23.9.2025 – Nur rund ein Viertel aller kleinen und mittleren Unternehmen in Deutschland kann alle grundlegenden Obliegenheiten erfüllen, die der GDV in seinen Musterbedingungen für die Cyberversicherung definiert – unabhängig davon, ob sie selbst versichert sind. Das zeigt eine Forsa-Umfrage im Auftrag des Verbandes. Der GDV warnt vor falscher Sorglosigkeit.
Welche massiven Auswirkungen ein Hackerangriff auf ein Unternehmen haben kann, zeigte sich erneut am vergangenen Freitag. Der IT-Dienstleister Collins Aerospace, der unter anderem die Passagierabfertigung an großen Flughäfen betreibt, wurde zum Ziel einer Cyberattacke.
Die Angreifer hatten es auf das System abgesehen, das für den automatisierten Check-in und die Gepäckabfertigung zuständig ist. In der Folge stand der Betrieb an mehreren europäischen Drehkreuzen still. In London, Paris, Brüssel und Berlin mussten zahlreiche Flüge gestrichen werden, Passagiere saßen stundenlang fest.
Schäden durch Cyberkriminelle gehen in die Hunderte Millionen
Noch drei Tage später läuft der Flugbetrieb nur eingeschränkt, wie übereinstimmend Medien berichten, da Mitarbeiter die Passagierdaten manuell eingeben müssen.
Die finanziellen Auswirkungen und Hintergründe des Angriffs sind bislang unklar. Zum Vergleich: Bei der Ransomware-Attacke mit der Schadsoftware „NotPetya“ 2017 wurden unter anderem die IT-Systeme des dänischen Logistikkonzerns A. P. Moller-Maersk weltweit lahmgelegt.
Den eigenen Schaden bezifferte das Unternehmen auf bis zu 300 Millionen US-Dollar. Im Zweifel sind solche Angriffe existenzbedrohend.
Die Mehrheit der KMU verneint eigenes Risiko
Passend zum Thema Cyberrisiken hat der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) am Montag eine Umfrage vorgestellt. Untersucht wurde, wie kleine und mittlere Unternehmen das Risiko von Cyberangriffen einschätzen und welche Schutzmaßnahmen sie umgesetzt haben.
Die Forsa Politik- und Sozialforschung GmbH befragte dafür repräsentativ 300 Entscheider und IT-Verantwortliche in KMU. Das Ergebnis: Viele Unternehmen unterschätzen ihr eigenes Risiko deutlich, warnt der GDV.
Zwar sind 78 Prozent der Befragten überzeugt, dass mittelständische Firmen generell ein attraktives Ziel für Cyberattacken sind. Doch nur 38 Prozent halten das Risiko für ihr eigenes Unternehmen für real, 61 Prozent sehen sich nicht bedroht.
Die Mehrheit der Unternehmen schätzt ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist.
Jörg Asmussen, GDV
Nur jedes vierte Unternehmen erfüllt alle Obliegenheiten
Ein Blick auf andere Studien zeigt, dass diese Selbstwahrnehmung trügerisch sein könnte: Bei einer Umfrage des Bitkom e.V. gaben rund 80 Prozent der befragten Unternehmen an, in den vergangenen zwölf Monaten Opfer von Datendiebstahl, Cyber-Erpressung, Industriespionage oder Sabotage gewesen zu sein (VersicherungsJournal 10.7.2024).
Ein möglicher Grund für diese Sorglosigkeit sei, so GDV-Hauptgeschäftsführer Jörg Asmussen, dass viele Unternehmen ihre eigenen Schutzmaßnahmen überschätzen. „Die Mehrheit der Unternehmen (52 Prozent) schätzt ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist“, warnt Asmussen.
So wurden die Entscheider auch gefragt, ob ihre Unternehmen zehn Basis-Schutzmaßnahmen zur Abwehr von Hackerangriffen erfüllen. Diese bilden die grundlegenden Obliegenheiten der GDV-Musterbedingungen für eine Cyberversicherung (PDF, 417 KB) ab. Werden solche Obliegenheiten verletzt und entsteht dadurch ein Schaden, riskieren die Betriebe folglich ihren Versicherungsschutz.
Elementare Prinzipien der Cyberhygiene
Die Basismaßnahmen betreffen elementare Prinzipien der Cyberhygiene, deren Missachtung Unternehmen zu einem leichten Ziel für Hacker machen kann. Dazu gehört etwa:
- die Verwendung sicherer Passwörter mit Buchstaben, Zahlen und Sonderzeichen,
- regelmäßige Updates von Systemen und Sicherheitssoftware,
- die strikte Trennung von Administrator- und normalen Nutzerrechten, wobei Administratorzugänge ausschließlich für administrative Tätigkeiten genutzt werden,
- der Schutz sensibler Kunden- und Zugangsdaten vor ungesicherter Speicherung auf privaten Geräten oder in privaten Mailaccounts, zum Beispiel im Homeoffice,
- wöchentliche Backups und Sicherungskopien, die physisch getrennt vom System aufbewahrt und regelmäßig getestet werden,
- die Schulung und Sensibilisierung der Mitarbeiter für Cyberrisiken.
Nur 25 Prozent der Unternehmen setzen alle zehn Basismaßnahmen um, 49 Prozent erreichen acht bis neun davon. Bei knapp einem Viertel sind es weniger als sieben.
Missachten KMU derartige Obliegenheiten, kann das dazu beitragen, dass sie erst gar keine Cyberversicherung abschließen können. Die Versicherer machen es in ihren AVB zunehmend zur Bedingung für die Vertragsannahme, dass derartige Präventionsmaßnahmen eingehalten werden. Das zeigt eine Auswertung der Cyberdirekt GmbH (25.10.2024).
KMU wähnen sich in trügerischer Sicherheit – und verzichten auf Notfallplan
Trotz dieser Lücken stimmen 78 Prozent der Befragten der Aussage zu: „Unsere IT-Systeme sind umfassend geschützt.“ 72 Prozent glauben, ihr Unternehmen sei zu klein, um ins Visier von Cyberkriminellen zu geraten. Und 58 Prozent sind überzeugt, dass ihre Daten für Angreifer nicht interessant seien.
Auch auf einen erfolgreichen Angriff sind viele nicht vorbereitet. „Jedes zweite Unternehmen (48 Prozent) hat für den Ernstfall keinerlei Notfallplan entwickelt“, warnt Asmussen. Konkret bedeutet das etwa, dass Ansprechpartner, Kommunikationswege und Abläufe für die Wiederherstellung von Systemen und Daten nicht definiert sind.
Hacker nutzen dabei nach wie vor vergleichsweise einfache Zugangswege. Rund ein Viertel der Unternehmen war bereits Ziel eines erfolgreichen Angriffs. Bei fast 70 Prozent dieser Fälle verschafften sich die Angreifer über eine E-Mail mit Schadsoftware Zugang zum System.
Wie viele KMU bereits über eine Cyberversicherung verfügen, teilt der GDV nicht mit. Laut KMU-Studie 2024 der Gothaer Allgemeinen Versicherung AG, für die repräsentativ 1.022 Entscheider befragt wurden, besitzen aktuell nur rund 25 Prozent der Unternehmen in diesem Segment eine Cyberpolice.
