Die erste Nachricht verheißt Positives: Die Cyber-Angriffe auf Unternehmen sind weniger geworden. Doch die zweite Nachricht dämpft die Freude schon wieder: Die Angriffe der Cyber-Kriminellen sind spezialisierter und somit für die betroffenen Firmen teurer geworden. Dies ist eine wichtige Erkenntnis aus dem „Hiscox Cyber Readiness Report 2020“.
Auf den ersten Blick könnte man meinen: Der Wendepunkt ist erreicht, denn die Anzahl der erfolgreichen Cyber-Angriffe nimmt laut dem „Hiscox Cyber Readiness Report 2020“ erstmals deutlich ab. Während 2019 noch 61 Prozent der befragten Unternehmen berichteten, Opfer eines Cyber-Zwischenfalls geworden zu sein, waren es 2020 global nur noch 39 Prozent. In Deutschland sieht die Zahl für 2020 recht ähnlich aus: 41 Prozent. 2019 lag die Zahl noch bei stolzen 61 Prozent.
Firmen ergreifen nach einer Attacke Gegenmaßnahmen
Ein Grund für diese positive Entwicklung: Im Vergleich zum Vorjahr ergriffen doppelt so viele Firmen nach einer Attacke Gegenmaßnahmen. Dazu gehörten vor allem: Cyber-Sicherheitsbewertungen der IT-Struktur, Identifikation bestehender Schwachstellen im System und die Überarbeitung der eigenen Cyber-Sicherheitsstrategie.
Doch leider ist dies nur eine Wahrheit, denn die Kosten durch Cyber-Attacken sind um das Sechsfache gestiegen. So zahlten 2020 Unternehmen im Mittel 51.200 Euro, in Deutschland mussten sie sogar 72.000 Euro blechen, um die Folgen versuchter oder erfolgter Cyber-Angriffe zu beheben.
Die Summe der Schäden aller betroffenen Unternehmen (n=1.971) belief sich auf 1,6 Milliarden Euro. In Deutschland waren es 363 Millionen Euro bei 389 betroffenen Firmen. Und wie sahen die Zahlen 2019 aus? Im vergangenen Jahr waren es 1,1 Milliarden Euro bei über 3.000 betroffenen Firmen.
Angreifer und Attackierte sind besser aufgestellt
Der Report, den Hiscox nun bereits zum vierten Mal veröffentlicht hat, zeigt außerdem, dass sich beide Lager, die der Angreifer und die der Unternehmer, professioneller aufgestellt haben. Eben um, besser Attacken fahren zu können und leichter an Geld zu kommen, aber auf der anderen Seite auch, um besser auf mögliche Angriffe vorbereitet zu sein.
Aber die Untersuchung zeigt auch: Nur elf Prozent der Unternehmen sehen in einer Cyber-Versicherung einen Mehrwert für sich und planen darum in diesem Jahr den Abschluss einer Cyber-Spezialpolice. 2019 lag der Wert noch bei 30 Prozent.
Lösegeldforderungen in sechsstelliger Höhe
Wie in den Jahren zuvor plauderte Hiscox auch noch aus dem Nähkästchen der Schadensfälle. So lieferten die Cyber-Experten des Versicherers den Seminarteilnehmern sehr unterschiedliche Fälle aus der Praxis, die sich 2019 ereigneten und mit denen sich der Versicherer auseinandersetzen musste. Unterschiedlich im Ausmaß des Schadens, der Kosten und der Art des Cyber-Angriffs. Bei einem skizzierten Fall, einem mittelständischen Spezialbetrieb, war ein Kryptotrojaner der Auslöser eines Schadensfalls. Der Begriff Kryptotrojaner ist auch als Ransomware (englisch ransom für „Lösegeld“), Erpressungstrojaner, Erpressungssoftware oder Verschlüsselungstrojaner bekannt. Dies sind alles Namen für Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff des Computerinhabers auf seine Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann und so ein Unternehmen für einige Tage oder sogar Wochen lahmlegen kann.
Obwohl der mittelständische Betrieb über Schutzmaßnahmen gegen derartige Angriffe verfügte, wurden diese nicht sachgemäß eingesetzt, so dass es zu dem folgenschweren Angriff kam. Das bedeutet genau: Das Back-up war nicht gesichert, so dass die Täter hier problemlos zuschlagen konnten. Die praktische Folge: Produktionsstopp, Auslieferungsstopp, keine Einsicht mehr in die Auftragsbücher und in die Terminplanung. Also der Super-Gau für das Unternehmen.
