(verpd) Kleine und mittelständische Unternehmen sind einer Analyse einer Fakultät der Universität München zufolge nicht ausreichend gegen Cyberattacken geschützt. Experten erklären, was die Firmen- und IT-Verantwortlichen bezüglich des Cyberrisikos auf alle Fälle beachten sollten.
Das Munich Risk and Insurance Center (MRIC), eine wissenschaftliche Einrichtung der Ludwig-Maximilians-Universität München, hat sich in seiner Studie mit den Cyberangriffen auf kleinere und mittelständische Unternehmen befasst.
Die Autoren stellen fest, dass in den vergangenen zwei Jahren jedes zweite Unternehmen Opfer eines Cyberangriffs wurde. Rund die Hälfte der kleineren Betriebe mit weniger als 100 Mitarbeitern wurde Ziel einer Attacke. Gerade bei Firmen dieser Größenordnung sehen die Studienautoren Handlungsbedarf, da deren Sicherheitsstandards oftmals nicht ausreichend seien.
55 Milliarden Euro Schäden pro Jahr durch Cyberkriminelle
In Deutschland verursachen Cyberkriminelle jährlich Schäden in Höhe von circa 55 Milliarden Euro – fast zwei Prozent des deutschen Bruttoinlandsprodukts –, heißt es in der Untersuchung. Davon sind rund 35 Milliarden Euro operative Folgeschäden und etwa 20 Milliarden Euro direkte Schäden durch Spionage.
Der größte Schadenanteil, nämlich 29 Prozent der gesamten Schadenkosten, entfallen auf Ausgaben für Ermittlungen, Datenwiederherstellung und die Kosten für die durch den Cyberangriff entstandene Betriebsunterbrechung. 16 Prozent der Schäden durch Cyberattacken entfallen auf die Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen und jeweils 14 Prozent auf erlittene Imageschäden bei Kunden und Lieferanten sowie auf Schäden infolge Patentrechts-Verletzungen durch Cyberkriminelle.
Zehn Prozent der gesamten Schadenkosten entfallen auf Rechtsstreitigkeiten, die durch die Cyberangriffe notwendig wurden, sechs Prozent auf notwendige datenschutzrechtliche Maßnahmen wie die Information der Kunden, dass Cyberkriminelle Kundendaten gestohlen haben, und fünf Prozent auf sonstige Schäden durch Cyberattacken.
Drei-Stufen-Risikomanagement
Um Netzwerkattacken abzuwehren, schlagen die Studienautoren ein Risikomanagement in drei Stufen vor. Zum einen sollte die IT-Sicherheit durch eine Basisabwehr und „risikoadäquate IT-Sicherheitsmaßnahmen in sensiblen Bereichen“ gewährleistet werden, wie es heißt. Als besonders wichtig wird in der Untersuchung die Sensibilisierung der Mitarbeiter für Cyber-Gefahren eingestuft.
Diesen zweiten Punkt empfinden auch einschlägige Cyberexperten als essenziell. Denn selbst die beste Firewall nützt nichts, wenn Mitarbeiter unbedacht fragwürdige E-Mail-Anhänge öffnen oder unautorisierte Datenträger an die Firmencomputer anschließen, so die Expertenmeinungen.
Als dritte Stufe schlagen die Autoren der Studie vor, schon vor einem Angriff einen Notfallplan parat zu haben. Dieser sollte ihrer Ansicht nach neben einer finanziellen Absicherung auch einen professionellen Notfallservice (Assistance) beinhalten, der im Ernstfall vor Ort schnell Hilfe leisten kann. Cyberversicherungen würden meist gleich beide Komponenten abdecken.
Basisschutz ja, aber ohne Überprüfung
Die Autoren fanden heraus, dass neun von zehn deutschen Unternehmen über einen ausreichenden Basisschutz und eine Datensicherung verfügen. Doch nur wenige davon überprüfen regelmäßig, ob diese Maßnahmen auch wirken und beispielsweise Back-ups im Ernstfall auch verwendet werden können. Technisch seien die Unternehmen besser aufgestellt als organisatorisch. Mehr als jeder dritte Betrieb habe weder einen Datenschutz- noch einen IT-Beauftragten.
Dass es häufig bereits an personellen Verantwortlichkeiten scheitert, weiß auch Stefan Haase, Sprecher der VdS Schadenverhütung GmbH. Seinen Erfahrungen zufolge gibt es in vielen Unternehmen keine klare und einheitlich verfolgte Linie in Sachen Cyber-Security. Neben den zum Teil unzureichenden Maßnahmen zum IT-Schutz und bei den sonstigen betrieblichen Sicherheitsmaßnahmen gegen Cyberkriminalität sind zudem viele nicht oder nur unzureichend gegen die Folgen digitaler Spionage, Sabotage oder eines Datendiebstahls abgesichert.
Dabei bieten private Versicherer diesbezüglich umfassende Cyberversicherungen an. Damit können Firmen Kosten, die ihnen beispielsweise infolge eines Cyberangriffs entstehen, absichern, wie Ausgaben für die Wiederherstellung beschädigter Daten. Auch die Kosten möglicher Betriebsunterbrechungen aufgrund Cyberattacken oder die Ausgaben, um einen solchen Stillstand zu vermeiden, sind absicherbar. Oft lassen sich optional auch Assistance-Leistungen, wie zum Beispiel für ein nach einem Cyberangriff notwendiges Krisenmanagement in einer Cyber-Police mitversichern.
Zurück zu Versicherung + Vorsorge
