Brandmauer und Feuerlöscher

Foto: Ergo/judith wagner
Christian Gründl gehört dem Ergo Vorstand an und ist verantwortlich für das Firmen und Industriekundengeschäft

In Sachen Cyberkriminalität leben viele Unternehmen und Mittelständler nach einer gefährlichen Devise – „Problem erkannt, Gefahr verkannt.“ Heißt: Zwar nehmen die Unternehmen Viren, Ransomware, Trojaner, Phishing, Malware, Hacker und Co. durchaus als Bedrohung war. Mit Spionage oder Sabotage, die sich gezielt gegen sie selbst richtet, rechnen die meisten allerdings nicht. Ein Beitrag von Christian Gründl, Ergo.

Diese weitverbreitete Sorglosigkeit zeigt sich auch in der Studie „Cyberrisiken im Mittelstand 2020“ des Gesamtverbandes der deutschen Versicherungswirtschaft. 70 Prozent der befragten Unternehmer gaben hier an, dass sie das Risiko von Cyberkriminalität für mittelständische Unternehmen durchaus als „hoch“ einstufen. Allerdings sehen lediglich 28 Prozent ein Risiko für das eigene Unternehmen.

Cyberattacken: Nur 28 Prozent der Firmen sehen ein Risiko für sich

Die Realität sieht (leider) anders aus. Ganz anders. Immer häufiger werden Unternehmen von Hackern attackiert. Um es klar zu sagen: Vor Angriffen von Cyberkriminellen ist niemand sicher. Das gilt noch mehr in Pandemie-Zeiten. Covid-19 hat nicht nur unsere Art zu Leben und Arbeiten verändert, sondern auch die Taktiken von Cyberkriminellen, die für ihre Angriffe nun neue Schwachstellen ausnutzen.

Diese haben sich teilweise erst durch die Pandemie-bedingten Veränderungen offenbart: So ist die verbreitete Nutzung des Home-Offices eine Herausforderung für die IT Sicherheit. Unternehmen müssen damit rechnen, dass Cyberangriffe in Zukunft deutlich zunehmen werden. Die Frage ist nicht mehr ob, sondern wann ein Unternehmen angegriffen wird.

Nicht ob, sondern wann, das ist die Frage

Erste Hinweise auf verstärkte Hacker-Aktivitäten gibt es bereits. Das Berliner Cybersicherheits-Unternehmen Perseus Technologies GmbH, Partner von Ergo in Sachen IT-Sicherheit, Datenschutz und Prävention, hat herausgefunden, dass die Anzahl der Cyberattacken auf Unternehmen im ersten Halbjahr 2020 um 67 Prozent im Vergleich zum zweiten Halbjahr 2019 gestiegen ist.

Die Angriffe werden zudem immer ausgefallener, komplexer und skrupelloser. Keine Branche ist sicher. Ein Beispiel dafür ist der Angriff auf die Uniklinik in Düsseldorf im Herbst 2020. Originär galt die Attacke der Universität der Rhein-Metropole. Aufgrund der Namensgleichheit griffen die Hacker jedoch das Krankenhaus an.

„Als Unternehmen sollte man sich erstens nie zurücklehnen und darauf zählen, dass man nicht in das Raster passt“, weiß Kriminalhauptkommissar Peter Vahrenhorst, Cybercrime-Experte des Landeskriminalamts Nordrhein-Westfalen. „Und man sollte sich schon gar nicht darauf verlassen, dass nur andere Branchen betroffen sind. Das wäre eine völlig falsche Sicherheit.“

Der Schaden, den diese Attacken verursachen, ist immens. Im vergangenen Jahr wurden über 100.000 Fälle von Cyberattacken gemeldet, die einen nachgewiesenen Schaden von etwa 90 Millionen Euro verursachten. Die Dunkelziffer dürfte noch deutlich höher liegen. Und: 2020 wird diese Summe ansteigen. Hier kommt – wie oben erwähnt – Covid-19 ins Spiel.

