HDI Cyberstudie 2024: Cyber-Vergessen bei KMU
Schaden-Erfahrungen nur wenig nachhaltig
Aus Schaden wird man klug. Dies gilt grundsätzlich auch nach einem Angriff aus dem Cyberspace. Allerdings scheint diese Einsicht nur eine begrenzte Haltbarkeit zu haben. Auch das legen die Ergebnisse der HDI Cyberstudie nahe. So zeichnet sich anhand der zusammengefassten Umfrageergebnisse der Studien 2023 und 2024 zur Awareness des Cyberrisikos eine bemerkenswerte Entwicklung ab: Die Einschätzung der Befragten hinsichtlich des Angriffs- und des Schadensrisikos nehmen relativ schnell nach einem Angriff auf das Unternehmen wieder deutlich ab: So schätzen 57 Prozent der Befragten, deren Unternehmen innerhalb von 12 Monaten vor der Umfrage attackiert worden ist, das Angriffsrisiko für ihr eigenes Unternehmen als „hoch“ oder „sehr hoch“ ein. Mit drei Jahren Abstand zu einem Cyberangriff hat sich dieser Wert halbiert: nur noch 27 Prozent dieser Befragten teilen dann diese Ansicht.
Ähnlich auch die Ergebnisse zum Schadensrisiko: Von den in den letzten 12 Monaten attackierten Unternehmen schätzen insgesamt 46 Prozent der Befragten das Risiko, dass ihr Unternehmen bei einem nächsten Cyberangriff Schaden nehmen könnte, als „hoch“ oder „eher hoch“ ein. Je länger der Angriff zurückliegt, desto geringer jedoch wird diese Sorge: Nach ein bis zwei Jahren, sind nur noch 39 % dieser Ansicht. Und nach drei bis fünf Jahren teilen nur noch 25 % der Interviewten diese Einschätzung. Am niedrigsten ist der Wert bei Unternehmen, die in den 5 Jahren vor der Umfrage nicht attackiert wurden. Er liegt gerade einmal bei 22 %.
Erfahrung mit Cyberangriffen wird schnell verdrängt
Noch deutlicher ist die Tendenz, wenn Teilnehmer nach dem generellen Angriffsrisiko für KMU gefragt werden: Innerhalb von 12 Monaten nach einem Angriff schätzen 65 % der Befragten das Risiko eines Angriffs für ein KMU als „hoch“ oder „eher hoch“ ein. Liegt der Angriff jedoch länger als 12 Monate zurück, teilen nur noch zwischen 36 und 42 % der Befragten diese Ansicht. Offenbar werden die Risiken eines erneuten Angriffes schon nach kurzer Zeit von anderen Themen überlagert und verdrängt. Christian Kussmann zieht deshalb das Fazit: “Die Negativ-Erfahrung eines Cyberangriffs tritt relativ schnell in den Hintergrund. Von „Cyber-Vergessen“ sprechen, ist damit aus meiner Sicht nicht übertrieben.”