Warum sind kleine Unternehmen gefährdeter als Große, und warum ist eine Cyberdeckung zum Schutz sehr zu empfehlen?

Cyberrisiken stellen für deutsche Unternehmen eine immer größere Gefahr dar. Im Vergleich zum vorherigen Jahr ist die Zahl der Cybercrime-Verfahren um 83,3% gestiegen. Dieser rasante Anstieg an organisierten Hackerangriffen und Datendiebstählen bestätigt den Trend der letzten Jahre. Ein Blick auf die Fakten genügt: 51% der Unternehmen hatten in den letzten Jahren einen IT-Sicherheitsvorfall gemeldet. Für die Industrie entstand ein jährlicher Schaden von etwa 22 Milliarden Euro durch Cyberkriminalität. Tendenz steigend, da nicht nur die Anzahl der Angriffe, sondern auch deren Erfolgswahrscheinlichkeit steigt.

In den Medien werden solche Fälle meist dann publiziert, wenn große bekannte Firmen, wie z. B. Ebay, Yahoo, die deutsche Telekom, JP Morgan, Sony oder der US-Provider Dyn betroffen sind. Dabei verfolgen die Angreifer vielschichtige Ziele. So geht es u. a. um das Korrumpieren von Nutzer- und Kundendaten, das Verbreiten von Fake News, das Ausspähen von Geheimnissen oder um eine Störung des Geschäftsbetriebs im Allgemeinen.

In den öffentlichkeitswirksamen Publikationen geht meist unter, dass gerade für kleine bis mittelgroße Unternehmen die Gefahren durch Cyber-Schäden schnell existenzbedrohende Ausmaße annehmen. Man könnte sich ein Unternehmen bildlich als Burg vorstellen. Große Burgen haben Mittel, um sich den bestmöglichen Schutz zu sichern, sie können im Zweifelsfall einen Angriff überstehen, sich von diesem erholen und im Nachgang selbst verbesserte Schutzmaßnahmen treffen. Kleinere Burgen können dies nicht. Sie müssen sich meist derart auf ihre Kerntätigkeit – ihr Kerngeschäft – konzentrieren, dass eine ausreichende Beschäftigung mit der Bedrohungslage schlicht nicht möglich ist. Sollte dann ein erfolgreicher Angriff passieren, sind die unmittelbaren Kosten für den Wiederaufbau und die zu investierende Zeit meist so hoch, dass kleinere Burgen einen solchen Angriff letztendlich wirtschaftlich nicht überstehen.

Diese Annahme ist belegbar. Eine Studie der  US National Cyber Security Alliance hat gezeigt, dass bis zu 60 % der KMUs innerhalb von 6 Monaten nach einer Cyberattacke Insolvenz anmelden. Dies liegt vor allem daran, dass kleine Firmen mit einer geringen Anzahl von Führungskräften dem Thema IT und IT-Sicherheit meist nicht die notwendige Aufmerksamkeit geben können und keine ausreichenden personellen und organisatorischen Mittel für ein adäquates IT-Risiko- und Präventionsmanagement aufbringen können. Drohende Fremdschäden – etwa die Ansprüche aus Datenschutzverletzungen von Dritten – oder Eigenschäden z. B. in Form des Ertragsausfalls in Folge eine Cyberinduzierten Betriebsunterbrechung bringen kleine und mittelgroße Unternehmen schnell an den Rand der Existenz.

Bei der Studie handelt es sich um eine Untersuchung auf dem US-Markt. Im Gegensatz zu vielen anderen Risiken handelt es sich bei Cyber um eine global gleichartig existente Bedrohungslage. Damit können die Aussagen auch auf Europa oder Deutschland Anwendung finden.

Die KMUs im amerikanischen Markt haben angefangen, diese Situation zu verstehen. Der amerikanische Versicherungsmarkt für Cyber-Policen hat in den letzten Jahren ein erhebliches Wachstum erfahren und der Anteil an versicherten Unternehmen ist bereits signifikant hoch. Die Nachfrageentwicklung in Deutschland ist aktuell noch eher moderat. Gemäß einer Umfrage von BITKOM research aus 2016 ist aktuell jedes zehnte Unternehmen gegen Cybercrime versichert.
Die Marktprognosen für die Folgejahre weichen zwar stark voneinander ab, deuten aber alle auf ein starkes Wachstum hin. Diese Markterwartung reflektiert die gemeinsame Überzeugung, dass es nur eine Frage der Zeit ist, bis der Risikoabsicherungsbedarf für Cyber in das Bewusstsein der Unternehmensleiter in deutschen Unternehmen dringt. Die Grundprinzipien der Risikotheorie gelten auch für Cyberrisiken. Aus einer unternehmerischen Risikoaversion heraus sollte der mögliche Verlust von Vermögenswerten durch geeignetes Risikomanagement vermieden werden.

Dies erfolgt klassischerweise auf Basis von vier Maßnahmen:

  1. Risikomeidung, d.h. alle Vorkehrungen treffen, um schädigende Ereignisse zu verhindern
  2. Risikominderung, mit dem Zweck einen etwaigen Schaden so klein wie möglich zu halten
  3. Risikoteilung im Sinne der Diversifizierung von Risiken
  4. Risikotransfer, also das eigene Risiko auf den Markt abwälzen

Es bietet sich an, erst einmal einiges zur Vermeidung sowie Minderung von Risiken zu tun, jedoch sind insbesondere für kleinere Unternehmen die verfügbaren Mittel schnell aufgebraucht. Daher wird die Maßnahme Risikotransfer in Form von gekauften Cyberdeckungen stark zunehmen.

Letzten Endes stellt sich die Frage inwiefern Versicherer sich auf Nachfragesteigerungen ausreichend vorbereitet haben und was in Form von Produkten, Deckungskonzepten, Kapazitäten und Prozessen erforderlich ist, um einen stabilen Schutz sehr vieler kleiner Burgen auch effizient und wettbewerbsgerecht gewährleisten zu können.

Im nächsten Blogbeitrag wird sich unser Blick auf die aktuelle Angebotssituation auf Seiten der Versicherer richten.

Viele Grüße
Jonas Schwade und Felix Fiedler

Jonas Schwade ist Diplom-Kaufmann und arbeitet bei PPI als Consultant im Bereich Versicherungen. Seine Schwerpunkte liegen im Bereich der Kommunalversicherungen sowie in allen gesundheitlich relevanten Fragen rund um das Thema Versicherung.

Felix Fiedler wird diesen Blog ab sofort und regelmäßg mit Beiträgen rund um das Thema “Cyber” versorgen. Er ist Stammautor unseres Blogs und zeigt die Kehrseite und die Schwachstellen zunehmender Digitalisierung auf.

#Versicherungen #Cyber #Cyberrisiken #Cyberkriminalität

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

12  +    =  18

Verwandte Artikel