Hacker nehmen die Krise zum Anlass, um Phishing-E-Mails mit Bezug zu Corona im Namen bekannter Zahlungsdienstleister, Banken oder Online-Versandhändler zu verschicken. Auch im Zusammenhang mit der Beantragung der staatlichen Corona-Soforthilfe wurden Angriffsversuche durch Fake-Webseiten gestartet.

Der Schaden entsteht immer dann, wenn die eigenen Daten und Zugangsberechtigungen gestohlen sowie genutzt oder Lösegeld für verschlüsselte Daten und Dateien durch Ransomware erpresst werden. Spätestens mit der Einführung der europäischen Datenschutzverordnung (DSVGO) im Mai 2018 haben sich die möglichen (finanziellen) Folgen eines Hacker-Angriffs noch verschärft.

Jetzt kann es auch teuer werden, wenn Angaben von Dritten (etwa Kunden-, Mitarbeiter- oder Bewerberdaten) nicht ausreichend geschützt werden. Bei Nichteinhaltung der Vorgaben drohen den verantwortlichen Unternehmen erhebliche Geldstrafen. Weil zum Beispiel Uber in diesem Sinne nicht richtig aufgepasst hat, wurde der Fahrdienstleister 2018 zu einer Strafe von satten 148 Millionen Euro verurteilt.

Hochgelobte Firewalls halten selbst digitalen Stupsern nicht stand

Zur ganzen Wahrheit gehört allerdings auch: Zu viele geschädigte Unternehmen machen es Cyberkriminellen aufgrund mangelnder Vorkehrungen zu einfach. So halten hochgelobte Firewalls noch nicht mal dem kleinsten digitalen „Stupser“ stand. Tatsächlich, das zeigen Studien, stößt jeder zweite Cyberangriff auf keine aktive Gegenwehr der Betroffenen.

Neben der richtigen und wirksamen IT spielen Mitarbeitersensibilisierung und Notfallmanagement eine wichtige Rolle – insbesondere, wenn Angestellte außerhalb der „sicheren“ IT-Infrastruktur ihres Arbeitgebers im Einsatz sind. Schließlich arbeiten seit dem ersten Corona-bedingten Lock down Mitte März 2020 viele Arbeitnehmer in den eigenen vier Wänden.


Wirksame Prävention startet an einem einfachen Punkt: Sie beginnt damit, das Bewusstsein für die Gefahr, die von Cyberkriminalität ausgeht, zu stärken. In der Verteidigungsstrategie spielt jeder einzelne Mitarbeiter eine essentielle Rolle. Jedem im Unternehmen sollte permanent bewusst sein, dass ein falscher Klick reicht, um Cyberkriminellen – trotz aller technischer Schutzmaßnahmen – im wahrsten Sinne des Wortes Tür und Tor zu öffnen.

Weiterbildung ist ein wichtiger Faktor

„Ergänzend zur technischen Vorsorge stellt die Weiterbildung und dauerhafte Sensibilisierung von Mitarbeitern einen wichtigen Schutzfaktor gegen Cyberrisiken dar“, bestätigt Christoph Holle, Chef unseres Partners Perseus Technologies. Das Unternehmen wurde im Dezember 2018 mit dem „Digitalen Leuchtturm Award“ für innovative Versicherungsprodukte von Google und der Süddeutschen Zeitung ausgezeichnet.
Wichtig ist ein bewusster Umgang mit Passwörtern und Zugängen.

Zu einem guten Sicherheitsmanagement gehören auch das regelmäßige Installieren von Sicherheitsupdates der IT-Systeme und die Vorbereitung auf den Notfall. Da viele Schadprogramme per E-Mail ins Unternehmen gelangen, müssen die Mitarbeiter im Umgang mit den Programmen und Risiken geschult sein. Und wenn doch mal ein ungebetener Gast eingedrungen ist, kommt es auf jede Minute und die richtigen Maßnahmen an.

