Die Zahl von Cyberattacken gegen Unternehmen ist in den vergangenen Jahren weiter gestiegen. Mehr als eine Million der rund 3,5 Millionen kleinen und mittelständischen Unternehmen (KMU) in Deutschland waren bereits Opfer von Cyberangriffen. Vor allem unter den Mittelständlern mit 50 bis 250 Mitarbeitern berichten 57 Prozent, schon mindestens einmal von einer Cyberattacke betroffen gewesen zu sein.
Das sind Ergebnisse der HDI Cyberstudie, zu der Versicherungs- und IT-Entscheider von mehr als 500 KMU in Deutschland durch das Forschungs- und Beratungsinstitut Sirius Campus repräsentativ befragt wurden.
Fast drei Viertel der erfolgreichen Angriffe verursachen dabei erhebliche Schäden und kosten KMU im Schnitt 95.000 Euro. Bei Freiberuflern liegt der Schadendurchschnitt laut Studie bei 120.000 Euro und größere Mittelständler berichten von Schäden von bis zu 500.000 Euro. Dass laut Untersuchung Mittelständler überdurchschnittlich betroffen waren, heißt aber nicht, dass kleinere und Kleinstunternehmen für die Angreifer nicht interessant sind. Auch rund 31 Prozent der Kleinstunternehmen mit bis zu 9 Mitarbeitern und 37 Prozent der Kleinunternehmen mit 10 bis 49 Mitarbeitern sind in den vergangenen Jahren Opfer von Cyberattacken geworden.
„Die häufig geäußerte Ansicht, dass kleinere Unternehmen für Cyberangriffe nicht interessant seien, ist durch die Praxis klar widerlegt“, sagt Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung. Zudem zeige sich ein genereller Trend: Kleinere Unternehmen gerieten verstärkt in den Fokus, seitdem sich größere Unternehmen besser gegen solche Angriffe schützten. KMU haben dagegen häufig nicht so hohe Sicherheitshürden wie große Unternehmen. Außerdem nutzen Angreifer die kleineren Unternehmen auch als Einstieg für weitere Angriffe. Denn als Dienstleister unterhalten diese häufig IT-Schnittstellen zu Großunternehmen.
Ob über erweiterte Computer-Netzwerke oder Wartungsschnittstellen von Druckern oder Kopierern – die Angriffsmethoden der Cyberkriminellen werden immer ausgefeilter und technisch anspruchsvoller. Allerdings sind es bislang relativ wenige Unternehmen, die in der Praxis auf diese Weise attackiert wurden. Schwerpunkt der Angriffsmethoden ist weiter klar der Mensch.
So geben 20 Prozent der Unternehmen an, dass sie bereits durch Vortäuschen falscher Identitäten, Spam- oder Phishing-Mails ins Visier genommen wurden. Fast genauso viele klagten über verseuchte Anhänge in E-Mails an Mitarbeiter und Schadsoftware. „Die Untersuchungsergebnisse zeigen klar: Angreifer wählen den Weg des geringsten Widerstands. Beim allergrößten Teil der Angriffe nutzen Angreifer Unaufmerksamkeit, Neugier oder Arglosigkeit bei Mitarbeitern, um in die IT-Netzwerke der Firmen einzudringen,“ so HDI Vorstand Kussmann.
Ein weiteres Ergebnis der Umfrage: Rund ein Viertel der betroffenen Unternehmen musste mit Betriebsunterbrechungen in Folge der Attacken klarkommen. Zum Beispiel konnte ein Unternehmen aufgrund der kompromittierten Systeme seine Kunden vorübergehend nicht beliefern. Ein anderes konnte nicht mehr auf E-Mails und das Firmennetzwerk zugreifen. Buchführung und Kundenservice waren lahmgelegt. Nicht umsonst werden Betriebsunterbrechungen deshalb von 43 Prozent der Unternehmen als besonders relevant eingestuft.
Als noch wichtiger bewerten die befragten Unternehmen nur den Diebstahl von Kundendaten: 45 Prozent der Befragten sehen hier eine große Relevanz – 22 Prozent der angegriffenen Unternehmen waren hiervon bereits betroffen. Genauso häufig sind Auswirkungen auf den Ruf des Unternehmens: 22 Prozent der attackierten Unternehmen beklagen Image- und Reputationsschäden infolge der Cyberangriffe. Zudem sahen sich 15 Prozent mit Schadenersatzforderungen von Kunden konfrontiert und 16 Prozent mit Industriespionage und dem Verlust geheimer Unterlagen.
Betriebsunterbrechungen erweisen sich auch als wichtiger Treiber der Schadenhöhe. Bei mehr als der Hälfte der betroffenen Unternehmen war der Betrieb laut Studie für mindestens zwei Tage eingeschränkt. Rund 15 Prozent mussten sogar mit 4 bis 7 Tagen Betriebsstörungen klarkommen. Besonders hart getroffen wurden dabei Kleinstunternehmen. Denn allein das Entfernen von Schadsoftware und das Einspielen von Updates ist in komplexen IT-Systemen von heute nicht in ein paar Stunden erledigt, auch nicht in kleineren Unternehmen.
Häufig entdecken die KMU die Cyberangriffe nur zufällig. Auch das ist ein Ergebnis aus der Cyberstudie. HDI Vorstand Kussmann warnt: „Wenn eine Schadsoftware lange unerkannt im System bleibt, besteht häufig die Gefahr, dass die besonders schwerwiegende Schäden anrichtet.“ Das Ziel müsse daher sein, Angriffe frühzeitig zu erkennen und Schadsoftware unschädlich zu machen. Insgesamt gaben aber 28 Prozent der betroffenen KMU an, dass sie Cyberattacken nur durch Zufall entdeckt haben. Bei Kleinst- und Kleinunternehmen war das sogar bei jeweils rund einem Drittel der Firmen der Fall.
Als Konsequenz der erlittenen Cyberattacke entschieden sich außerdem über ein Viertel der betroffenen Unternehmen für den Abschluss einer Cyberversicherung. Denn gerade nach größeren Schäden tritt die Frage nach einem möglichen Versicherungsschutz in den Fokus. Nur bei einem Viertel der Schadenfälle war der Schaden umfassend durch eine Cyberversicherung abgesichert. 30 Prozent der Befragten verfügten dagegen über keinerlei Versicherungsschutz für den erlittenen Schaden.
HDI-Vorstand Kussmann: „Integrierte Präventions- und Versicherungsangebote für den Schutz gegen Cyberattacken bieten gerade für KMU einen komfortablen Rundum-Service. Denn neben dem finanziellen Ausgleich von Schäden stehen dabei auch wirksame Präventionsmaßnahmen und Mitarbeiterschulungen im Fokus, die Schadenwahrscheinlichkeit und Schadenhöhe erheblich senken können.“
