Cyberbedrohungen von kleinen und mittleren Unternehmen stehen im Mittelpunkt der Cyberstudie, die die HDI-Versicherung jetzt im dritten Jahr in Folge aufgelegt hat. Rund 1500 IT- und Versicherungs-Entscheider kleiner und mittlerer Unternehmen sowie Selbstständige befragte das Unternehmen Ende vergangenen Jahres zu ihren Erfahrungen rund um die Bedrohung durch Cybercrime.
Mit den Studien von 2022 und 2023 kann der Versicherer somit auf mehr als 2700 Befragungsergebnisse zurückgreifen. „Auch in diesem Jahr ziehen wir wieder wichtige Schlüsse aus den Ergebnissen“, sagt Christian Kussmann, Vorstand Firmen und Freie Berufe der HDI Versicherung. Beispielsweise betreffe dies einen verstärkten Fokus von Cyberkriminellen auf Kleinunternehmen, eine wieder gestiegene Risikowahrnehmung, aber auch ein schnell nachlassendes Bewusstsein für Cybergefahren bei Betroffenen nach einer Attacke.
Mittelstand im Fokus – kleine Unternehmen ziehen nach
Demnach machen immer mehr kleine und mittelständische Unternehmen Erfahrungen mit Cyberangriffen. Nach rund 40 % in den vergangenen Jahren gaben bei der aktuellen Befragung 53 % der Teilnehmer an, bereits Ziel von Cyberangriffen gewesen zu sein. Dabei scheinen sich Cyberkriminelle auch wieder auf den Mittelstand, also Firmen mit 50 bis 250 Mitarbeitern, konzentriert zu haben.
Besonders ausgeprägt ist die aktuelle Entwicklung im Hinblick auf Kleinbetriebe: 56 % dieser Unternehmen haben laut der Studie bereits Erfahrung mit Cyberangriffen. Der Wert ist damit inzwischen auf dasselbe Niveau wie bei Mittelständlern gestiegen. Vor zwei Jahren lag die Quote noch bei 37 %.
Und auch Kleinstbetriebe (bis zu 9 Mitarbeiter) werden laut der Studie vermehrt angegriffen, auch wenn bei diesen mit aktuell 39 % noch nicht das Niveau größerer Unternehmen erreicht wurde. „Die neue Cyberstudie zeigt deutlich: auch Kleinunternehmen, Kleinstunternehmen und Freiberufler werden für die Angreifer immer interessanter“, stellt Kussmann fest.
Risikowahrnehmung steigt wieder
Das Risiko für eine Cyber-Attacke auf ein kleines oder mittleres Unternehmen in Deutschland schätzen 49 % der Studien-Teilnehmer als hoch oder eher hoch ein. Eine Betroffenheit des eigenen Unternehmens halten jedoch nur 38 % der Befragten als wahrscheinlich. Im Vergleich zum Vorjahr liegen beide Werte jeweils um rund zehn Prozentpunkte höher und damit auf demselben Niveau wie bei der Befragung zur Cyberstudie 2022.
Im Vergleich zu den Werten von vor zwei Jahren ist jedoch eine Tendenz zur stärkeren Wahrnehmung der eigenen Schadengefahr abzulesen. So bewerteten 34 % der Befragten die Schadenwahrscheinlichkeit für das eigene Unternehmen höher als zwei Jahre zuvor mit 27 %. In der Umfrage für die Studie 2023 dagegen lag der Wert mit 23 % der Umfrageteilnehmer signifikant niedriger.
„Wir gehen daher davon aus, dass die Cyberbedrohung durch andere aktuelle Risiken wie Inflation und Lieferengpässe bei vielen Unternehmen vorübergehend in den Hintergrund gerückt war“, erklärt HDI-Vorstand Kussmann.
Betroffene eines Cyber-Angriffs verdrängen das Risiko
Die Einsicht, aus Schaden klug zu werden, scheint jedoch nur eine begrenzte Haltbarkeit zu haben, wie die Ergebnisse der Cyberstudie nahelegen. So zeichnet sich anhand der zusammengefassten Umfrageergebnisse der Studien 2023 und 2024 zur Awareness des Cyberrisikos eine bemerkenswerte Entwicklung ab: Die Einschätzungen der Befragten hinsichtlich des Angriffs- und des Schadensrisikos nehmen relativ schnell nach einem Angriff auf das Unternehmen wieder deutlich ab.
So schätzen 57 % der Befragten, deren Unternehmen innerhalb von zwölf Monaten vor der Umfrage attackiert worden ist, das Angriffsrisiko für ihr eigenes Unternehmen als hoch oder sehr hoch ein. Mit drei Jahren Abstand zu einem Cyberangriff hat sich dieser Wert halbiert – nur noch 27 % dieser Befragten teilen dann diese Ansicht.
Je länger der Angriff zurückliegt, desto geringer wird die Sorge
Ähnlich auch die Ergebnisse zum Schadensrisiko: Von den in den vergangenen zwölf Monaten attackierten Unternehmen schätzen insgesamt 46 % der Befragten das Risiko, dass ihr Unternehmen bei einem nächsten Cyberangriff Schaden nehmen könnte, als hoch oder eher hoch ein.
Je länger der Angriff zurückliegt, desto geringer jedoch wird diese Sorge. Nach ein bis zwei Jahren, sind nur noch 39 % dieser Ansicht. Und nach drei bis fünf Jahren teilen nur noch 25 % der Interviewten diese Einschätzung. Am niedrigsten ist der Wert bei Unternehmen, die in den fünf Jahren vor der Umfrage nicht attackiert wurden. Er liegt gerade einmal bei 22 %.
Offenbar werden die Risiken eines erneuten Angriffes schon nach kurzer Zeit von anderen Themen überlagert und verdrängt. „Die Negativ-Erfahrung eines Cyberangriffs tritt relativ schnell in den Hintergrund“, zieht Christian Kussmann ein ernüchterndes Fazit. „Von Cyber-Vergessen zu sprechen, ist damit aus meiner Sicht nicht übertrieben.” (jpk)
