Zum dritten Mal in Folge befragte die HDI Versicherung kleine und mittelständische Unternehmen in Deutschland zu ihren Erfahrungen bezüglich Cyberbedrohungen. Rund 1.500 IT- und Versicherungsentscheider sowie Selbstständige nahmen an der Studie teil. Cyberangriffe betreffen mittlerweile nicht nur große Unternehmen, sondern auch kleine und mittelständische Betriebe rutschen ins Visier von Cyberkriminellen. Nachdem sich die Anzahl derer, die bereits Erfahrung mit Cyberattacken machen mussten, in den letzten Jahren noch auf rund 40 Prozent belief, gaben bei der diesjährigen Umfrage bereits 53 Prozent an, Erfahrungen mit Cyberangriffen gemacht zu haben. Vor allem mittelständische Firmen mit 50 bis 250 Mitarbeitern sind aktuell besonders betroffen, während in der letzten Studie ein Trend zu verstärkten Angriffen auf Kleinunternehmen (10 bis 49 Mitarbeiter) zu verzeichnen war. Dasselbe Ergebnis ist auch in Österreich zu erwarten.
Eine positive Tendenz gibt es zur Wahrnehmung der eigenen Schadengefahr – 34 Prozent der Befragten schätzen die Schadenwahrscheinlichkeit für den eigenen Betrieb höher ein als in den vergangenen Jahren (2022: 27 %, 2023: 23 %). HDI Vorstand Christian Kussmann erklärt diese veränderte Wahrnehmung damit, dass Cyberbedrohungen in den vorangegangenen Jahren durch aktuelle Risiken wie Inflation und Lieferengpässe vorübergehend in den Hintergrund gerückt waren.
Doch wie sieht es nach einem Cyberangriff aus? Erstaunlicherweise schwächt die Risikoeinschätzung nach einem bereits vorhergegangenen Angriff recht rasch wieder ab. Nur 46 Prozent der Unternehmen, die in den letzten zwölf Monaten Schäden durch eine Cyberattacke erfahren haben, schätzen das Risiko als „hoch“ oder „eher hoch“ ein. Nach ein bis zwei Jahren sind es noch 39 Prozent und nach drei bis fünf Jahren fürchten sich nur noch 25 Prozent vor einem erneuten Angriff. Unternehmen, die in den letzten fünf Jahren keine Probleme hatten, geben nur noch zu 22 Prozent an, ein höheres Risiko wahrzunehmen.
Somit wird deutlich, dass das generelle Angriffsrisiko auf KMUs gerne rasch verdrängt wird. Innerhalb von 12 Monaten nach einem Angriff schätzen 65 Prozent der Befragten das Risiko eines Angriffs für ein KMU als „hoch“ oder „eher hoch“ ein. Liegt der Angriff jedoch länger als 12 Monate zurück, teilen nur noch zwischen 36 und 42 Prozent der Befragten diese Ansicht.
Kussmann zieht daher das Fazit, dass die Negativ-Erfahrung eines Cyberangriffs relativ schnell in den Hintergrund tritt, und es seiner Meinung nach nicht übertrieben ist, von „Cyber-Vergessen“ zu sprechen.
