Durch die Unwissenheit von Mitarbeitern kann es so auch zu komplexeren Angriffen kommen. Wenn sich ein Hacker einmal Zugriff verschafft hat, kann er im schlimmsten Fall die Unternehmens-IT für längere Zeit von innen ausspähen und damit einen noch größeren Schaden anrichten. Mitarbeitersensibilisierung und -schulungen sind daher für die effektive Abwehr von Cyber-Angriffen von besonderer Relevanz. Sie sollten Teil der IT-Sicherheitsstrategie sein und werden auch von Versicherern als präventive Maßnahme angeboten.

66 Prozent der deutschen Firmen zählen laut Ihrem Report zu den Cyber-Anfängern. Was sind typische Defizite dieser Unternehmen?

Wir erkennen Defizite häufig in kleineren und mittelgroßen Unternehmen. Während Cyber-Sicherheit in 63 Prozent der befragten Großkonzerne Chefsache ist, geben bei kleinen Firmen gerade einmal 23 Prozent an, das Thema im C-Level anzusiedeln. Auch sehen wir in den Ergebnissen unseres Cyber Readiness Reports, dass noch immer 49 Prozent der befragten KMU keine Mitarbeiter haben, die für Cyber-Sicherheit verantwortlich sind. In großen Unternehmen liegt dieser Wert inzwischen nur noch bei zwei Prozent.