Brojke koje objavljuje njemački Savezni ured za sigurnost informacijske tehnologije (Bundesamt für Sicherheit in der Informationstechnik – BSI) ne ostavljaju prostor za uljepšavanje stvarnosti. Njemačka se nalazi na meti kibernetičkih kriminalaca. Dugo je fokus bio usmjeren ponajprije na spektakularne hakerske napade na bolnice ili državne institucije. Oni su se smatrali simbolom digitalnih prijetnji. No scenarij prijetnji promijenio se. Više se ne razvija kroz pojedinačne, medijski eksponirane napade, nego kroz dinamiku koja je tiša, brža i sve više industrijalizirana.
Već danas svakodnevno nastaje oko 280.000 novih varijanti zlonamjernog softvera. Posebno je uočljiv razvoj kod klasičnih Windows sustava, gdje je broj malicioznih programa znatno porastao. Osiguravatelji imaju velik interes za gospodarstvo otporno na cyber-rizike. Kao dio kritične financijske i sigurnosne infrastrukture, svoju ulogu ne vide samo u reguliranju šteta, nego i u edukaciji i prevenciji.
Vlastita razina zaštite često se precjenjuje
Njemačka je u fokusu kibernetičkih napada koje podupiru države i međunarodno se ubraja među najčešće mete. Oko četvrtine globalno aktivnih APT skupina barem povremeno usmjerava svoje operacije prema njemačkim institucijama. APT označava „Advanced Persistent Threat”, odnosno visoko profesionalne, dugotrajne kibernetičke napade koje uglavnom provode državni ili s državom povezani akteri.
U globalnoj usporedbi Njemačka se tako nalazi na četvrtom mjestu, iza SAD-a, Ujedinjenog Kraljevstva i Izraela. Posebno su osjetljivi napadi na političke institucije i kritičnu infrastrukturu. Tako su kompromitirane stranačke strukture, a napadnuta je i administrativna IT infrastruktura njemačke kontrole zračnog prometa.
No dok takvi incidenti privlače pažnju javnosti, glavnina prijetnje nalazi se drugdje. Oko 80 posto registriranih ransomware napada pogađa mala i srednja poduzeća. Za promatrano razdoblje od 1. srpnja 2024. do 30. lipnja 2025. BSI je službeno evidentirao oko 950 slučajeva. Stvarni broj vjerojatno je znatno veći.
Napadači pritom slijede jasnu logiku: biraju mete s niskom razinom otpornosti i relativno slabom zaštitom. Kako proizlazi iz BSI-jeva Izvješća o stanju sigurnosti za 2025., mala i srednja poduzeća u prosjeku ispunjavaju tek nešto više od polovice osnovnih zahtjeva IT sigurnosti, dok mnoga precjenjuju vlastitu razinu zaštite.
Istodobno opada svijest o sigurnosti u svakodnevnom radu. Prema podacima BSI-ja, prosječno se koristi manje od četiri zaštitne mjere po zaposleniku, pri čemu čak i osnovne mjere poput redovitih ažuriranja, višefaktorske autentifikacije ili strukturiranog upravljanja lozinkama često ostaju neiskorištene.
Cyber-zaštita mora obuhvatiti cijelo gospodarstvo
Iz rezultata BSI-jevih izvješća Njemačko udruženje osiguravatelja (Gesamtverband der Deutschen Versicherungswirtschaft – GDV) izvodi dva ključna zaključka.
Prvo, traži da se nadležnosti BSI-ja kao savezne državne institucije za kibernetičku sigurnost snažnije prošire na cjelokupno gospodarstvo. Trenutačno ta institucija procjenjuje IT rizike prvenstveno za državna tijela i savjetuje poduzeća kritične infrastrukture u obrani od cyber-napada. Prema mišljenju GDV-a, postojeći mandat više nije dovoljan. Cyber-napadi danas pogađaju sve gospodarske sektore, a posebno su mala i srednja poduzeća sve ranjivija zbog nedostatka vlastitih zaštitnih struktura. Šire nadležnosti bolje bi odgovarale stvarnoj slici prijetnji.
Drugo, gospodarstvu je potrebna operativna podrška koja nadilazi pružanje apstraktnih kontrolnih popisa. Korištenjem jednostavnih tehničkih alata manjim gospodarskim subjektima trebalo bi omogućiti provjeru ispravne tehničke konfiguracije njihovih sustava.
Kombinacija aktivne prevencije i osigurateljne zaštite može znatno smanjiti i rizik cyber-napada i njegove financijske posljedice. Zato osiguravatelji od svojih klijenata zahtijevaju određenu razinu sigurnosti te poduzećima pomažu u provedbi odgovarajućih zaštitnih mjera.
Koliko je takav pristup učinkovit pokazuju aktualni podaci udruženja: među osiguranim poduzećima godišnje samo oko tri posto pretrpi štetu zbog cyber-napada. Viša razina zaštite u širem opsegu istodobno bi povećala otpornost njemačkog gospodarstva na cyber-rizike.