Nach oben

Hiscox Cyber Readiness Report 2019

  • Mangelndes Cyber-Know-how bei Unternehmen
  • Digitale Risiken nehmen zu
  • Steigende Kosten für Cyber-Risiken
  • Erste Verbesserungen mit Blick auf Cyber-Sicherheit

Digitalisierung und Vernetzung, zunehmende Aufklärung vor Cyber-Gefahren und zahlreiche medienwirksame Hacker-Angriffe – und dennoch: Viele deutsche Unternehmen vernachlässigen nach wie vor ihr Cyber-Risikomanagement. Die Zahlen des Hiscox Cyber Readiness Reports 2019 sprechen eine deutliche Sprache und sind alarmierend. Die überwiegende Mehrheit (70%) der befragten deutschen Unternehmen zählt noch immer zu den sogenannten Cyber-Anfängern. Auf den Fall eines Cyber-Angriffs sind sie nur unzureichend vorbereitet. 19% gelten als Fortgeschrittene und nur 11% als Cyber-Experten (Report 2018: 77% Anfänger; 14% Fortgeschrittene; 10% Experten).

Hier können Sie den kompletten Cyber Readiness Report 2019 herunterladen. Eine Zusammenfassung der wichtigsten Ergebnisse für Deutschland und alle weiteren befragten Länder finden Sie hier.

Cyber-Attacken und Schadenhöhen nehmen drastisch zu

Die Frequenz von Cyber-Einschlägen steigt weiter und die Folgen der Angriffe für die Unternehmen werden immer teurer. 61% der befragten deutschen Firmen waren in den vergangenen 12 Monaten von mindestens einer Cyber-Attacke betroffen (Report 2018: 48%). Mit einem Anteil von 30% erlebten in den befragten Ländern zudem mehr Unternehmen vier oder sogar mehr Angriffe, während laut dem Report 2018 noch 20% so oft attackiert wurden.

Die durchschnittlichen Kosten aus allen erlittenen Cyber-Zwischenfällen pro Unternehmen stiegen international von 229.000 US-Dollar (Report 2018) auf 369.000 US-Dollar, was einem Zuwachs von 61% entspricht. Aufgrund einzelner besonders hoher Schadenfälle vermeldeten betroffene deutsche Unternehmen eine durchschnittliche Schadenhöhe von besonders hohen 906.000 US-Dollar.

Cyber-Angriffe treffen häufiger auch den Mittelstand

Die steigenden Angriffszahlen bekommen vor allem kleine und mittlere Unternehmen verstärkt zu spüren. In allen untersuchten Ländern wurden 47% der kleinen und 63% der mittelgroßen Firmen Opfer von Cyber-Attacken (2018: kleine Firmen: 33%; mittlere Firmen: 36%). 23% der Unternehmen mit bis zu 999 Mitarbeitern fielen dabei Schadsoftware wie Viren oder Würmern zum Opfer, 20% mussten mit Datenschutzverletzungen und dem Verlust von Mitarbeiter- und Kundendaten umgehen und 15% erlitten eine Ransomware-Attacke.

Der Anstieg von Schadenfällen und -summen verwundert uns nicht und deckt sich mit unserer Schadenpraxis. Die wenigsten Firmen beschäftigen sich aktiv mit Cyber-Krisenmanagement und das Niveau von Schutz- und Präventionsmaßnahmen ist in vielen Unternehmen nach wie vor bedenklich. Diesen Vorteil können Cyber-Kriminelle leicht für sich nutzen. Entscheider müssen realisieren, dass Cyber-Kriminalität ein reales Geschäftsrisiko der digitalisierten Welt ist, und nicht nur eine Modeerscheinung“, erläutert Robert Dietrich, Managing Director Germany der Hiscox SA.

Erste Verbesserungen im Umgang mit digitalen Risiken

Erste Verbesserungen im Umgang mit digitalen Gefahren sind trotz der ernüchternden Zahlen erkennbar:. Immer mehr Unternehmen in Deutschland verfügen über einen Mitarbeiter, der dezidiert für Cyber-Risiken zuständig ist (Report 2019: 85%; 2018: 69%). Außerdem reagieren mehr Firmen mit konkreten Gegenmaßnahmen, wenn sie Opfer eines Cyber-Angriffs wurden. Nur noch 32% der betroffenen deutschen Unternehmen gaben an, dass sich nach einer Attacke nichts geändert hat (Report 2018: 45%).

Im Zuge regulatorischer Maßnahmen wie der Einführung der DSGVO haben 21% der deutschen Firmen 2018 verstärkt in Mitarbeitertrainings investiert. Zudem planen deutsche Firmen 11% ihres gesamten IT-Budgets 2019 in Cyber-Sicherheitsmaßnahmen zu investieren, womit die Investitionsbereitschaft 2 Prozentpunkte über der aller in der Studie befragten Unternehmen liegt (9% gemessen am IT-Budget).

