Die Mehrheit der deutschen Unternehmen ist schlecht auf Cyber-Attacken vorbereitet
Cyber-Attacken auf deutsche Unternehmen gehören heute fast schon zur Normalität. Beinahe täglich kann man von neuen Cyber-Bedrohungen lesen, Maßnahmen zur Verbesserung der Cyber-Sicherheit werden heiß diskutiert. Im vergangenen Jahr haben Cyber-Attacken wie etwa durch den Krypto-Trojaner „Locky“ erheblichen Schaden verursacht, auch die Deutsche Telekom oder ThyssenKrupp wurden Opfer von Hackerangriffen. Durch die spektakulären Cyber-Schadenfälle und die zunehmende Berichterstattung ist das Risikobewußtsein der Unternehmen heute viel höher. Bei der Implementierung eines umfassenden Cyber-Risk-Management muss die Mehrheit der deutschen Unternehmen aber noch einen weiten Weg gehen, wie unser „Cyber Readiness Report 2017“ zeigt.
Für den „Hiscox Cyber Readiness Report 2017“ befragte das Marktforschungsinstitut Forrester Consulting im Auftrag von Hiscox insgesamt 3.036 Führungskräfte, Abteilungsleiter, IT-Manager und andere Verantwortliche für Cyber-Sicherheit von Unternehmen in Deutschland (1.001 Befragte), Großbritannien (1.006 Befragte) und den USA (1.029 Befragte) zu deren Selbsteinschätzung in den Kategorien Strategie, Ressourcen, Technologie sowie Prozesse. Auf dieser Basis wurden die Befragten länderübergreifend in die Gruppen „Cyber-Anfänger“, „Cyber-Fortgeschrittene“ und „Cyber-Experten“ eingeteilt. Diese Kategorisierung ermöglicht es, good practices der Cyber-Experten zu identifizieren und Handlungsanweisungen abzuleiten.
„Die Anzahl der schlecht gegen Cyber-Attacken gerüsteten Unternehmen in Deutschland ist erschreckend hoch. Bei gut vorbereiteten Unternehmen ist IT-Security ein Top-Management-Thema und es existiert eine klare Strategie. Der Fokus muss dabei auf zeitgemäßen Prozessen und Richtlinien, laufenden Investitionen in die technische IT-Security und der Sensibilisierung und Schulung der Mitarbeiter liegen. Die zweite Verteidigungslinie bildet ein spezifischer Cyber-Versicherungsschutz. Wer eines dieser Handlungsfelder vernachlässigt, läuft Gefahr, durch Cyber-Attacken nachhaltig geschädigt zu werden. Kein Unternehmen kann sich absolut vor Cyber-Attacken schützen, aber es kann die Schäden klein halten“, kommentiert Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland, die Studienergebnisse.
Hier geht’s zum Hiscox Cyber Readiness Report 2017.
Deutsche Unternehmen hinken im internationalen Vergleich hinterher
Mit 62 Prozent weist Deutschland im Ländervergleich (USA: 40%; GB: 57%) den höchsten Anteil an Unternehmen auf, die als sogenannte „Cyber-Anfänger“ gelten, also unzureichend auf Cyber-Attacken vorbereitet sind. Der Anteil der „Cyber-Experten“ liegt in Deutschland bei lediglich 20 Prozent, wohingegen 44 Prozent der befragten US-Unternehmen gut gegen Cyber-Attacken gerüstet sind (GB: 26%). 18 Prozent der deutschen Befragten zählen zu den „Cyber-Fortgeschrittenen“, die zumindest teilweise mit den Folgen einer Cyber-Attacke klarkommen können (USA: 16%; GB 17%).
Über die Hälfte der deutschen Unternehmen wurde bereits attackiert
Dass Attacken zum Alltag gehören, zeigt auch die Studie: 56 Prozent der befragten deutschen Unternehmen haben im vergangenen Jahr mindestens einen Angriff auf ihre Netzwerke und Daten festgestellt. Lediglich US-amerikanische Firmen waren 2016 mit 63 % noch häufiger von Cyber-Angriffen betroffen. Unter den befragten britischen Firmen wurden hingegen „nur“ 51% angegriffen. Besonders stark betroffen waren hierzulande die Fertigungsindustrie und die Medien-, Kommunikations- und Technologiebranche, in denen jeweils 65 Prozent der befragten Unternehmen mindestens eine Cyber-Attacke feststellten – gefolgt von der Finanzdienstleistungsbranche (64% ).
