Viele Unternehmen in Deutschland sind damit überfordert, sich vor Cyber-Gefahren zu schützen. Das hat die zweite Auflage des "Cyber Readiness Report" des Spezialversicherers Hiscox ergeben. Der Schutz vor Cyber-Gefahren erweise sich für viele als ein echter Stress-Faktor. Die Marktforscher von Forrester Consulting haben im Auftrag von Hiscox die "Cyber Readiness" von insgesamt über 4000 Unternehmen aus Deutschland, den USA, Großbritannien, Spanien und den Niederlanden ermittelt. Basierend auf den Kriterien Strategie, Ressourcen, Technologie und Prozesse wurden die Unternehmen in "Anfänger", "Fortgeschrittene" und "Experten" eingeteilt.
Die Ergebnisse sind wenig schmeichelhaft. In Deutschland liegt der Anteil der Cyber-Anfänger dem Report zufolge bei 77 Prozent. 14 Prozent gelten als Fortgeschrittene und lediglich 10 Prozent als Experten. Im internationalen Vergleich liegen die USA und Großbritannien leicht vor Deutschland: Unter den US-Unternehmen gelten 13 Prozent als Experten und 17 Prozent als Fortgeschrittene, in Großbritannien sind es 13 Prozent Experten und 15 Prozent Fortgeschrittene. Spanien liegt der Studie zufolge in etwa auf dem deutschen Niveau, niederländische Firmen schnitten dagegen mit einer Anfängerrate von 82 Prozent und ganzen sieben Prozent Cyber-Experten deutlich schlechter ab.
Lieber nichts tun, als etwas Falsches tun
"Die hohen Anfänger-Quoten sind alarmierend, nachdem das Thema Cyber-Sicherheit in der öffentlichen Wahrnehmung immer präsenter wird", kommentiert Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland, die Resultate. Die große Verunsicherung in den Unternehmen führe in vielen Fällen dazu, dass lieber nichts getan werde, als eine falsche Entscheidung zu riskieren und diese im Zweifelsfall verantworten zu müssen. Dabei könne Untätigkeit zu schwerwiegenden Konsequenzen führen, warnt Dietrich.
Von den über 1000 befragten deutschen Unternehmen hat fast die Hälfte (48 Prozent) in den zurückliegenden zwölf Monaten mindestens einen Zwischenfall erlebt. Der durch Cyberattacken erlittene Gesamtschaden im vergangenen Jahr belief sich bei großen deutschen Unternehmen im Schnitt auf rund 342.000 Euro, bei kleineren und mittelgroßen Firmen auf durchschnittlich 46.000 Euro. Am häufigsten erlebten die Betroffenen einen externen Angriff direkt auf das eigene Unternehmen (24 Prozent). Durch Mitarbeiter verursachte Zwischenfälle machen 15 Prozent der Schäden aus.
Trotz dieser offensichtlichen Gefahrenlage wirken die Verantwortlichen in den Unternehmen zunehmend überfordert. So räumten 45 Prozent der Befragten ein, dass sich nach einem Cyber-Zwischenfall nichts geändert habe. Vier von zehn Unternehmen halten die eigene Sichehreitsstrategie für unzureichend.
Bedrohungslage ändert sich ständig
Vor allem die sich laufend verändernden Bedrohungen identifizieren deutsche Unternehmen als eine der größten Herausforderungen (55 Prozent). Zudem wachse der Druck durch bevorstehende Regulierungsmaßnahmen. Für fast zwei Drittel (64 Prozent) stellt die kommende Europäische Datenschutz-Grundverordnung (EU-DSGVO) eine Top-Priorität dar. In ihrem Kampf gegen Cyberkriminelle wünscht sich die Mehrheit der Unternehmen auch verstärkte Hilfe seitens der Politik. Nur 37 Prozent stimmen der Aussage zu, die Regierung würde Unternehmen in diesem Bereich ausreichend unterstützen.
