Cybersicherheit im Mittelstand: Auswirkungen von Cyber-Angriffen sind spürbar

Angriffe auf die Cybersicherheit als Risiko Nummer eins für Unternehmen weltweit: Die befragten Experten in sieben von acht Ländern (inklusive Deutschland) stufen Cyber-Angriffe als die größte Bedrohung für ihr Unternehmen ein – noch vor Pandemie, Wirtschaftsabschwung und Fachkräftemangel.

Cybersicherheit im Mittelstand

Und das zurecht: 46 Prozent der befragten Unternehmen wurden innerhalb von 12 Monaten mindestens einmal von Hackern angegriffen. Diese Entwicklung führt zu einem exponentiellen Wachstum der Schäden: Im Vergleich zu 2020 hat sich die Zahl der bei Hiscox Deutschland gemeldeten Cyber-Schäden im Jahr 2021 fast verdoppelt.

Auch, wenn sich der Mittelstand teilweise noch sicher fühlt, da meist nur Angriffe auf große Konzerne in den Medien gezeigt werden, ist er längst Zielscheibe: Unternehmen mit einem Umsatz von 90.000 bis 450.000 Euro müssen jetzt mit ebenso vielen Cyber-Angriffen rechnen wie Unternehmen mit einem Jahresumsatz von 1 bis 9 Millionen Euro.

Diese Entwicklungen in der Bedrohungslage geht auch an den Unternehmen nicht spurlos vorbei und sorgt zunächst für einen dramatischen Einbruch in der Cyber-Selbsteinschätzung. Hauptgrund ist die große Zahl an Kumul-Attacken wie z. B. Log4j. Anteil der selbsterklärten Cyber-Experten stark gesunken von 21 Prozent auf drei Prozent. 36 bzw. 34 Prozent der kleinen und mittelständischen Unternehmen (1 – 249 MA) sehen sich selbst als Cyber-Anfänger.

Die Folgen für Entscheider im Mittelstand

Das Management reagiert bereits auf die Entwicklungen, und nimmt dafür ordentlich Geld in die Hand: Investitionen in Cyber-Sicherheit seit 2019 um 250 Prozent gestiegen. Auch im Vergleich zum Vorjahr ein deutlicher Anstieg der Cyber-Security-Investments gemessen am Gesamt-IT-Budget: in DE von 20 auf 24 Prozent.

Das Problem ist, dass die Entscheider das Thema Cyber naturgemäß aus einer rein finanziellen Perspektive betrachten. Dafür gibt es Gründe, denn etwa die mittleren Cyber-Gesamtschadenkosten sind in Deutschland am höchsten: Vergleich (INT: €15.255; DE: €18.712). Aber die Auswirkungen von Cyber-Angriffen gehen weit über die direkten finanziellen Folgen hinaus: 22 Prozent melden Verlust von Kunden oder größere Schwierigkeiten bei der Neukundengewinnung nach Cyber-Angriff. Sowohl Schadenhöhe als auch indirekte Konsequenzen sind vor allem für mittelständische Unternehmen problematisch.

Was bedeutet das aus Sicht eines Cyber-Versicherers, und welche Handlungsempfehlungen ergeben sich? Versicherungsnehmer müssen stärker in die Pflicht genommen werden, und zwar neben der technischen Prävention vor allem bei der Awareness der Mitarbeiter. Die Erkenntnis von Hiscox: Die Schwachstellen des vergangenen Jahres zeigen, dass Unternehmen auch bei guter Prävention Opfer eines Angriffs zu werden drohen. Technische Lösungen allein bieten unzureichenden Schutz, wenn Betriebsprozesse und Organisation nicht auf Sicherheit ausgerichtet sind. Neben der Prävention müssen sich Unternehmen intensiv mit der Erkennung und Behandlung von Angriffen auseinandersetzen.

Wirksame Schulungen für Cybersicherheit für Mitarbeiter durchführen

Einer der Gründe dafür: Einer der häufigsten Eintrittspunkte für Hacker ist die Kompromittierung von Geschäfts-E-Mails (35 Prozent). Deshalb erstens: Durchführung wirksamer Cybersicherheitsschulungen für die Mitarbeiter, Erstellung eines Krisen-Reaktionsplans für Cyber-Zwischenfälle mit Ernennung von Schlüsselfunktionen im Bereich der Cybersicherheit und regelmäßige Simulation eines Cyberangriffs.

Und zweitens: Im Schadenfall sind zahlreiche KMU ohne Expertise, Krisenplan und Expertennetzwerk nicht handlungsfähig. Hochwertige Assistance-Leistungen müssen grundsätzlicher Bestandteil jeder zukunftsfähigen Cyber-Deckung sein.

Die Autorin Gisa Kimmerle ist Underwriting Manager Cyber bei Hiscox Deutschland.