Auch finanziell ein Desaster, denn die Cyber-Kriminellen forderten eine sechsstellige Lösegeldsumme. Mit dem betroffenen Unternehmen hat der Versicherer einen gemeinsamen Krisenstab aufgebaut, in dem eruiert wurde, wie schnellstmöglich ein Notbetrieb aufgebaut werden kann. Zeitgleich wurde mit Hilfe der Forensiker nach der Quelle des Angriffs gesucht. Ein wichtiger Aspekt bei der Krisenbewältigung. Denn wenn das Einfallstor für den Eingriff nicht gefunden und klar definiert wird, kann sich ein derartiger Vorfall sehr schnell wiederholen.
Lösegeldforderungen der Unternehmensgröße angepasst
Nach Ansicht der Experten zeigt sich hier auch ein weiterer unschöner Trend: Hätten die Täter in früheren Jahren bei allen ihren Angriffen meist einen Pauschalbeitrag von 1.000 Euro gefordert, würden sie heute ihre Forderungen an die Unternehmensgröße und -stärke anpassen und könnten so oftmals weitaus höhere Summen fordern. Hiscox hat bereits Kunden betreut, von denen sogar siebenstellige Lösegeldsummen gefordert worden seien.
Großunternehmen nehmen in Sachen Cyber Readiness eine Vorreiterrolle ein
Im Vorjahresreport von Hiscox zeigt sich, dass vor allem Unternehmen aus der Tech/Medien/Telekommunikationsbranche (TMT-Firmen) besonders häufig Opfer von Cyber-Attacken waren. Doch diese Branchen haben reagiert und stemmen sich gegen diese Entwicklung. So setzen zum Beispiel die TMT-Firmen (verstärkt) auf Cyber-Experten (23 %), nur die verarbeitende Industrie/Produktion (24 %) und die Finanzdienstleister (24 %) sind hier noch etwas aktiver.
Grundsätzlich sind große Unternehmen immer mehr gegen Cyber-Attacken gerüstet, jedenfalls steigt deren Bewusstsein für Cyber-Gefahren. Das zeigt sich auch daran, dass sich die Zahl der Cyber-Experten im Vergleich zum Vorjahr von zehn auf achtzehn Prozent fast verdoppelt hat. Besonders Großunternehmen (1.000+ Mitarbeiter) nehmen anscheinend in Sachen Cyber Readiness immer mehr eine Vorreiterrolle ein. Das heißt genau: Knapp ein Drittel (29 %) schätzt sich als Cyber-Experte ein (2019: 12 %).
Mit Blick auf ihre Cyber-Strategie, Ressourcen, Technologie und Prozesse zählen 2020 auch immer weniger Unternehmen zu den so genannten Cyber-Anfängern, dies sind genau 64 Prozent. 2019 lag die Zahl noch bei 74 Prozent.
Dagegen sind nun wohl Hotels und Arztpraxen (stärker) ins Visier der Kriminellen gerückt. Das Problem: Diese Sparten sind sehr stark von ihrer funktionierenden IT abhängig, haben aber oftmals schlecht gesicherte Systeme. Das haben die Cyber-Kriminellen erkannt und schlagen hier vermehrt zu.
Je schneller die betroffenen Firmen hier reagieren, desto leichter können hier teure Schäden noch verhindert werden. Ein existenziell wichtiger Wettlauf zwischen Angriff und Verteidigung, lautet die Einschätzung der Versicherungsexperten.
84 Prozent setzen auch auf einen Versicherungsschutz
Erfreuliches Resultat für die Versicherer wie Hiscox: 84 Prozent der Cyber-Experten treffen nicht nur Sicherheitsvorkehrungen in ihren Häusern und erstellen eine eigene Expertise, sondern sichern sich auch durch eine Cyber-Versicherung ab (Fortgeschrittene: 33 %, Anfänger: 18 %). Im Vergleich dazu waren es 2019 nur 59 Prozent. Bei KMU liegt der Anteil etwas darunter und zwar bei 45 Prozent.
Über ein Viertel (26 %) der befragten Unternehmen verfügt über eine eigene Cyber-Versicherung, in Deutschland ist dies bei 24 Prozent der Firmen der Fall. Immerhin rund ein Drittel (32 %) ist durch eine Versicherung mit Cyber-Komponente geschützt. Und manche Firmen sind eisern gegen eine Versicherungslösung: So haben 21 Prozent keine Versicherung und planen auch nicht, eine Police abzuschließen.
Da muss die Versicherungsbranche wohl noch etwas Überzeugungsarbeit leisten.
Autor(en): Meris Neininger