Thought Leadership
Deutsche Unternehmen werden fast wöchentlich Ziel eines Cyberangriffs und trotz steigender IT-Ausgaben sind viele Firmen nicht auf den Ernstfall vorbereitet.
Um Schäden vorzubeugen, die durchaus die Existenz eines Unternehmens bedrohen können, sollten Unternehmen ihre Cybersicherheit stärken und in präventive Maßnahmen investieren. Das Restrisiko kann mit einer guten Cyberversicherung abgedeckt werden, die das Unternehmen im Ernstfall unterstützt.
Die Cyber-Bedrohungslage in Deutschland spitzt sich für Unternehmen weiter zu: 2024 verzeichneten 60 Prozent der deutschen Unternehmen mehr Angriffe als im Vorjahr. Im Durchschnitt wurden sie fast wöchentlich von Cyber-Kriminellen attackiert. Das ergab eine repräsentative internationale Befragung des Spezialversicherers Hiscox im Rahmen des aktuellen Cyber Readiness Reports. Angriffe, die Unternehmen nicht abwehren konnten, haben einschneidende wirtschaftliche Folgen: Während 52 Prozent der angegriffenen Unternehmen Kosten von unter 100.000 Euro angaben, erlitt ein Viertel Schäden von über 500.000 Euro. Zudem litten Unternehmen unter der Dauer der Betriebsunterbrechungen: Während diese bei 26 Prozent der Befragten zwei bis vier Wochen anhielten, brauchten 30 Prozent ein bis drei Monate und 7 Prozent sogar noch länger, bis der Betrieb wiederhergestellt war.
Auch über die ersten finanziellen Schäden hinaus spüren viele Unternehmen die Folgen eines Cyberangriffs langfristig, sodass sie existenzbedrohende Ausmaße annehmen können: Der Hälfte der befragten Unternehmen fiel es schwerer, neue Kundschaft zu gewinnen, wenn der Angriff öffentlich bekannt wurde. 46 Prozent verloren als Folge der Cyberattacke sogar Kundinnen und Kunden. Der Cybervorfall hat in diesen Fällen das Vertrauen der Stakeholder nachhaltig geschädigt. Sie zweifeln etwa die Kompetenz des Unternehmens an, ihre personenbezogenen Daten zu schützen. Für Geschäftspartner und Kunden ist Digital Trust ein wichtiger Faktor für die Zusammenarbeit und damit für deutsche Unternehmen eine Voraussetzung, um wettbewerbsfähig zu bleiben und die digitale Transformation gut zu meistern.
Cybersicherheit deutscher Unternehmen reicht nicht aus
Die meisten deutschen Unternehmen begreifen durchaus den Ernst der Lage und investieren in ihre IT-Sicherheit. 45 Prozent der Befragten geben 6 Prozent bis 10 Prozent des gesamten IT-Budgets für IT-Sicherheitsmaßnahmen aus, bei 42 Prozent sind es sogar 15 Prozent. Die Befragung zeigt, an welchen Stellen Unternehmen trotzdem nicht gut genug aufgestellt sind, sodass Cyberkriminelle diese Schwachstellen nutzen können: Unternehmens-Server in der Cloud sind das häufigste Einfallstor für Cyberkriminelle (55 %). Auch der Mensch bleibt eine der größten Schwachstellen in Unternehmen: 47 Prozent der Angriffe erfolgten durch Phishing oder Social-Engineering. Darüber hinaus blieb auch Ransomware eine häufig genutzte Methode.
5 Tipps für mehr Cyber-Resilienz
Diese besorgniserregenden Zahlen zeigen, dass die Bemühungen von Unternehmen bisher noch nicht ausreichen. Die Maßnahmen zur Verbesserung der Cybersicherheit müssen stark ausgeweitet werden. Die Umsetzung der folgenden Maßnahmen steigert die Cyber-Resilienz von Unternehmen deutlich:
#1 Sicherheitslücken überprüfen und regelmäßige Software- Updates
Unternehmen sollten ihre internen Systeme sehr genau im Blick behalten. Durch regelmäßige Updates lassen sich Sicherheitslücken in der Software vermeiden und Cyberangriffen über diese Schwachstellen vorbeugen.
