Unternehmen unterschätzen ihr Cyberrisiko

(verpd) Rund vier von zehn Unternehmen sind in den letzten zwei Jahren bereits Opfer eines Cyberangriffs geworden. Mehr als jeder zweite Unternehmensleiter oder IT-Verantwortliche einer Firma sieht für sein Unternehmen zudem ein hohes bis sehr hohes Bedrohungspotenzial im Bereich Cyberkriminalität. Allerdings entspricht die Risikoeinschätzung der Unternehmen bezüglich der einzelnen Cybercrimedelikte nicht der Realität. Dies ergab eine aktuelle Studie eines Wirtschaftsprüfungs- und Beratungsunternehmens.

Die Wirtschaftsprüfungs- und Beratungsunternehmen KPMG AG hat vor Kurzem die Studie „e-Crime in der deutschen Wirtschaft“ veröffentlicht. Für die Studie hat das Sozialforschungs-Institut Kantar Emnid 1.001 Führungskräfte und IT-Leiter von nach Branchen und Umsatz repräsentativ ausgewählten Unternehmen zwischen September 2018 und Januar 2019 befragt.

Laut dieser Umfrage schätzen 92 Prozent der Befragten das Risiko, dass deutsche Unternehmen von Cyberkriminalität betroffen werden, hoch bis sehr hoch ein. Das ist der bisher höchste Wert der Umfrage, die seit 2013 alle zwei Jahre im Auftrag der KPMG durchgeführt wird. Für das eigene Unternehmen sehen jedoch nur 52 Prozent ein entsprechendes Cybercrimerisiko – auch dieser Wert ist höher als die der vorherigen Befragungen.

85 Prozent der Täter bleiben unerkannt

Drei Viertel der Befragten gehen davon aus, dass die Gefahr für die deutschen Firmen weiter steigen wird. In Bezug auf das eigene Unternehmen glauben das immerhin noch 51 Prozent.

Allein in den letzten zwei Jahren waren bereits 39 Prozent der befragten Unternehmen von Computer- beziehungsweise Internetkriminalität betroffen. Dabei blieben rund 85 Prozent der Täter unerkannt und konnten nicht ermittelt werden.

KPMG-Partner Michael Sauermann, Leiter Forensic Technology Deutschland, betont diesbezüglich: „Es ist eine der größten Herausforderungen für die Unternehmen, dass Täter kaum identifiziert werden können. Das muss wachrütteln. Diese Tatsache gibt zudem Grund zur Annahme, dass viele Angriffe gar nicht erst entdeckt werden und somit ein großes Dunkelfeld bestehen könnte.“

Fehlerhafte Risikoeinschätzung

Die Risikowahrnehmung der Firmen- und IT-Verantwortlichen weicht zum Teil erheblich von der Wirklichkeit ab. Laut Umfrage sehen die meisten, nämlich jeweils fast neun von zehn Befragten, eine hohe bis sehr hohe Gefahr, dass das eigene Unternehmen Opfer eines Datendiebstahls oder eines Computerbetrugs wie der Manipulation von Onlinebanking-Anweisungen wird.

Tatsächlich sind von den Cyberangriffen, die die befragten Firmen in den letzten zwei Jahren selbst betroffen haben, „nur“ 29 Prozent Computerbetrug und 27 Prozent Datendiebstähle gewesen.

Den größten Anteil der Cybercrimedelikte, von denen die befragten Firmen selbst betroffen waren, hatte mit 30 Prozent die Computersabotage und Systembeschädigung. Dass ein hohes oder sehr hohes Risiko der eigenen Firma besteht, von diesem Delikt betroffen zu werden, glauben jedoch nur rund sechs von zehn Befragten – das ist der fünfte Platz aller von den Umfrageteilnehmern hoch oder sehr hoch eingestuften Deliktrisiken für das eigene Unternehmen.

Meist hohe Schadenkosten

Von den rund 280 Firmen, die in den letzten zwei Jahren bis zur Befragung Opfer einer Cyberattacke wurden, und in der Umfrage zur Studie auch die dabei entstandene Schadenhöhe angaben, lag der Schaden nur bei rund acht Prozent unter 10.000 Euro.

In jedem zweiten Fall betrug die Schadenhöhe dagegen zwischen 10.000 Euro bis unter 100.000 Euro und jedes dritte betroffene Unternehmen wurde aufgrund eines Cyberangriffs mit zwischen 100.000 Euro bis unter einer Million Euro geschädigt.

Fast sieben Prozent der Unternehmen, die sich zur Schadenhöhe einer erlittenen Cyberattacke äußerten, hatten einen Schaden von mehr als einer Million Euro.

Damit die Folgen eines Cyberangriffs gering bleiben

Doch nicht nur die Schadenkosten, auch ein möglicher Reputationsschaden, den man beispielsweise durch das Bekanntwerden eines geglückten Cyberangriffs auf die eigene Firma oder eine Veröffentlichung gestohlener Firmendaten durch den Täter erleidet, schadet einem Unternehmen.

Damit die Folgen eines von einem Cyberangriff betroffenen Unternehmen möglichst gering bleiben, bietet die Versicherungswirtschaft sogenannte Cyberversicherungen an.

Eine solche Police übernimmt nach Angaben des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. „nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte, sondern steht den Kunden im Ernstfall mit einem umfangreichen Serviceangebot zur Seite: Nach einem erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie möglich zu halten.“

Kontakt

Sie haben Fragen?

Rufen Sie uns einfach an unter 04353 99 80 90
oder nutzen Sie unser Kontaktformular