Hannover. Vor allem unter den Mittelständlern mit 50 bis 250 Mitarbeitern berichtet mehr als jedes zweite Unternehmen (57 Prozent), schon mindestens einmal von einer Cyberattacke betroffen gewesen zu sein. Das sind Ergebnisse der HDI-Cyber-Studie. Dafür hat das Forschungs- und Beratungsinstitut Sirius Campus Versicherungs- und IT-Entscheider von mehr als 500 KMU in Deutschland repräsentativ befragt.
Dass laut Untersuchung Mittelständler überdurchschnittlich betroffen waren, heißt jedoch nicht, dass kleinere und Kleinstunternehmen für die Angreifer nicht interessant sind, wie der zur Talanx-Gruppe gehörende Versicherer weiter mitteilt. Auch rund ein Drittel (31 Prozent) der Kleinstunternehmen mit bis zu neun Mitarbeitern und 37 Prozent der Kleinunternehmen mit zehn bis 49 Mitarbeitern sind in den letzten Jahren bereits Opfer von Cyber-Attacken geworden.
Zudem zeige sich ein genereller Trend, führt der Versicherer aus: Kleinere Unternehmen gerieten verstärkt in den Fokus, seitdem sich größere Unternehmen besser gegen solche Angriffe schützten. KMU hätten dagegen häufig nicht so hohe Sicherheitshürden wie große Unternehmen. Außerdem würden Angreifer die KMU auch als „Point of Entry“ für weitere Angriffe nutzen, wie HDI erklärt. Denn als Dienstleister unterhalten sie häufig auch IT-Schnittstellen zu Großunternehmen.
Schwachstelle „Mensch“
„Die Untersuchungsergebnisse zeigen klar: Angreifer wählen den Weg des geringsten Widerstands. Beim allergrößten Teil der Angriffe nutzen Angreifer Unaufmerksamkeit, Neugier oder Arglosigkeit bei Mitarbeitern, um in die IT-Netzwerke der Firmen einzudringen,“ sagt Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung.
Technisch anspruchsvollere Angriffsmethoden, etwa über erweiterte Computer- oder IoT-Netzwerke oder über Wartungsschnittstellen von Druckern oder Kopierern, gelte es trotzdem weiter im Fokus zu behalten. Es sei hier wichtig, technische sowie organisatorische Gegenmaßnahmen zu ergreifen.
Erhebliche Schäden können entstehen
Fast drei Viertel der erfolgreichen Angriffe (72 Prozent) verursachen dabei erhebliche Schäden und kosten KMU im Schnitt 95.000 Euro, so der Versicherer. Bei Freiberuflern liegt der Schadendurchschnitt laut Studie bei 120.000 Euro. Größere Mittelständler berichten von Schäden von bis zu 500.000 Euro.
22 Prozent der attackierten Unternehmen beklagen Image- und Reputationsschäden infolge der Cyberangriffe. Zudem sahen sich 15 Prozent mit Schadenersatzforderungen von Kunden konfrontiert und 16 Prozent mit Industriespionage und dem Verlust geheimer Unterlagen.
Betriebsunterbrechungen
Rund ein Viertel der betroffenen Unternehmen musste laut Untersuchung mit Betriebsunterbrechungen in Folge der Attacken klarkommen, so die Studien-Ergebnisse. Zum Beispiel konnte ein Unternehmen aufgrund der kompromittierten Systeme seine Kunden vorübergehend nicht beliefern. Ein anderes konnte nicht mehr auf E-Mails und Firmennetzwerk zugreifen. Buchführung und Kundenservice waren lahmgelegt.
So werden Betriebsunterbrechungen von 43 Prozent der Unternehmen als besonders relevant eingestuft. Als noch relevanter bewerten mit einem Anteil von 45 Prozent die befragten Unternehmen nur den Diebstahl von Kundendaten.
Angriffe häufig nur zufällig entdeckt
Häufig werden Cyberangriffe bei kleinen und mittelständischen Unternehmen nur zufällig entdeckt. Auch das ist ein Ergebnis aus der Studie. Insgesamt gaben 28 Prozent der betroffenen KMU an, dass Cyberattacken nur durch Zufall entdeckt wurden. Bei Kleinst- und Kleinunternehmen war dies bei jeweils rund einem Drittel der Firmen der Fall.
Mittelständische Unternehmen entdeckten Cyber-Angriffe dagegen zum großen Teil durch systematisches Screening. Neben der Überprüfung veröffentlichter Schwachstellen gehört das Screening zu den erfolgversprechendsten Methoden, Cyberattacken möglichst frühzeitig zu bemerken und Gegenmaßnahmen einleiten zu können, so der Versicherer. Kleinere Unternehmen hätten hier oft erheblichen Nachholbedarf.
Besonders schlecht für Unternehmen sei dagegen, wenn Cyberangriffe erst durch die Schäden, die sie anrichten, bemerkt werden. Etwa ein Fünftel der von Attacken betroffenen Unternehmen musste laut der Studie derartige Erfahrungen machen. Mit 17 Prozent etwas weniger bei den Mittelständlern, bei kleineren Unternehmen mehr. (mwi)