HDI Cyberstudie 2024: Cyber-Vergessen bei KMU
Cyberbedrohungen von kleinen und mittelständischen Unternehmen stehen im Mittelpunkt einer Cyberstudie, die die HDI Versicherung im dritten Jahr in Folge aufgelegt hat
KMU wieder im Fokus von Cyberkriminellen - Foto: www.istockphoto.com /matejmo
Rund 1.500 IT- und Versicherungs-Entscheider kleiner und mittelständischer Unternehmen sowie Selbstständige befragte das Unternehmen Ende letzten Jahres zu ihren Erfahrungen rund um die Bedrohung durch Cybercrime. Mit den Studien von 2022 und 2023 kann der Versicherer somit auf mehr als 2.700 Befragungsergebnisse zurückgreifen. „Auch in diesem Jahr können wir wieder wichtige Schlüsse aus den Ergebnissen ziehen,“ sagt Christian Kussmann, Vorstand Firmen und Freie Berufe der HDI Versicherung. Zum Beispiel betreffe dies einen verstärkten Fokus von Cyberkriminellen auf Kleinunternehmen, eine wieder gestiegene Risikowahrnehmung, aber auch eine schnell nachlassende Awareness für Cybergefahren bei Betroffenen nach einer Attacke.
Mittelstand im Fokus – kleine Unternehmen ziehen nach
Immer mehr kleine und mittelständische Unternehmen machen Erfahrungen mit Cyberangriffen. Nach rund 40 % in den vergangenen Jahren gaben bei der aktuellen Befragung 53 % der Teilnehmer an, bereits Cyberangriffe erfahren zu haben. Dabei scheinen sich Cyberkriminelle, die Firmen ins Visier nehmen, im letzten Jahr auch wieder auf den Mittelstand, also Firmen mit 50 bis 250 Mitarbeitern, konzentriert zu haben. Das legen die Ergebnisse der HDI Cyberstudie 2024 nahe. War im Rahmen der letztjährigen Studie bereits ein Trend hin zu verstärkten Angriffen auf Kleinunternehmen (10 bis 49 Mitarbeiter) ablesbar, so stehen laut Umfrage der neuen Cyberstudie inzwischen auch Mittelständler wieder im Fokus von Cyberkriminellen.
Im Hinblick auf Kleinbetriebe ist die aktuelle Entwicklung jedoch besonders ausgeprägt: 56 % dieser Unternehmen haben laut Studie bereits Erfahrung mit Cyberangriffen. Der Wert ist damit inzwischen auf dasselbe Niveau wie bei Mittelständlern gestiegen. Vor zwei Jahren lag diese Quote laut HDI Studie noch bei 37 %. Und auch Kleinstbetriebe (bis zu 9 Mitarbeiter) werden laut neuester Studie vermehrt angegriffen, auch wenn bei diesen mit aktuell 39 % noch nicht das Niveau größerer Unternehmen erreicht wurde. „Die neue Cyberstudie zeigt deutlich: auch Kleinunternehmen, Kleinstunternehmen und Freiberufler werden für die Angreifer immer interessanter,“ stellt dazu HDI Vorstand Kussmann fest.
Risikowahrnehmung wieder auf „Normalniveau“
Das Risiko für eine Cyber-Attacke auf ein kleines oder mittleres Unternehmen in Deutschland schätzen 49 % der Studien-Teilnehmer als hoch oder eher hoch ein. Eine Betroffenheit des eigenen Unternehmens halten jedoch nur 38 % der Befragten als wahrscheinlich. Im Vergleich zum Vorjahr liegen beide Werte jeweils um rund 10 Prozentpunkte höher und damit auf demselben Niveau wie bei der Befragung zur Cyberstudie 2022.
Im Vergleich zu den Werten von vor zwei Jahren ist jedoch eine Tendenz zur stärkeren Wahrnehmung der eigenen Schadengefahr abzulesen. So bewerteten 34 % der Befragten die Schadenwahrscheinlichkeit für das eigene Unternehmen höher als zwei Jahre zuvor mit 27 %. In der Umfrage für die Studie 2023 dagegen lag der Wert mit 23 % der Umfrageteilnehmer signifikant niedriger. „Wir gehen daher davon aus, dass die Cyberbedrohung für die Unternehmen durch andere aktuelle Risiken wie Inflation und Lieferengpässe bei vielen vorübergehend in den Hintergrund gerückt war,“ erklärt HDI Vorstand Kussmann.
Schaden-Erfahrungen nur wenig nachhaltig
Aus Schaden wird man klug. Dies gilt grundsätzlich auch nach einem Angriff aus dem Cyberspace. Allerdings scheint diese Einsicht nur eine begrenzte Haltbarkeit zu haben. Auch das legen die Ergebnisse der HDI Cyberstudie nahe. So zeichnet sich anhand der zusammengefassten Umfrageergebnisse der Studien 2023 und 2024 zur Awareness des Cyberrisikos eine bemerkenswerte Entwicklung ab: Die Einschätzung der Befragten hinsichtlich des Angriffs- und des Schadensrisikos nehmen relativ schnell nach einem Angriff auf das Unternehmen wieder deutlich ab: So schätzen 57 Prozent der Befragten, deren Unternehmen innerhalb von 12 Monaten vor der Umfrage attackiert worden ist, das Angriffsrisiko für ihr eigenes Unternehmen als „hoch“ oder „sehr hoch“ ein. Mit drei Jahren Abstand zu einem Cyberangriff hat sich dieser Wert halbiert: nur noch 27 Prozent dieser Befragten teilen dann diese Ansicht.
Ähnlich auch die Ergebnisse zum Schadensrisiko: Von den in den letzten 12 Monaten attackierten Unternehmen schätzen insgesamt 46 Prozent der Befragten das Risiko, dass ihr Unternehmen bei einem nächsten Cyberangriff Schaden nehmen könnte, als „hoch“ oder „eher hoch“ ein. Je länger der Angriff zurückliegt, desto geringer jedoch wird diese Sorge: Nach ein bis zwei Jahren, sind nur noch 39 % dieser Ansicht. Und nach drei bis fünf Jahren teilen nur noch 25 % der Interviewten diese Einschätzung. Am niedrigsten ist der Wert bei Unternehmen, die in den 5 Jahren vor der Umfrage nicht attackiert wurden. Er liegt gerade einmal bei 22 %.
Erfahrung mit Cyberangriffen wird schnell verdrängt
Noch deutlicher ist die Tendenz, wenn Teilnehmer nach dem generellen Angriffsrisiko für KMU gefragt werden: Innerhalb von 12 Monaten nach einem Angriff schätzen 65 % der Befragten das Risiko eines Angriffs für ein KMU als „hoch“ oder „eher hoch“ ein. Liegt der Angriff jedoch länger als 12 Monate zurück, teilen nur noch zwischen 36 und 42 % der Befragten diese Ansicht. Offenbar werden die Risiken eines erneuten Angriffes schon nach kurzer Zeit von anderen Themen überlagert und verdrängt. Christian Kussmann zieht deshalb das Fazit: “Die Negativ-Erfahrung eines Cyberangriffs tritt relativ schnell in den Hintergrund. Von „Cyber-Vergessen“ sprechen, ist damit aus meiner Sicht nicht übertrieben.”