Studie zu Cyber-Angriffen

Schutz ist günstiger als Schaden

284737-flexible-1900
Viele Cyber-Angriffe können durch gut geschultes Personal abgewehrt oder mindestens abgeschwächt werden. © Andrey Popov - adobe.stock.com
Heftarchiv Praxis
Ausgabe 04/2024
Ausgabe 04/2024
Was tun?
LL
Jedes Jahr untersucht die HDI-Versicherung, wie kleine und mittelgroße deutsche Unternehmen in Sachen Cyber-Sicherheit aufgestellt sind. Die aktuelle Analyse warnt: Die Aufmerksamkeit sinkt, obwohl die Bedrohungen weiter zunehmen. Gerade nicht versicherte und ungeschützte Betriebe unterschätzten das Risiko.

Seit Jahren zeichnen sich zwei Trends hinsichtlich der Risikowahrnehmung von Cyber-Kriminalität in Unternehmen ab: Auf der einen Seite wird das Cyber-Risiko zwar mittlerweile als Hauptrisiko für den eigenen Betrieb identifiziert, auf der anderen Seite aber das mögliche eigene Risiko immer wieder unterschätzt. Cyber-relevante Themen rücken der Studie zufolge wegen des Weltgeschehens (wieder) in den Hintergrund, obwohl die Schadenaufwände in der Cyber-Versicherung weiterhin auf einem sehr hohen Niveau verharren.

Prävention sei besser als Reaktion, definiert als eine „sinnvolle Zusammenstellung von organisatorischen, technischen (Firewalls oder automatische Datensicherungen) und Awareness-Maßnahmen“ als wesentliche Elemente der Informationssicherheits­strategie für die Betriebe. Da der Risikofaktor Nummer 1 der Mensch selbst sei, seien Awareness-Maßnahmen für das Team unverzichtbar. So gaben 83 Prozent der Unternehmen an, dass Cyber-Angriffe durch unzureichend geschulte Mitarbeitende verursacht beziehungsweise begünstigt werden können.

Sind Praxen gut aufgestellt, ist die Schadenssumme geringer und der Betrieb schneller wieder arbeitsfähig, folgert die HDI aus den Daten. Die Folgen sind nach einer Hacker-Attacke bei keinem hohen Umsetzungsgrad präventiver Maßnahmen 77.606 Euro Kosten und 4,7 Tage Unterbrechung des Betriebs, bei einem hohem Umsetzungsgrad präventiver Maßnahmen 49.645 Euro Kosten und 3,8 Tage. Nur zehn Prozent der attackierten Unternehmen sind am Folgetag wieder arbeitsfähig. Im vergangenen Jahr mussten 18 Prozent der Unternehmen ein Bußgeld an die Behörden zahlen, 2022 nur neun Prozent.

Prävention ist besser als Reaktion

Die größten Sorgen nach einem Angriff sind für Betriebe die Betriebsunterbrechung, gefolgt vom Diebstahl oder Verlust von Kundendaten, von Image- und Reputationsschäden, Schadenersatzforderungen von Kunden und vom Verlust geheimer Unterlagen, dagegen rangieren Lösegeldforderungen oder Bußgeld einer Aufsichtsbehörde weiter hinten.

Diesen Formen der Cyber-Kriminalität sind kleinere und mittelgroße Unternehmen der HDI zufolge häufig ausgesetzt:

  • Vortäuschen falscher Identitäten, Spam- oder Phishing-Mails, versehentlicher Download aus dem Internet

  • Schadsoftware über Anhänge in E-Mails

  • Angriffe über Mitarbeiter-Accounts, Social Engineering

  • Angriffe über Fernzugriffsmöglichkeiten, wie Wartungsschnittstellen zu informationsverarbeitenden Geräten (Drucker, Kopierer)

  • Serverüberlastung durch unzählige Aufrufe mittels schädlichem Traffic (Distributed Denial of Service, DDoS-Angriffe)

  • Schwachstellen in Soft- oder Hardware

  • Schwachstellen im Homeoffice, etwa durch private Geräte oder Netzwerke

Meistgelesene Beiträge

Melden Sie sich hier zum zm-Newsletter des Magazins an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Heft-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm Online-Newsletter und zm starter-Newsletter.