Cyber-Strategie muss Chefsache sein
Die Diskrepanz zwischen „Cyber-Anfängern“ und „Cyber-Experten“ manifestiert sich auch in der Rolle des Top-Managements. Während in den deutschen Unternehmen mit „Experten-Status“ insgesamt 88 Prozent der Befragten der Aussage „Cyber-Sicherheit muss Chefsache sein“ zustimmen (USA: 93%; GB: 91%), sind es bei den Anfängern nur 58 Prozent (USA: 70%; GB: 62%).
Investitionen fließen vorrangig in IT-Sicherheitstechnologien
In Sachen Cyber-Sicherheit ist Handeln gefragt. Das ist auch vielen deutschen Unternehmen bewußt. Deshalb planen sie für die kommenden 12 Monate mindestens 5% mehr Budget für Investitionen in neue IT-Sicherheitstechnologien ein.
Lange To-Do-Liste für Cyber-Verantwortliche
Die Komplexität der Cyber-Gefahren stellt die Verantwortlichen im Bereich IT-Sicherheit vor große Herausforderungen: 69 Prozent der Befragten in deutschen Unternehmen gaben an, vor allem angesichts der der sich ständig verändernden internen und externen Gefahren viel Arbeit vor sich zu haben. Für 65 Prozent der Cyber-Verantwortlichen in Deutschland hat es deshalb oberste Priorität, in den kommenden zwölf Monaten möglichst schnell auf Cyber-Vorfälle zu reagieren. 61 Prozent haben sich vorgenommen, bestehende Gefahren und Schwachstellen anzugehen. 56 Prozent wollen ihre generelle Verteidigungsfähigkeit verbessern und jeweils 55 Prozent planen, Cloud-basierte Managementsysteme zu implementieren oder eine Cyber-Police abzuschließen bzw. den bestehenden Versicherungsschutz gegen Cyber-Gefahren zu erweitern.
Risikofaktor Mitarbeiter bislang nicht ausreichend wahrgenommen
Externe Cyber-Attacken nehmen den ersten Platz auf der Liste der folgenschwersten Cyber-Angriffe bei deutschen Unternehmen ein (DE: 38%; USA: 25%; GB: 34%). Auf Platz zwei und drei folgen aber schon die Cyber-Zwischenfälle durch Mitarbeiter: Bei jedem fünften deutschen Unternehmen (20%) konnten die Verantwortlichen innerhalb der Organisation ausgemacht werden (USA: 22%; GB: 16%), 14 Prozent der Befragten berichteten von verlorengegangenen bzw. gestohlenen mobilen Geräten, wie Firmenhandys oder -tablets (USA: 17%; GB: 18%).
Trotz der alarmierenden Ergebnisse vernachlässigen die deutschen Befragten das Thema Sensibilisierung und Schulung von Mitarbeitern. Lediglich jedes vierte Unternehmen in Deutschland (24%) verpflichtet seine Mitarbeiter zur Teilnahme an speziellen Cyber-Trainings (GB 25%; US 34%). Allerdings planen 57 Prozent der deutschen Befragten, in den kommenden zwölf Monaten die Investitionen für Mitarbeiterschulungen um mehr als fünf Prozent zu erhöhen (GB 57%; US 64%).
Deutsche Unternehmen sind im Ländervergleich unterversichert
Dass die Auseinandersetzung mit Cyber-Sicherheit in den USA und Großbritannien schon weiter fortgeschritten ist, zeigt sich auch anhand der abgeschlossenen Cyber-Policen. 55% der in den USA Befragten gaben an, dass ihr Unternehmen über eine Cyber-Police verfüge, in Großbritannien gehen 36% davon aus. In Deutschland meinen 30% der befragten 1.001 Führungskräfte, Abteilungsleiter, IT-Manager oder Verantwortlichen für Cyber-Sicherheit, dass ihr Unternehmen mit einer Cyber-Deckung vorsorgt. Jedes dritte deutsche Unternehmen (31%), das noch keine Cyber-Police abgeschlossen hat, plant dies innerhalb der nächsten zwölf Monate nachzuholen. Ein Drittel (33%) der deutschen Unternehmen bekundet nach wie vor kein Interesse an einer Cyber-Police. 40 Prozent von ihnen glauben, eine Cyber-Versicherung wäre für sie nicht relevant und 32 Prozent vertrauen nicht darauf, dass ein Versicherer im Schadenfall überhaupt zahlen würde.