Schnelligkeit und Notfallmanagement

Holle: „Dann sind Schnelligkeit und das richtige Notfallmanagement gefragt. Cyberexperten müssen direkt konsultiert werden, um entsprechende Maßnahmen für ein effektives Notfallmanagement einzuleiten. Eine schnelle Problemdiagnose und Systemwiederherstellung sorgt dafür, entstandene Schäden gering zu halten.“

Übersetzt heißt das: Wenn es brennt, muss sofort klar sein, wer mit welchen Methoden löscht. Dann darf nicht erst die Suche nach der Nummer der Feuerwehr beginnen.

Klar ist: Hundertprozentige Sicherheit gibt es nicht. Auch nicht mit einem höchst-professionellem Sicherheitskonzept. Hacker entwickeln ihre Schadsoftware fortlaufend weiter. Kaum zu glauben, aber für das Jahr 2019 haben Experten einen durchschnittlichen Zuwachs von rund 312.000 neuen Varianten an Malware pro Tag (!) errechnet. Auch bei noch so optimalen Schutzvorkehrungen und Sicherheitseinstellungen können Unternehmen Opfer von Cyberkriminellen werden.

Das Restrisiko begrenzen

Da ist es gut, wenn es eine Möglichkeit gibt, das Restrisiko wirksam zu begrenzen. Hier kommt eine Cyberversicherung ins Spiel. Diese kann eine wirksame Firewall sicherlich nicht ersetzen. Aber sie kann helfen, die Folgen einer Attacke abzumildern. Eine derartige Police übernimmt sowohl Eigen- und Drittschäden als auch Serviceleistungen.

Damit sind wichtige Punkte wie etwa Kosten durch Diebstähle, Unterbrechung des Geschäftsbetriebs, Schadenersatz an Dritte (zum Beispiel an Kunden wegen Datenmissbrauchs), Ausgaben für IT-Experten, die den Schaden begrenzen und analysieren, sowie gegebenenfalls für Anwälte und PR-Spezialisten abgedeckt.

Cyber-Versicherungen gibt es in verschiedenen Varianten – vom sehr günstigen Basisschutz über Branchenlösungen bis hin zum umfänglichen Vollprodukt. Die Tarife sollten die komplette Cyber-Deckung mit den Bausteinen Drittschäden, Eigenschäden und Serviceleistungen/Kostenübernahme beinhalten. Zumeist können die Kunden zwischen drei Selbstbeteiligungsvarianten (1.000 Euro, 2.500 Euro und 5.000 Euro) wählen. Die Arbeit im Homeoffice sollte beitragsfrei mitversichert sein.

Worauf zu achten ist

Branchentarife gibt es für ausgewählte Branchen ( zum Beispiel Bauwirtschaft/Handwerksbetriebe, Handelsbetriebe, Gastronomiebetriebe, Vereine/Verbände/Stiftungen/Bildungseinrichtungen, Heilwesen/ Wellness). Gerade für letztere ist der Umgang mit Personen- und Sachschäden besonders wichtig.

Daher kommt der entscheidenden Absicherung von Drittschäden im Rahmen von Datenschutzverstößen (wenn zum Beispiel Patientendaten veröffentlicht werden) eine besondere Bedeutung zu. Die Differenzierung auf die verschiedenen Berufsgruppen ermöglicht uns eine passgenaue Versicherungslösung zu guten Konditionen anbieten zu können.

Mittlerweile können Cyber-Versicherungen zumeist auch online abgeschlossen werden und zeichnen sich durch vereinfachte Antragsverfahren aus. Die Prämienermittlung und der Abschluss sind sofort mithilfe von sehr wenigen Risikofragen möglich. Auf diesem Wege ist ein direkter und unkomplizierter Abschluss für kleine bis mittlere Unternehmen möglich.

Unsere Kunden haben die Cyber-Versichrungen von Beginn an sehr gut angenommen. Und auch dieser Erfolg hat – zu einem gewissen Grad – mit der Covid-19-Pandemie zu tun: Der Corona-bedingte Digitalisierungsschub verstärkt die Nachfrage nach Cyberversicherungen derzeit enorm.

Der Autor Christian Gründl ist Mitglied des Vorstands der Ergo Versicherung AG und verantwortlich für das Firmenkunden- und Industriekundengeschäft

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments