Cyber-Angriff: Deutsche Unternehmen wiegen sich in falscher Sicherheit

Quelle: d97jro / pixabay

Cyber-Sicherheit: „Die Hälfte der Unternehmen hat keinen Notfallplan, ein Drittel hat keine ausreichenden Datensicherungen“, fasst GDV-Hauptgeschäftsführer Jörg Asmussen jüngste Umfrage-Ergebnisse zusammen. Im Vergleich zum Vorjahr ist die Umsetzung der Cyber-Security-Standards sogar rückläufig.

Seit 2018 lässt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) mittels Forsa-Umfrage ermitteln, wie es um die IT-Sicherheit bei deutschen Unternehmen bestellt ist. Am 31.05.2022 veröffentlichte der Verband die jüngsten Ergebnisse der repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen (KMU).

Eine der diesjährigen Erkenntnisse: Obwohl jeder vierte Mittelständler schon Opfer von Cyberkriminellen geworden ist, sehen zwei Drittel kein hohes Risiko für das eigene Unternehmen. Das steht auch im Widerspruch zu der allgemeinen Risikoeinschätzung. Denn drei Viertel der Befragten gehen von einem hohen Risiko für den Mittelstand aus, Opfer einer Cyberattacke zu werden (siehe Grafik).


‚Betroffen sind immer die anderen‘ - diese Geisteshaltung dürfte vielen Versicherungsvermittlern aus anderen Absicherungs-Bereichen bekannt vorkommen. „Zu viele Entscheider nehmen die Bedrohung durch Cyberkriminelle immer noch nicht ernst genug, zudem überschätzen sie die Qualität ihrer IT-Sicherheit“, kritisiert GDV-Hauptgeschäftsführer Jörg Asmussen.

Vergleicht man die diesjährigen Ergebnisse mit denen vom Vorjahr, fällt auf, dass die Zahl der Unternehmen, die alle 10 vom GDV empfohlenen Basis-Schutzmaßnahmen umsetzen, sogar rückläufig ist. Waren es im Vorjahr noch 21 Prozent der befragten Unternehmen, sind es in diesem Jahr nur noch 20 Prozent (siehe Grafik). Die 10 Basis-Schutzmaßnahmen sind in der obigen Bilderstrecke aufgeführt und entsprechen den grundliegenden Obliegenheiten der GDV-Musterbedingungen für eine Cyberversicherung. Will heißen: Unternehmen, die sich gegen die Folgen von Cyber-Angriffen versichert haben, diese Obliegenheiten aber nicht umsetzten, riskieren ihren Versicherungsschutz.


„80 Prozent der Mittelständler erfüllen schon die Basis-Anforderungen an die IT-Sicherheit nicht vollständig. Die Hälfte der Unternehmen hat keinen Notfallplan, ein Drittel hat keine ausreichenden Datensicherungen“, so Asmussen. Das Niveau der IT-Sicherheit stagniere seit Jahren, während die Cyberattacken gleichzeitig immer professioneller und häufiger würden.

Die Versicherungsbranche ist auch über die Entwicklung der Basis-Schutzmaßnahmen hinaus bemüht, den deutschen Mittelstand fit in Sachen IT-Sicherheit zu machen. So hat die GDV-Tochter ‚VdS Schadenverhütung‘ einen Quick-Check für das Informationssicherheit-Management in kleinen und mittelständischen Unternehmen entwickelt.

Zudem können sich Betriebe die Erfüllung der „Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen“ (VdS-Richtlinie 10005) zertifizieren lassen. „Für rund 180 Euro gibt es die Richtlinie und einen interaktiven Maßnahmenkatalog, der durch Themen wie Virenschutz führt oder das Aufstellen von Datensicherungsplänen, die Konfiguration des Netzwerks und seiner Verbindungen sowie die Schulung von Mitarbeitern“, schreibt der GDV zu dem Angebot. Ein halbtägiges Assessment durch Sicherheitsexperten der VdS (Kosten 450 Euro) bildet den Abschluss des Zertifizierungsprogramms. „Wir gehen dann remote mit Unternehmen alle Punkte durch und schalten uns auch auf die Systeme, um alle Punkte durchzuchecken“, sagt Markus Edel, Leiter Cybersecurity bei der VdS Schadenverhütung.

Über die Studie:
Der GDV beauftragt die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen. Die aktuellen Interviews fanden zwischen dem 16. März und dem 25. April 2022 statt.