Die gute Nachricht: Das Thema Cybersicherheit ist für viele Entscheider in Unternehmen ein wichtiges Thema. Das zeigt eine Studie der HDI Versicherung. Die schlechte Nachricht: 53 Prozent der Befragten sehen generell ein „eher hohes“ oder „hohes“ Risiko für KMU, bald Ziel einer Cyber-Attacke zu werden. Ein ähnlich hohes Risiko für ihr eigenes Unternehmen sehen aber nur 38 Prozent.
Allgemeines und individuelles Risikobewusstsein klaffen also deutlich auseinander. „Die Einschätzung, das eigene Unternehmen als weniger gefährdet als andere anzusehen, kann riskant werden, wenn Sicherheitsmaßnahmen unterbleiben oder nicht sorgfältig umgesetzt werden“, warnt deshalb HDI Vorstand Kussmann. Dazu kommt, dass 52 Prozent aller Befragten die maximale Schadenhöhe durch eine Cyber-Attacke in ihrem Unternehmen nicht einschätzen konnten.
37 Prozent der befragten Unternehmens-Verantwortlichen von KMU informieren sich regelmäßig dazu. Bei Mittelständlern mit 50 bis 250 Beschäftigten gilt das sogar für 44 Prozent. Je größer das Unternehmen, desto mehr stößt das Thema auf Interesse. Rund 47 Prozent aktualisieren regelmäßig ihre Präventionsmaßnahmen, darunter 41 Prozent der Kleinstunternehmen mit bis zu 9 Beschäftigten und 52 Prozent der Mittelständler. Allerdings bleibt fast ein Viertel der Befragten übrig, die nach eigenen Angaben nur „manchmal über das Thema IT- und Cybersicherheit nachdenken“. Sechs Prozent beschäftigen sich laut HDI Studie gar nicht damit.
Ihre Informationen beziehen 52 Prozent bzw. 36 Prozent der Befragen von IT-Dienstleistern und IT-Sicherheits-Beratungsunternehmen. Bereits an dritter Stelle im Ranking der Informationsquellen stehen (31 Prozent der KMU) die Medien. Veröffentlichungen in der Tages- und Fachpresse, Rundfunkbeiträge, TV und Internet nehmen eine wichtige Rolle vor allem in der aktuellen Information zu Cyberrisiken ein. Bei Firmen bis 9 Mitarbeitern belegen Medien als Informationsquellen mit Nennungen von 34 Prozent Rang Zwei, nur knapp hinter IT-Dienstleistern (37%) und vor Informationen aus dem privaten Umfeld (30%).
Als zentral für die Risikoeinschätzungen haben sich Unternehmensgröße und eigene Betroffenheiten herausgestellt. So schätzen die Befragten von knapp der Hälfte (48%) der Unternehmen bis 2 Mio. EUR Jahresumsatz das Risiko für KMU als „eher hoch“ oder „hoch“ ein, im Gegensatz zu 69 Prozent der Mittelständler mit über 10 Mio. EUR Umsatz. 48 Prozent der bereits attackierten Unternehmen sehen auch weiterhin ein „eher hohes“ oder „hohes“ Risiko von Cyber-Angriffen auf ihr Unternehmen; bei noch nicht erfolgreich attackierten Unternehmen sind es nur 31 Prozent.
Ein Manko gerade bei Klein- und Kleinstunternehmen ist eine fehlende aktive Ansprache zum Thema Cybersicherheit. Rund 22 Prozent der Befragten gaben an, in den letzten 12 Monaten von niemandem auf Cybersicherheit angesprochen worden zu sein. Bei Kleinstunternehmen ist es sogar die Hälfte der Studienteilnehmer. Von den Mittelständlern mit 50 bis 250 Mitarbeitern wurde dagegen nur zwei Prozent bei der Ansprache links liegen gelassen. 38 Prozent der Befragten gaben an, dass sie durch ihren IT-Dienstleister, 26 Prozent durch die unternehmenseigene IT-Abteilung und jeweils 21 Prozent durch spezialisierte IT-Sicherheitsdienstleister oder Soft- und Hardwarehersteller direkt zum Thema Cybersicherheit angesprochen wurden.
Die HDI Versicherung hat die Versicherungs- und IT-Entscheider von mehr als 500 kleinen und mittelständischen Unternehmen (KMU) mit bis zu 250 Mitarbeitern und freiberuflich Tätige Ende 2021 befragen lassen.