KMU verdrängen Erfahrungen mit Cyberangriffen schnell wieder

Immer mehr kleine und mittelständische Unternehmen (KMU) machen Erfahrungen mit Cyberangriffen. Nach rund 40 Prozent in den vergangenen Jahren geben aktuell 53 Prozent an, bereits Cyberangriffe erfahren zu haben. Das zeigen Ergebnisse der HDI Cyberstudie 2024, für die rund 1.500 IT- und Versicherungsentscheider kleiner und mittelständischer Unternehmen sowie Selbstständige befragt wurden.

Mehr zum Thema

Gothaer KMU-Umfrage

Großes Potenzial für Cyberpolicen im Mittelstand

Richtlinie NIS-2

Verschärfte Anforderungen für Cyberpolicen drohen

In eigener Sache

Lesen Sie unser neues Flipbook zu Gewerbeversicherungen!

Gothaer KMU-Umfrage

Großes Potenzial für Cyberpolicen im Mittelstand

Richtlinie NIS-2

Verschärfte Anforderungen für Cyberpolicen drohen

In eigener Sache

Lesen Sie unser neues Flipbook zu Gewerbeversicherungen!

Gerade Kleinbetriebe mit 10 bis 50 Mitarbeitenden scheinen dabei ein beliebtes Angriffsziel zu sein: 56 Prozent dieser Unternehmen haben laut Studie bereits Erfahrung mit Cyberangriffen. Der Wert ist damit inzwischen auf dasselbe Niveau wie bei Mittelständlern gestiegen. Vor zwei Jahren lag diese Quote laut HDI Studie noch bei 37 Prozent. Und auch Kleinstbetriebe (bis zu 9 Mitarbeiter) werden laut neuester Studie vermehrt angegriffen, auch wenn bei diesen mit aktuell 39 Prozent noch nicht das Niveau größerer Unternehmen erreicht wurde.

„Die neue Cyberstudie zeigt deutlich: auch Kleinunternehmen, Kleinstunternehmen und Freiberufler werden für die Angreifer immer interessanter,“ sagt Christian Kussmann, Vorstand Firmen und Freie Berufe der HDI Versicherung.

Eigenes Risiko unterschätzt

Das Risiko für eine Cyberattacke auf ein kleines oder mittleres Unternehmen in Deutschland schätzen 49 Prozent der Studien-Teilnehmer als hoch oder eher hoch ein. Eine Betroffenheit des eigenen Unternehmens halten jedoch nur 38 Prozent der Befragten für wahrscheinlich. Im Vergleich zum Vorjahr liegen beide Werte jeweils um rund 10 Prozentpunkte höher.

Im Vergleich zu den Werten von vor zwei Jahren ist eine Tendenz zur stärkeren Wahrnehmung der eigenen Schadengefahr abzulesen. So bewerteten 34 Prozent der Befragten die Schadenwahrscheinlichkeit für das eigene Unternehmen höher als 2022 mit 27 Prozent. In der Umfrage für die Studie 2023 dagegen lag der Wert mit 23 Prozent der Umfrageteilnehmer signifikant niedriger. „Wir gehen daher davon aus, dass die Cyberbedrohung für die Unternehmen durch andere aktuelle Risiken wie Inflation und Lieferengpässe bei vielen vorübergehend in den Hintergrund gerückt war“, so Kussmann.

Aus Schaden wird man klug. Das gilt grundsätzlich auch nach einem Angriff aus dem Cyberspace. Allerdings scheint diese Einsicht nur eine begrenzte Haltbarkeit zu haben. Auch das legen die Ergebnisse der HDI Cyberstudie nahe. Die Einschätzung der Befragten hinsichtlich des Angriffs- und des Schadensrisikos nehmen nämlich relativ schnell nach einem Angriff wieder ab: So schätzen 57 Prozent der Befragten, deren Unternehmen innerhalb von zwölf Monaten vor der Umfrage attackiert worden ist, das Angriffsrisiko für ihr eigenes Unternehmen als „hoch“ oder „sehr hoch“ ein. Mit drei Jahren Abstand zu einem Cyberangriff hat sich dieser Wert halbiert: nur noch 27 Prozent dieser Befragten teilen dann diese Ansicht.

Ähnlich auch die Ergebnisse zum Schadensrisiko: Von den in den vergangenen zwölf Monaten attackierten Unternehmen schätzen insgesamt 46 Prozent der Befragten das Risiko, dass ihr Unternehmen bei einem nächsten Cyberangriff Schaden nehmen könnte, als „hoch“ oder „eher hoch“ ein. Je länger der Angriff zurückliegt, desto geringer jedoch wird diese Sorge: Nach ein bis zwei Jahren, sind nur noch 39 Prozent dieser Ansicht. Und nach drei bis fünf Jahren teilen nur noch 25 Prozent der Interviewten diese Einschätzung. Am niedrigsten ist der Wert bei Unternehmen, die in den fünf Jahren vor der Umfrage nicht attackiert wurden. Er liegt gerade einmal bei 22 Prozent.

Erfahrung mit Cyberangriffen wird schnell verdrängt

Noch deutlicher ist die Tendenz, wenn Teilnehmer nach dem generellen Angriffsrisiko für KMU gefragt werden: Innerhalb von zwölf Monaten nach einem Angriff schätzen 65 Prozent der Befragten das Risiko eines Angriffs für ein KMU als „hoch“ oder „eher hoch“ ein. Liegt der Angriff jedoch länger als zwölf Monate zurück, teilen nur noch zwischen 36 und 42 Prozent der Befragten diese Ansicht.

Offenbar werden die Risiken eines erneuten Angriffes schon nach kurzer Zeit von anderen Themen überlagert und verdrängt. HDI-Vorstand Kussmann zieht deshalb das Fazit: „Die Negativ-Erfahrung eines Cyberangriffs tritt relativ schnell in den Hintergrund. Von ‚Cyber-Vergessen‘ sprechen, ist damit aus meiner Sicht nicht übertrieben.”