83
zumindest theoretisch – ein hoher Stellenwert beigemessen, auch wenn noch viele Lücken in der Verteidigung bestehen. Insgesamt gehen die meisten Studienteilnehmer davon aus, dass die größte Gefahr für die deutsche Wirtschaft darin liegt, dass betriebliches Know-how gestohlen wird. Derartige Risiken können nicht ignoriert werden – was allerdings bei nur 46 % der Unternehmen zu einem starken Gefahrenbewusstsein geführt hat. Bei großen Unternehmen ist das Gefahrenbewusstsein schon deutlich stärker ausgebildet. mittlerweile sind es knapp zwei Dutzend Gesellschaften. Und auch auf Kundenseite tut sich einiges, wie die 6. Fachtagung „Fokus Cyber und Financial Lines“ des Gesamtverbandes der versicherungsnehmenden Wirtschaft e. V. (GVNW) vor wenigen Wochen zeigte. Laut Johannes Behrends, Head of Speciality Cyber bei Aon Versicherungsmakler, ist das Thema „in Schwung“. Das Prämienvolumen habe sich seit 2015 verdoppelt. Ole Sieverding, Underwriting Manager Cyber bei Hiscox Europe, spricht gar von einem „Durchbruch“. Dennoch hinken deutsche Unternehmen noch immer hinterher. Laut „Hiscox Cyber Rediness Report 2018“ sind 77 % der Firmen noch „CyberAnfänger“. Eine verhängnisvolle Zahl, denn die Realität ist erschreckend. Wie der zweite Teil des Cyber Security Reports des Wirtschaftsprüfungs- und Beratungsunternehmens Deloitte aufdeckt, wird rund die Hälfte der mittleren und großen Unternehmen einmal pro Woche von Cyberkriminellen attackiert. Mehr als vier Fünftel der großen Konzerne berichten von monatlichen, die Hälfte davon sogar von täglichen An-
Prof. Dr. Renate Köcher Geschäftsführerin Institut für Demoskopie Allensbach
griffen. Liegt der potenzielle finanzielle Schaden pro Attacke bei durchschnittlich 700.000 Euro, liegt der Gesamtschaden für die deutsche Wirtschaft nach Expertenschätzungen bei 50 Mrd. Euro. In immerhin jedem dritten mittleren und großen Unternehmen gibt es bis heute keine dezidierte Cyber-SecurityStrategie und in jedem vierten Betrieb hat sich die Führung nur am Rande oder gar nicht mit dem Thema befasst. Zudem hat nur gut ein Drittel der Führungskräfte Kenntnis von der Existenz regulatorischer Vorgaben seitens des Gesetzgebers. „Deutsche Unternehmen sind aufgrund ihres Know-hows beliebte Angriffsziele. Schließlich geht es hier um die digitalen Kronjuwelen der Unternehmen. Umso erfreulicher ist es, dass in den Führungsetagen das allgemeine Risiko- und Haftungsbewusstsein kontinuierlich stärker wird“, erklärt Peter Wirnsperger, Partner und Leiter Cyber Risk bei Deloitte.
Jeden Tag ein Angriff Fast 50 % der teilnehmenden Führungskräfte berichten von wöchentlichen, oft auch täglichen Cyberangriffen – bei den großen Unternehmen sind es sogar 83 %. Damit hat sich die Zahl der täglichen bzw. wöchentlichen Attacken seit 2013 verdoppelt. Hinzu kommt eine beträchtliche Dunkelziffer, immerhin geht jeder Vierte davon aus, dass viele Angreifer weitgehend unbemerkt agieren. Dementsprechend wird dem Thema –
finanzwelt 02/2018
Gefahr kommt oft auch von innen Unternehmenslenker werten menschliches Fehlverhalten als größte Gefahr für die IT-Sicherheit. Drei Viertel sehen hier große Gefahren, knapp die Hälfte hat Bedenken hinsichtlich der Nutzung mobiler Endgeräte – gleichzeitig wird dem Schutz mobiler Endgeräte ein geringerer Stellenwert eingeräumt als noch im letzten Jahr. Zudem gibt es in jedem vierten Fall keinen Notfallplan für ein Angriffsszenario. „Obwohl die Ausgaben für die Sicherheit insgesamt gestiegen sind, ist der Status der Abwehrmaßnahmen eher ernüchternd“, bestätigt Prof. Dr. Renate Köcher vom Institut für Demoskopie Allensbach. Das seit 2015 geltende IT-Sicherheitsgesetz der Bundesregierung sowie der Deutsche Corporate Governance Kodex enthalten zahlreiche Vorgaben für Unternehmen. Diese umzusetzen, gehört über die IT-Abteilungen hinaus vor allem zu den Aufgaben der Unternehmensführung – einschließlich der Implementierung eines Risikomanagement-Systems. In rund einem Viertel der Betriebe befasst sich die Leitung sporadisch oder gar nicht mit dem Thema Cyber-Security, bei größeren Unternehmen immer noch ein Fünftel. Bei den vorgeblich „vorbereiteten“ Unternehmen weiß nur die Hälfte überhaupt von regulatorischen Vorgaben, die sie betreffen. Unter allen Befragten sind es sogar gerade einmal 37 %. (hwt)