#2 Kontinuierliche Schulungen
Mitarbeitende müssen kontinuierlich weitergebildet werden, damit sie Angriffe besser erkennen und ihnen mit den passenden Gegenmaßnahmen begegnen können.
#3 Ransomeware-sichere Back-ups
Regelmäßige und ransomware-sichere Back-ups sind essenziell, um die Systeme im Ernstfall zügig wiederherstellen zu können. Außerdem machen sich Unternehmen damit im Fall einer Lösegeldforderung weniger erpressbar. Für Cyberangriffe gilt: Prävention ist die beste Verteidigung.
#4 Vorbereitung auf den Ernstfall mit einem Krisenplan
Ein solcher Plan definiert und klärt unter anderem die wichtigsten Handlungsanweisungen und die zuständigen Personen für den Fall eines Cyberangriffs.
#5 Passgenaue Cyberversicherung abschließen
Kein Unternehmen ist so resilient gegen Cyber-Kriminalität aufgestellt, dass es „unangreifbar“ ist – daher ist eine Cyber-Police für die Absicherung des Restrisikos sowie die schnelle Unterstützung durch Experten im Ernstfall.
Unverzichtbarer Teil jeder Strategie: Die Cyberversicherung
Gute Cyberversicherungen übernehmen nicht nur die Schäden des Cyberangriffs, sondern auch die Kosten der dadurch entstandenen Betriebsunterbrechung sowie Schadenersatzforderungen, die ein Dritter im Zusammenhang eines Cybervorfalls von dem Unternehmen verlangt. Letzteres kann beispielsweise vorkommen, wenn ein Mitarbeiter bei einem Datentransfer unwissentlich einen Virus an einen Kunden des Unternehmens übertr.gt. Darüber hinaus können unbegründete Ansprüche in diesem Fall durch einen inkludierten passiven Rechtsschutz abgewehrt werden.
Für Unternehmen ist wichtig zu wissen: Ohne grundlegende Cybersicherheitsmaßnahmen sind die nicht versicherbar.
Gisa Kimmerle, Hiscox
Im Fall eines erfolgreichen Angriffs sind bei guten Versicherungen auch verschiedene Assistance-Leistungen enthalten, sodass betroffene Unternehmen schnelle Unterstützung von Experten wie IT-Forensikern, Datenrechtsanwälten und Krisen-PR-Beratern bekommen. So können nicht nur die Systeme möglichst schnell wiederhergestellt werden, sondern auch die Reputation des Unternehmens geschützt werden, um die Schäden für das Unternehmen möglichst klein zu halten.
Von der Hilfe des Versicherers profitieren Unternehmen aber nicht nur nach einem Schaden, sondern auch bereits davor, etwa bei der Erstellung eines Krisenplans. Manche Versicherer bieten auch Cyber-Trainings für Mitarbeitende an, sodass versicherte Unternehmen einen Teil der Präventionsarbeit auslagern können.
Ein häufiger Irrtum ist übrigens, dass nur große Unternehmen das Opfer von Cyberangriffen werden und ausschließlich diese sich dagegen versichern müssen. Dabei geraten zunehmend auch kleine und mittelgroße Unternehmen in das Visier von Cyberkriminellen, die wegen fehlender oder kleiner IT-Abteilungen nicht auf einen Cyberangriff vorbereitet sind und die Unterstützung eines Versicherers dringend benötigen.
Für Unternehmen ist wichtig zu wissen: Ohne grundlegende Cybersicherheitsmaßnahmen sind sie nicht versicherbar. Aber wenn diese Maßnahmen implementiert sind, ist für die Absicherung des Restrisikos eine Cyberversicherung essentieller Bestandteil einer umfassenden Sicherheitsstrategie.