„In der vernetzten Business-Welt werden digitale Gefahren schnell zum Geschäftshemmnis. Um Cyber-Risiken kalkulierbar machen zu können, muss jedes Unternehmen die individuellen Schwachstellen kennen und und richtig absichern. Standard-Gewerbeversicherungen schützen jedoch nicht ausreichend vor Schäden durch Cyber-Angriffe, auch wenn sich dieser Irrglaube hartnäckig hält“, so Robert Dietrich. „Eine gute Cyber-Versicherung unterstützt Unternehmen präventiv, um Risiken von vornherein zu reduzieren, hilft schnell und unbürokratisch im Schadenfall und danach, um die Angriffsfläche für die Zukunft zu minimieren.“

Hiscox bietet in Deutschland seit über acht Jahren Versicherungsschutz vor Cyber-Gefahren, in anderen Ländern sogar bereits seit mehr als 20 Jahren. Wir haben in unserer Schadenpraxis schon zahlreiche Cyber-Angriffe  aufgeklärt und reguliert. Wir haben Erfahrung und arbeiten mit den Erkenntnissen, die uns der Cyber Readiness Report seit nunmehr drei Jahren liefert.

Wann sind Unternehmen gut auf Cyber-Gefahren vorbereitet, und wann nicht? Diese Kriterien machen den Unterschied:

  • Das Management ist involviert; Cyber-Sicherheit hat Priorität.
  • Verschiedene Stakeholder im Unternehmen haben eine klare Strategie erarbeitet.
  • Es gibt einen dezidierten Cyber-Manager bzw. ein Cyber-Team im Unternehmen.
  • Das Unternehmen stellt ein adequates Cyber-Budget zur Verfügung. Im Schnitt geben Cyber-Experten über 1 Mio US-Dollar mehr für Cyber-Sicherheit aus als Cyber-Anfänger.
  • Die Sicherheit innerhalb der Lieferkette wird regelmäßig geprüft und in Verträgen werden KPIs für Cyber-Sicherheit festgehalten.
  • Das Unternehmen kann Prozesse verfolgen, dokumentieren und Einflüsse messen.
  • Es werden regelmäßig Cyber-Trainings zur Sensibilisierung aller Mitarbeiter durchgeführt.
  • Durch simulierte Attacken wird proaktiv die Cyber-Sicherheit getestet.
  • Im Unternehmen werden regelmäßig Phishing-Tests durchgeführt.
  • Das Unternehmen ist bereit zu lernen, zu reagieren und nach einem Cyber-Vorfall Veränderungen umzusetzen.
  • Das Unternehmen ist durch eine Cyber-Versicherung geschützt.

  x   Das Unternehmen beschäftigt sich lediglich ad-hoc mit Cyber-Sicherheit; es gibt keine klaren Verantwortlichkeiten.

  x   Eine klare Cyber-Strategie existiert genauso wenig wie ein spezielles Budget für Cyber-Sicherheit.

  x   Es ist eine übermäßige Abhängigkeit von der Technologie zu beobachten.

  x   Das Unternehmen reagiert langsam auf Cyber-Angriffe.

  x   Cyber-Trainings für Mitarbeiter werden nur glegentlich und oft lückenhaft durchgeführt.

  x   Schwachstellen innerhalb der Supply Chain erden nicht evaluiert.

  x   Cyber-Attacken oder Mitarbeiter-Reaktionen auf Angriffe werden nicht simuliert.

  x   Das Unternehmen verlässt sich auf eine Standard-Sachversicherung.

Cyber-Sicherheit braucht ein umfassendes Cyber-Risikomanagement

Cyber-Sicherheit beginnt mit einer gut aufgestellten IT. Allerdings kann kein System zu 100% sicher sein. Die technischen Lösungen sind jedoch nur ein Bestandteil einer umfassenden IT-Sicherheitsstrategie. Eine umfassende Cyber-Strategie sollte auch regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter für Cyber-Risiken sowie einen Cyber-Krisenplan beinhalten, in dem die Verantwortlichkeiten zur Vorbereitung auf den Ernstfall festgehalten werden. Vor den Restrisiken schützt eine Cyber-Versicherung.

Sie wollen mehr zum Thema Cyber-Sicherheit erfahren? Bleiben Sie stets informiert mit aktuellen News rund um Cyber-Risiken und Tipps zum Schutz davor mit unserem Blog.

Sie haben Fragen? Unser Team hilft Ihnen gerne weiter:

Kontakt für Makler
Tel. +49 89 54 58 01 100
[email protected]

Kontakt für Endkunden
Tel. +49 89 545 801 700
[email protected]

 

Folgende Themen könnten Sie auch interessieren:

Cyber Security: Trends 2019
Cyber Glossar
Hiscox Cyber Readiness Report 2018
Hiscox Cyber Readiness Report 2017