Cybersicherheit: Angriffe zum dritten Mal in Folge gestiegen

• 43 Prozent der deutschen Unternehmen betrachten Cyberangriffe als größtes Geschäftsrisiko angesehen.
• Die durchschnittlichen Ausgaben für Cybersicherheit stiegen innerhalb von drei Jahren um 39 Prozent.
• 71 Prozent der Entscheider erwarten Reputationsschaden nach einem Cyberangriff.

Pünktlich zum Monat der Cybersicherheit hat Hiscox die Zahlen des diesjährigen „Cyber Readiness Report 2023“ veröffentlicht. Die repräsentative und internationale Studie, die seit 2017 jährlich durch das Marktforschungsunternehmen Forrester erhoben wird, zeigt deutlich, dass das Bewusstsein für Cyber-Risiken bei Entscheidern gestiegen ist. In Deutschland betrachten 43 Prozent die Cyberangriffe erneut als größtes Geschäftsrisiko.

International ist ein leichter Stimmungsumschwung zu beobachten: Nur noch fünf von acht Ländern nennen Cyberrisiken als wichtigstes Risiko für Unternehmen. Doch die Fallzahlen bleiben konstant hoch. Mehr als jedes zweite Unternehmen (53Prozent) war auch im vergangenen Jahr wieder Opfer einer Attacke. Deshalb stellt Hiscox die Betrachtung der Studienergebnisse in den größeren Rahmen und hinterfragt, was sie über „Digital Trust“ aussagen.

In einer zunehmend digitalen Welt ist Vertrauen ein entscheidender Faktor, der viele Aspekte von Online-Aktivitäten erst ermöglicht. Wie den elektronischen Handel, die gemeinsame Nutzung von Daten und die Online-Kommunikation. Nach der Definition des World Economic Forum bedeutet Digital Trust, dass Menschen tagtäglich darauf vertrauen, dass digitale Technologien und die Organisationen, die sie nutzen, ihre Interessen wahren und Erwartungen erfüllen.

Mangelnde Cybersicherheit als größtes Hindernis für Digital Trust

Doch die internationalen Daten sind alles andere als vertrauenerweckend: Die Zahl der angegriffenen Unternehmen ist im dritten Jahr in Folge gestiegen (53 Prozent 2023; 48 Prozent 2022; 43 Prozent 2021). Auch in Deutschland werden Cyberangriffen häufiger. Die Ergebnisse zeigen sogar einen zweistelligen Anstieg von 46 Prozent im Jahr 2022 auf 58 Prozent im Jahr 2023. Auch die Zahl der Cyber-Attacken hat in Deutschland pro Unternehmen deutlich zugenommen. Im letzten Jahr lag der Median bei 6, in diesem Jahr bei zehn Angriffen. Dies macht Deutschland nach Irland zum zweithäufigsten angegriffenen Land.

Rasche technologische Entwicklungen und langsame Anpassung der rechtlichen Rahmenbedingungen sind Herausforderungen, die Vertrauen in digitale Prozesse behindern. Doch die größte Hürde bleibt mangelnde Cybersicherheit. Besonders bei großen Unternehmen gehören Cyberangriffe zur Tagesordnung: So verzeichnen Firmen mit mehr als 1.000 Beschäftigten den größten Anstieg von 62 Prozent auf 70 Prozent mit mindestens einem Angriff. Jedes fünfte Unternehmen (21 Prozent), das angegriffen wurde, gab an, dass die Auswirkungen so groß waren, dass sie ihre wirtschaftliche Existenz hätten bedrohen können.

Experten fühlen sich weniger gut gerüstet bei der Cybersicherheit

Diese Risikolage bleibt nicht ohne Konsequenzen für die Stimmung in Unternehmen. Der Anteil derjenigen, die sich als Cyber-Experten bezeichnen, also darauf vertrauen, dass sie gut gerüstet sind und sich beim Thema Cybersicherheit auskennen, ist erneut gesunken: von 4,5 Prozent im Jahr 2021 auf 3,4 Prozent im Jahr 2022. Dementsprechend ist der Anteil der selbstdefinierten Cyber-Neulinge in diesem Jahr um 0,8 Prozentpunkte auf 28,3Prozent gestiegen.

Diese immer größere Unsicherheit materialisiert sich am stärksten bei den kleineren Firmen. Nur drei von fünf Unternehmen (61 Prozent) mit weniger als 250 Beschäftigten sind zuversichtlich, dass sie auf dem Gebiet der Cybersicherheit gut gewappnet sind. Bei den größeren Unternehmen sind es 71 Prozent. Die Befragten kleinerer Unternehmen sind auch weniger sicher, dass ihre Geschäftsleitung der Cybersicherheit Priorität einräumt. Und bezweifeln eher, dass ihre IT-Ausstattung dieser Aufgabe gewachsen ist.

Mangelndes Vertrauen in Cyber Readiness

„Uns führt das zu der Frage: Wenn Unternehmen nicht einmal selbst in ihre Cyber Readiness vertrauen, wie sollen es dann ihre Kunden oder Auftraggeber tun? Die Studienergebnisse zeigen deutlich, wo die Stolpersteine auf dem Weg zu einer Gesellschaft liegen. Die dauerhaft souverän mit den Risiken umgeht, die eine digitale und vernetzte Welt mit sich bringt. Dabei geht es nicht nur darum, dass Hackerangriffe sich teilweise schneller entwickeln als die Abwehr von Unternehmen“, sagt Gisa Kimmerle, Head of Cyber bei Hiscox.

