
Dass Cybersicherheit eine Herausforderung darstellt, die mit den Fortschritten der Digitalisierung zunimmt, sollte sich inzwischen herumgesprochen haben. Schließlich warnen Fachleute immer öfter und immer lauter vor den Gefahren von Cyber-Attacken: sei es in Form von Datendiebstahl, Industriespionage oder gar Sabotage. Cyber-Angriffe auf Staaten und deren kritische Infrastrukturen sind längst schon keine Fiktion mehr, wie das Bundesverteidigungsministerium (BMVg) feststellt. „Die IT-Bedrohungslage ist weiterhin angespannt und das ist und bleibt besorgniserregend. Insbesondere Ransomware, Spionage und Desinformation bedrohen unseren Wohlstand und gefährden unsere Demokratie“, mahnte Mitte vergangenen Jahres auch die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, anlässlich der Vorstellung des aktuellen Berichts zur Lage der IT-Sicherheit in Deutschland.
Hohes Risiko Cyberkriminalität
Wirtschaft, Verwaltung und Politik seien von erpresserischen Ransomware-Angriffen, von Cyberkriminalität, von Cybersabotage und von Cyberspionage bedroht, sekundierte Bundesinnenministerin Nancy Faeser. Mit Blick auf die anstehende Bundestagswahl mahnte sie, man müsse unsere Demokratie auch im Digitalen schützen. Die für die Cybersicherheit Deutschlands zuständige Ministerin sieht Bedrohungen durch Hackerangriffe, Manipulationen und Desinformation vor allem „von Putins Regime in Russland“ ausgehen, aber auch von anderen Akteuren. Umso wichtiger sei es, Schutzmaßnahmen zu verstärken, fordert Faeser. Denn „Cybersicherheit ist zentral für unsere Gesellschaft und betrifft jeden von uns“, so die Ministerin.
Vor dem Hintergrund erscheint das Resümee der GDV-Umfrage umso besorgniserregender. Immerhin sollen Cyberangriffe laut der letzten Erhebung des Branchenverbandes Bitkom Schäden in einer Größenordnung von fast 267 Milliarden Euro verursacht haben. Doch in der GDV-Erhebung gaben 66 Prozent der Befragten an, dass sie für ihr Unternehmen nur ein geringes Risiko eines Cyberangriffs sähen. Gleichzeitig liege bei 69 Prozent der Unternehmen die IT-Sicherheit im Argen, berichtet der GDV. „Manche Unternehmen sichern ihre Daten nur selten oder nicht richtig, andere kümmern sich nicht um Updates für ihre Software“, kritisiert Hauptgeschäftsführer Asmussen. Dabei sei jede dieser Sicherheitslücken ein potenzielles Einfallstor für Cyberkriminelle und ihre Lösegeldforderungen.
Unzureichend vorbereitet
Der GDV-Umfrage zufolge vernachlässigen auch viele Firmen neben der Prävention die Vorbereitung auf einen erfolgreichen Hacker-Angriff. Jedes zweite Unternehmen (54 Prozent) sei bislang für den Ernstfall gar nicht gewappnet, zitiert Asmussen aus der Studie. Dementsprechend könnten Angreifer erhebliche Schäden verursachen. Immerhin brauchten laut der Umfrage des Versicherungsverbandes 30 Prozent der gehackten Unternehmen vier Tage oder länger, um den Angriff zu stoppen und ihre IT-Systeme wiederherzustellen. Nur ein Viertel war noch am selben Tag wieder arbeitsfähig. Insgesamt berichtete jedes vierte befragte Unternehmen, schon Opfer eines erfolgreichen Cyberangriffs gewesen zu sein, wie der GDV mitteilt.
Das veranlasst die Verfasser der Studie zu der Folgerung, dass die mittelständischen Unternehmen in Deutschland erhebliche Sicherheitslücken im IT-Bereich aufzuweisen haben und sich nur unzureichend gegen Cyberkriminalität wappnen. „Wir beobachten, dass die IT-Sicherheit seit Jahren auf einem unzureichenden Niveau stagniert“, bemängelt der GDV-Geschäftsführer. Echte Fortschritte seien nicht erkennbar. So verzichtet mit rund 60 Prozent die Mehrheit der befragten Unternehmen weiterhin auf entsprechende Schulungen ihrer Belegschaft, wie die GDV-Untersuchung ausweist. Und nur ein Drittel (34 Prozent) schützt ihre IT-Systeme mit einer Zwei-Faktor-Authentifizierung. Vor diesem Hintergrund fordert Asmussen den Mittelstand zu größeren Anstrengungen bei der Prävention auf.
Dieses geringe Schutzniveau wirkt sich demnach auch auf die Zeichnungspolitik der Versicherer aus: Die Prämieneinnahmen in der Cybersparte stiegen zuletzt deutlich langsamer als in den Vorjahren. Cyberversicherungen seien zwar ein Sicherheitsnetz für den Ernstfall, ersetzten aber nicht einen starken Schutzschild, betont der Sprecher des Dachverbandes der deutschen Versicherungswirtschaft. „Angesichts der wachsenden Gefahrenlage bestehen die Versicherer daher bei Neuabschlüssen auf wirksamen Schutzmaßnahmen“, erklärt Asmussen.
Irrglauben
Wie er hervorhebt, macht die Umfrage des Verbandes noch ein weiteres gravierendes Problem in diesem Zusammenhang sehr deutlich: Die Risikoeinschätzung der Unternehmen basiert häufig auf Irrglauben. Laut GDV ist die Wahrnehmung der Bedrohungslage im Mittelstand zwar auf den ersten Blick angemessen: 80 Prozent der Befragten halten das Risiko eines Cyberangriffs auf KMU für eher oder sehr hoch. In Bezug auf ihr eigenes Unternehmen bewerten jedoch die gleichen Befragten dieselbe Gefahr ganz anders: Jetzt sehen nicht mehr 80 Prozent ein eher oder sehr hohes Risiko, sondern nur noch 34 Prozent. Viele KMU seien hinsichtlich ihrer IT-Sicherheit grundlos selbstzufrieden, resümiert der GDV.
Links
- https://www.gdv.de/gdv/medien/medieninformationen/versicherer-sehen-kaum-fortschritte-bei-der-it-sicherheit-deutscher-unternehmen-185010
- https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/241112_Lagebericht_2024.html
- https://globalconnect.de/news/bsi-ransomware-weihnachten/
- https://www.behoerden-spiegel.de/2024/11/13/bsi-lagebericht-veroeffentlicht/