Wie Sie sich auf die DSGVO richtig vorbereiten, lesen Sie in unserem kostenlosen Insider-PDF
Der Anteil der deutschen Befragten mit einer Cyber-Versicherung liegt nach Angaben der Befragten derzeit bei 33 Prozent. Ein weiteres Viertel plant laut Hiscox jedoch, in den kommenden zwölf Monaten eine Cyber-Police abzuschließen. "Mit Blick auf die Gefahrenlage und immer größerer Abhängigkeit der Unternehmen von digitalen Technologien gehen wir davon aus, dass sich bis 2025 zwei Drittel der deutschen Unternehmen für eine Cyber-Police entschließen werden", frohlockt Dietrich.
Bei einer Cyber-Versicherung gehe es nicht nur darum, dass im Schadensfall gezahlt werde, so der Manager. Vielmehr würden Unternehmen auch dabei unterstützt, ihre Sicherheit zu verbessern. Das reiche vom Aufsetzen präventiver Maßnahmen bis hin zum sofortigen IT-Support im Ernstfall. Insbesondere kleine und mittlere Unternehmen seien damit überfordert, weil ihnen die notwendigen personellen Ressourcen und Skills fehlten. Die Folge: Bei einer akuten Cyber-Krise resultiere daraus ein gefährliches Gemisch aus Hilflosigkeit und Aktionismus.
Bedrohungslage verschärft sich
Unbestritten spielen die Studienergebnisse dem Auftraggeber in die Hände. Doch ebenso klar ist, dass sich die Situation hinsichtlich der IT-Sicherheit in den Unternehmen gerade im vergangenen Jahr nochmals drastisch verschärft hat. Laut einer Untersuchung des Hasso-Plattner-Instituts aus Potsdam hat die Zahl der weltweit registrierten Software-Sicherheitslücken 2017 mit rund 11.000 einen neuen Höchststand erreicht - fast 3000 mehr als im Jahr zuvor.
Auch die Security-Desaster des vergangenen Jahres sprechen eine eindeutige Sprache. Als die Ransomware WannaCry im Mai 2016 weltweit rund 300.000 Rechner kaperte, verursachte dies geschätzte Schäden in Höhe von bis zu vier Milliarden Dollar. Im Juni zog der Schädling NotPetya eine Spur der Verwüstung durch die Netze der Welt. Den Urhebern der Ransomware ging es dabei nicht darum, Geld zu machen, sondern möglichst viel Zerstörung anzurichten.
Hintergrundberichte und Ratgeber zum Thema IT-Sicherheit finden Sie hier
Das ist ihnen auch gelungen. Den dänischen Logistik-Riesen Maersk kostete die NotPetya-Attacke zwischen 250 und 300 Millionen Dollar. Jim Hageman Snabe, Ex-SAP-Chef und seit Februar 2017 Verwaltungsratsvorsitzender bei Maersk, erzählte kürzlich auf dem Weltwirtschaftsforum in Davos (ab der dritten Minute im folgenden Video), welche Folgen der Angriff nach sich zog. Rund 45.000 Clients, 4000 Server und 2500 Softwareprogramme mussten demnach komplett neu aufgesetzt werden. In den Tagen, als der Schädling die Systeme des Unternehmens lahm gelegt hatte, saßen etliche Container-Schiffe in den Häfen fest und konnten nicht entladen werden. Prozesse mussten händisch mit Papier und Stift abgewickelt werden, berichtete Snabe.
"Stellen Sie sich vor, alle 15 Minuten läuft eines Ihrer Schiffe in einen Hafen ein und Sie haben zehn Tage keine IT-Systeme." Der Vorfall sei ein Weckruf für den Konzern gewesen - "ein sehr teurer Weckruf", wie der Manager einräumt. Maersk habe wichtige Lektionen daraus gelernt, inklusive der Einsicht, dass das Management geradezu naiv hinsichtlich der eigenen Cyber-Sicherheit gewesen sei.