„Unser Ziel als Versicherer ist es, ein Bewusstsein dafür zu schaffen, dass diese digitalen Risiken nicht mehr verschwinden und es nicht möglich ist, einen Status quo ohne Investitionen zu halten. Priorisierung von Datenschutzmaßnahmen, kontinuierliche Weiterbildung von Mitarbeitenden und Investitionen in Cyber-Security sollten schon lange keine Sonderprojekt mehr im Unternehmen sein. In den Studiendaten sehen wir zwar einen positiven Trend, aber die Entwicklung ist aus unserer Sicht noch sehr langsam“, so Kimmerle.

Höhere Cyber-Resilienz bedeutet mehr Digital Trust

Die Experten von Hiscox sind sich einig, dass ein so hoher Anteil gehackter Unternehmen und die jahrelang wachsende Verunsicherung bei Entscheidern kein Dauerzustand sein dürfen. Denn Digital Trust ist ein gesellschaftliches Ziel, und gleichzeitig businessrelevant: Nur Unternehmen, die digital vertrauenswürdig sind, können in Zukunft erfolgreich Geschäfte machen. Über kurz oder lang wird ein Ökosystem aus cybersicheren Unternehmen entstehen, das Nachzügler zunehmend aus dem Geschäftsverkehr ausschließen wird. Anderenfalls könnte der dauerhafte Mangel an digitalem Vertrauen dem Gesellschafts- und Wirtschaftssystem nachhaltigen Schaden zufügen.

Und das Bewusstsein für die Konsequenzen von beschädigtem Vertrauen ist weit verbreitet: 71 Prozent der Befragten stimmen zu, dass die Marke des Unternehmens Schaden nimmt, wenn die Daten von Kunden und Partnern nicht sicher gehandhabt werden. Im Ernstfall ist der Schutz von Kundendaten sogar der Hauptgrund (46 Prozent) für die Zahlung von Lösegeld infolge von Ransomware-Attacken. Bei deutschen Unternehmen sind die Erwartungen ihrer Geschäftspartner bereits der größte Antrieb (28Prozent), ihre Cyber-Resilienz zu erhöhen.

Maßnahmen für mehr digitales Vertrauen und Cyber-Resilienz  

„Ziel muss es sein, in einer Welt zu leben, in der man sich generell wieder vertrauen kann. Und in welcher der Umgang mit Daten den Grundsätzen der Informationssicherheit entspricht: Integrität, Vertraulichkeit und Verfügbarkeit. Der Zero-Trust-Ansatz, der zum Aufsetzen eines resilienten IT-Systems sinnvoll erscheinen mag, sollte nicht unseren gesellschaftlichen Alltag beherrschen. Der erste Schritt dahin ist klar: Deutsche Unternehmen müssen bei der IT-Sicherheit aufholen, ihre Hausaufgaben hinsichtlich der Aufstellung einer resilienten Organisation machen. Und so in einem großen Ausmaß versicherbar werden“, berichtet Gisa Kimmerle.

Ein Beispiel für den genannten positiven Trend sind die höheren Investitionen in IT-Sicherheit. Die durchschnittlichen Ausgaben stiegen innerhalb von drei Jahren um 39 Prozent auf 142.600 Euro. Bei Unternehmen mit weniger als zehn Mitarbeitern vervierfachten sie sich innerhalb von zwei Jahren. Deutschland ist Vorreiter: Unternehmen in der Bundesrepublik gaben am meisten für IT-Sicherheit aus. Und zwar bei einem Median von 195.040 Euro im Vergleich zu 142.600 Euro international.

Höhere Abdeckung durch Cyber-Versicherungen

Auch eine höhere Abdeckung durch passende Cyber-Versicherungen ist ein Schritt zu mehr digitalem Vertrauen. Der Anteil der Cyber-Versicherungsnehmer unter den Befragten ist dabei im internationalen Vergleich in Deutschland am höchsten (67 Prozent). Versicherungen spielen eine wichtige Rolle bei der Abmilderung der Auswirkungen von Cybervorfällen, Schutz vor monetären Schäden und der Förderung bewährter Praktiken im Bereich der Cybersicherheit.

„Ein Schlüssel zum Erfolg ist aus Hiscox-Sicht die Akzeptanz, dass es sich bei Cyber-Risiken nicht um eine temporäre oder außergewöhnliche Bedrohung handelt. Wer dies in vollem Umfang akzeptiert, kann automatisch die passenden Maßnahmen ableiten. Beispielsweise haben absichtliches oder unabsichtliches Fehlverhalten von Mitarbeitenden völlig andere Konsequenzen, sobald sensible Daten involviert sind. Darüber hinaus ist die Einführung und Aktualisierung von Notfallplänen, der sogenannten Incident Response Plans, eine sinnvolle Konsequenz auch für kleinere Unternehmen“, so Gisa Kimmerle abschließend.

Zur Methodik der Studie: Der zum siebten Mal veröffentlichte „Cyber Readiness Report“ von Hiscox, der jährlich von Forrester erstellt wird, liefert ein aktuelles Bild der Bereitschaft von Organisationen beim Thema Cybersicherheit. Der Report bietet eine Blaupause für Best Practices im Kampf gegen eine sich ständig weiterentwickelnde Bedrohung. Er basiert auf einer Umfrage von 5.005 Führungskräften, Abteilungsleitern, IT-Managern und anderen Fachleuten. Es handelt sich dabei um eine repräsentative Auswahl von Unternehmen verschiedener Größen und Branchen aus acht Ländern (Belgien, Frankreich, Deutschland, die Niederlande, Spanien, Großbritannien, Irland und die USA).

Lesen Sie auch: Finanzbetrug: Jeder dritte Angreifer setzt auf Spear-Phishing