Jährlich befragt die Sirius Campus GmbH im Auftrag der HDI Entscheidungsträger kleiner und mittlerer Unternehmen zu Cyberrisiken. So auch für die HDI Cyberstudie 2023 – insgesamt 1.200 Teilnehmer lieferten Antworten zu Risikowahrnehmung und Präventionsmaßnahmen, aber auch zu den Schäden, falls das eigene Unternehmen Opfer einer Cyberattacke wurde. Insgesamt 40 Prozent der Unternehmen mussten eine Cyberattacke registrieren. Hierbei zeigten sich folgende "Trends".

Anzeige

Die Unternehmensgröße spielt keine Rolle

Auffallend: Die Unternehmensgröße spielt keine Rolle, denn auch kleine Unternehmen geraten immer mehr ins Visier der Kriminellen. Unterschieden nach der Größe zeigt sich folgendes Bild:

  • Bei Kleinstunternehmen bis neun Mitarbeitern waren 26 Prozent der befragten Unternehmen von Cyberkriminalität betroffen.
  • Bei Unternehmen, die zehn bis 49 Mitarbeiter haben, waren 39 Prozent von Cyberkriminalität betroffen.
  • Bei mittleren Unternehmen, die zwischen 50 und 250 Mitarbeitende haben, waren 36 Prozent von Cyberkriminalität betroffen.

Während bei Unternehmen, die zehn bis 49 Mitarbeiter haben, die Zahl der Cyberattacken gegenüber der Studie 2022 um acht Prozentpunkte anstieg, sank sie um sieben Prozentpunkte bei den Unternehmen mit 50 bis 250 Mitarbeitern. Die Experten von HDI schlussfolgern daraus: Der Fokus von Cyberkriminellen im hat sich im vergangenen Jahr offenbar in Richtung kleinerer Unternehmen verschoben.

Anzeige

Welche Delikte besonders häufig sind

Auch nach der Art der Delikte wurde gefragt, die hinter einer Cyberattacke standen. Folgende Rangliste ergab sich hierbei:

  1. Fünfzehn Prozent der Unternehmen waren betroffen vom Vortäuschen falscher Identitäten oder von Spam- oder Phishing-Mails.
  2. Vierzehn Prozent der Unternehmen wurden aufgrund versehentlicher Downloads aus dem Internet attackiert.
  3. Dreizehn Prozent der Unternehmen wurden Oper von Schadsoftware, die über Anhänge in E-Mails heruntergeladen wurde.
  4. Sechs Prozent der Attacken nutzten Schwachstellen im Homeoffice, z. B. durch private Geräte oder Netzwerke.
  5. Sechs Prozent der Unternehmen erfuhren Angriffe über Mitarbeiter-Account-Zugänge und Social Engineering.
  6. Auch Angriffe über Fernzugriffsmöglichkeit, z. B. über Wartungsschnittstellen zu informationsverarbeitenden Geräten (Drucker, Kopierer o. Ä.) betrafen sechs Prozent der Unternehmen.
  7. Fünf Prozent der Unternehmen mussten eine Serverüberlastung durch unzählige Aufrufe bzw. DDoS-Angriffe hinnehmen.
  8. Und fünf Prozent der Unternehmen erlitten einen Angriff aufgrund von Schwachstellen in Soft- oder Hardware.

Cyberschäden: Was sie die Unternehmen kosten

Von allen Unternehmen, die befragt wurden, erlitten 29 Prozent einen Schaden durch einen Cyberangriff. Elf Prozent hingegen erlitten einen Cyberangriff ohne Schaden. Die Schadenhöhe der betroffenen Unternehmen aber zeigt, was auf dem Spiel steht.

Cyberschäden können existenzbedrohend sein

So geben Kleinstunternehmen mit bis zu vier Mitarbeitern bereits ein Schadenausmaß von durchschnittlich 42.192 Euro an. Unternehmen, die zwischen fünf und neun Mitarbeiter beschäftigen, geben einen durchschnittlichen Schaden von 43.772 Euro an. Der durchschnittliche Schaden für Unternehmen, die zwischen 10 und 49 Mitarbeiter beschäftigen, liegt bei durchschnittlich 47.227 Euro.

Anzeige

Die Schadenhöhe steigt aber noch einmal wesentlich bei mittleren Unternehmen, die zwischen 50 und 250 Mitarbeiter beschäftigen. Hier liegt der durchschnittliche Schaden sogar bei 102.739 Euro.

Welche Schäden bei der Cyberattacke entstanden

Welche Schäden aber verursachten die Kosten? Das Schaden-Ranking sieht folgendermaßen aus:

Anzeige

  1. Bei 25 Prozent der Betroffenen sind Betriebsunterbrechungen entstanden. Diese dauerten im Schnitt 4,2 Tage.
  2. Bei 20 Prozent der Unternehmen entstand ein Image- und Reputationsschaden.
  3. 18 Prozent der Unternehmen waren von Diebstahl oder dem Verlust von Kundendaten betroffen.
  4. Ebenfalls 18 Prozent mussten das Bußgeld einer Aufsichtsbehörde zahlen. Dies droht zum Beispiel, wenn das betroffene Unternehmen die Daten seiner Mitarbeiter, Kunden und Geschäftspartner so nachlässig verwaltet hat, dass der Datenschutzbeauftragte darin einen Verstoß gegen die gesetzlichen Pflichten sieht.
  5. 17 Prozent der Unternehmen litten unter Schadenersatzforderungen der Kunden.
  6. Ebenfalls 17 Prozent der betroffenen Unternehmen zahlten Lösegeld.
  7. 13 Prozent der betroffenen Unternehmen wurden Opfer von Industriespionage und dem Verlust geheimer Unterlagen.

Hintergrund: Die Daten entstammen der HDI Cyberstudie 2023. Hierfür wurden 1.200 Entscheider aus kleinen und mittleren Unternehmen (KMU) durch den Marktforscher Sirius befragt. Weitere Informationen sind auf der Webseite des Versicherers aus Hannover verfügbar.

Seite 1/2/