Aufklärung zu Cyber-Deckung ist wichtig
„Viele Unternehmer kennen ihre Risiken sehr gut, wissen aber noch nicht, dass es dafür ein spezielles Versicherungsprodukt gibt“, bestätigt Ole Sieverding, unser Head of Cyber Risk Management, den Aufklärungsbedarf. Denn Cyber-Gefahren sind unsichtbar und wenig greifbar. Hier sind die Versicherer zusammen mit Maklern gefragt, die Vorteile und Leistungen einer Cyber-Deckung zu erklären, die herkömmliche Versicherungen, wie die Gewerbeversicherung sinnvoll ergänzt.
Zur Cyber-Versicherung von Hiscox: https://www.hiscox.de/geschaeftskunden/cyber-versicherung/
Good Practices: Vom „Cyber-Anfänger“ zum „Cyber-Experten“
Die meisten der befragten Unternehmen sind IT-seitig bereits gut aufgestellt. In den Kategorien Strategien und Prozesse haben die „Cyber-Anfänger“ im Vergleich zu den „Cyber-Experten“ jedoch Nachholbedarf:
- Einbeziehung des Top-Managements
Ein bestimmendes Merkmal der „Cyber-Experten“ ist die Einbeziehung des Managements in die Cyber-Strategie. - Festlegung einer formalisierten Strategie
Cyber-Experten tendieren zu einer formalisierten Cyber-Sicherheitsstrategie mit klar definierten Strukturen, Prozessen und Kriterien. Sie sehen Cyber-Sicherheit als einen kritischen Aspekt im Rahmen aller relevanten Planungsprozesse. - Mitarbeitertraining
Die meisten Unternehmen mit „Experten-Status“ gaben an, dass Mitarbeitertraining wirksam zur Reduzierung der Cyber-Vorfälle beitragen. Die Kompetenzen der Mitarbeiter rund um Cyber-Sicherheit werden bei den „Cyber-Experten“ regelmäßig geprüft; die HR-Abteilung ist in diesen Unternehmen in die Evalation der Cyber-Fähigkeiten der Mitarbeiter und die Resourcen-Planung eingebunden, um zu gewährleisten, dass entsprechend geschulte Mitarbeiter verfügbar sind. - Dokumenten-Prozess
Aufnahme, Nachverfolgung und Dokumentation sind die Bereiche, in denen sich die „Cyber-Anfänger“ verbessern sollten. Die meisten „Cyber-Experten“ verfügen beispielsweise über eine Hauptquelle für Cyber Security Guidelines für Mitarbeiter, Partner und Externe. Zudem werden Mitarbeiter zu den Guidelines trainiert und getestet, um deren Einhaltung zu sichern. - IT-Technologien
In der Kategorie Technologien haben die „Cyber-Anfänger“ den geringsten Nachholbedarf. Mit Blick auf die Verschlüsselung interner und externer Nachrichten hinken sie jedoch hinter den Experten hinterher. - Transfer-Risiko
Fast zwei Drittel der „Cyber-Experten“ verfügen über eine Cyber-Versicherung. Ein Großteil der Experten plant zudem, den Cyber-Schutz in den nächsten 12 Monaten weiter auszubauen.
Fazit: Cyber-Sicherheit verlangt nach umfassendem Cyber-Risk-Management
Cyber-Sicherheit beginnt mit einer gut aufgestellten IT. Allerdings kann kein System zu 100% sicher sein. Die technischen Lösungen sind jedoch nur ein Bestandteil einer umfassenden IT-Sicherheitsstrategie. Eine umfassende Cyber-Strategie sollte auch regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter für Cyber-Risiken sowie einen Cyber-Krisenplan beinhalten, in dem die Verantwortlichkeiten zur Vorbereitung auf den Ernstfall festgehalten werden. Vor den Restrisiken schützt eine Cyber-Versicherung.
Aktuelle Themen für Gründer & Selbstständige finden Sie in unseren Tipps & Insights Business oder folgen Sie uns auf Social Media