- Finanznachrichten auf Cash.Online - https://www.cash-online.de -

Cyberkriminalität: Wie sich Unternehmen schützen können

Hackerangriffe und Datenpannen treffen nicht nur Großkonzerne. Auch kleine und mittelständische Unternehmen werden regelmäßig Opfer von Cyberkriminalität und Datenschutzverletzungen. Zwei Sicherheitsstrategien sollten beachtet werden.

Gastbeitrag von André Müller, Nord/LB in Bremen.

Präventivmaßnahmen können das Risiko von Cybervorfällen zwar mindern, jedoch nie völlig ausschließen.

Der Erpressungs-Trojaner „WannaCry“ legte in diesem Jahr reihenweise Anzeigetafeln der Deutschen Bahn lahm, Hacker erbeuteten von der Kreditrating-Agentur Equifax sensible Daten von mehr als 145 Millionen US-Verbrauchern.

Cyberkriminalität [1] und Datenlecks finden vor allem dann große Aufmerksamkeit, wenn bekannte Unternehmen betroffen sind oder der Schaden astronomisch hoch ist. So kann der Eindruck entstehen, Datensicherheit sei ausschließlich das Problem einiger weniger Großkonzerne.

Doch diese Wahrnehmung trügt: Laut dem „Cyber Readiness Report 2017“ verzeichneten 54 Prozent der deutschen Unternehmen mit weniger als 250 Mitarbeitern innerhalb eines Jahres einen oder mehrere solcher „Datensicherheitsvorfälle“. Der geschätzte Schaden lag im Durchschnitt zwischen rund 22.000 und 28.000 Euro.

Unternehmen jeder Größe betroffen

Es braucht keine geheimnisvolle feindliche Organisation, die gezielt eine bestimmte Firma ins Visier nimmt, um einen Cyberschaden zu erleiden.

Es reicht schon, dass ein Mitarbeiter versehentlich auf einen infizierten E-Mail-Anhang klickt oder Datenträger mit vertraulichen Kundendaten verliert. Dies können nicht nur Festplatten oder USB-Sticks sein, sondern auch beruflich genutzte Handys und Tablets.

Mit anderen Worten: Datensicherheit [2] ist ein enorm wichtiges Thema für Unternehmen jeder Größe und betrifft multinationale Konzerne genauso wie freiberufliche Einzelkämpfer.

Datenschutz durch zwei Strategien

Im Detail hängen die zu treffenden Maßnahmen davon ab, in welcher Form und zu welchem Zweck ein Betrieb IT nutzt und welche Daten gespeichert werden und kompromittiert werden könnten.

Dies sieht bei einem Webshop mit Zahlungsabwicklung über das Internet natürlich anders aus als bei einem Restaurant, das ein digitales Bestell- und Abrechnungssystem verwendet.

Unabhängig davon gilt aber für alle Unternehmen: Der Datenschutz sollte zwei Sicherheitsstrategien umfassen. Notwendig sind zum einen Maßnahmen zur Prävention [3], die die Wahrscheinlichkeit eines Cybervorfalls soweit wie möglich reduzieren.

Zum anderen brauchen Unternehmen eine individuell angepasste Cyberversicherung, die greift, wenn die erste Sicherheitsstrategie versagt.

Seite zwei: Ursachen oft im Unternehmen selbst [4]

Grundsätzlich ist Datensicherheit in Unternehmen kein isoliertes IT-, sondern ein gesamtorganisatorisches Thema. Das Bewusstsein dafür muss bei allen Mitarbeitern vorhanden sein. Denn in den meisten Fällen liegt die Ursache für einen Cybervorfall [5] nicht außerhalb, sondern innerhalb der Unternehmen.

Dies schließt nicht nur böswilliges, sondern auch fahrlässiges oder unbedarftes Verhalten der Mitarbeiter mit ein – wie etwa das erwähnte unvorsichtige Klicken auf infizierte E-Mail-Anhänge oder Phishing-Websites.

Mitarbeiterschulungen gehören deswegen zu den wichtigsten und erfolgreichsten Maßnahmen gegen Datenschutzverletzungen. 69 Prozent der für den „Cyber Readiness Report 2017“ befragten Entscheider gaben an, dass in ihrem Unternehmen die Anzahl der schädlichen Cybervorfälle nach Datenschutz-Schulungen der Mitarbeiter zurückgegangen sei.

Software regelmäßig aktualisieren

Neben speziellen technischen Lösungen beinhaltet Prävention aber auch, die verwendete Software inklusive Betriebssystem auf dem neuesten Stand zu halten und bei Bekanntwerden von Sicherheitslücken Patches umgehend einzuspielen.

Das mag trivial klingen, aber sowohl der Erfolg der WannaCry-Attacke als auch der massive Datendiebstahl bei Equifax waren nur möglich, weil die Unternehmen nachlässig waren und längst verfügbare Sicherheitsupdates für bekannte Sicherheitslücken nicht durchführten.

Solch fahrlässiges Verhalten kann künftig zudem teuer werden. Unternehmen, die gegen das EU-Datenschutzrecht verstoßen, weil sie beispielsweise ihre Kundendaten nicht ausreichend sichern, müssen ab 2018 mit Bußgeldern in Höhe von bis zu vier Prozent ihres Jahresumsatzes rechnen.

Individuelle Cyberversicherung

Präventivmaßnahmen können das Risiko für Cybervorfälle zwar mindern, aber nie völlig ausschließen. Aus diesem Grund ist als zweite Sicherheitsstrategie eine Cyberversicherung [6] notwendig.

Dabei handelt es sich nicht um ein einheitliches Produkt, sondern die Police wird je nach Gefährdungslage, Branche und Versicherungssumme individuell zusammengestellt.

Je nach gewähltem Schutz können sowohl Eigen- und Fremdschäden als auch Servicekosten abgedeckt werden.

Bausteine der Cyberversicherung

Abgesichert werden können zum Beispiel Umsatzverluste aufgrund einer Betriebsunterbrechung infolge eines Hackerangriffs, eines Cloud-Ausfalls oder eines Bedienfehlers, aber auch Schadenersatzansprüche Dritter.

Dies können zum Beispiel Kunden sein, deren Daten gestohlen wurden, oder Personen, deren Computer ungewollt über die Firmen-IT mit Viren infiziert wurden.

Außerdem kann eine Cyberversicherung Kosten für die Wiederherstellung verlorener Daten und die Suche nach der Schadensursache mithilfe von Cyber-Forensikern erstatten.  Gegebenenfalls werden auch Ausgaben für eine juristische Beratung und PR- Maßnahmen zur Sicherung des eigenen Rufs übernommen.

Welche Bausteine einer Cyberversicherung ein Unternehmen abschließen sollte, hängt neben der individuellen Gefährdungslage [7] auch davon ab, welche Probleme die Firma mit ihren vorhandenen Ressourcen selbst zu lösen imstande ist. Kurz gesagt: Die Versicherung sollte diejenigen Risiken abdecken, die die Firma nicht mit „Bordmitteln“ beherrschen kann.

Lesen Sie den vollständigen Artikel in der aktuellen Cash.-Ausgabe 12/2017. [8]

Autor André Müller ist Spezialist für Versicherungen bei der Nord/LB in Bremen.

Foto: Shutterstock

 

Mehr Beiträge zum Thema Cyberpolicen:

Mehrheit wünscht sich Sicherheitssiegel im Internet [9]

Tech-Firmen stopfen Sicherheitslücke in WLAN-Verschlüsselung [10]

Cyber-Attacken: Deutsche Unternehmer ohne ausreichenden Schutz [11]