Cyber-Crime: Warum Firmen das Risiko oft immer noch unterschätzen

Foto: Shutterstock

In Sachen Cyberkriminalität leben viele Unternehmen und Mittelständler nach einer gefährlichen Devise – „Problem erkannt, Gefahr verkannt.“ Heißt: Zwar nehmen die Unternehmen Viren, Ransomware, Trojaner, Phishing, Malware, Hacker und Co. durchaus als Bedrohung war. Mit Spionage oder Sabotage, die sich gezielt gegen sie selbst richtet, rechnen die meisten allerdings nicht.

Diese weitverbreitete Sorglosigkeit zeigt sich auch in der Studie „Cyberrisiken im Mittelstand 2020“ des Gesamtverbandes der deutschen Versicherungswirtschaft. 70 Prozent der befragten Unternehmer gaben hier an, dass sie das Risiko von Cyberkriminalität für mittelständische Unternehmen durchaus als „hoch“ einstufen. Allerdings sehen lediglich 28 Prozent ein Risiko für das eigene Unternehmen.

Die Realität sieht (leider) anders aus. Ganz anders. Immer häufiger werden Unternehmen von Hackern attackiert. Um es klar zu sagen: Vor Angriffen von Cyberkriminellen ist niemand sicher. Das gilt noch mehr in Pandemie-Zeiten. Covid-19 hat nicht nur unsere Art zu Leben und Arbeiten verändert, sondern auch die Taktiken von Cyberkriminellen, die für ihre Angriffe nun neue Schwachstellen ausnutzen. Diese haben sich teilweise erst durch die Pandemie-bedingten Veränderungen offenbart: So ist die verbreitete Nutzung des Home-Offices eine Herausforderung für die IT Sicherheit. Unternehmen müssen damit rechnen, dass Cyberangriffe in Zukunft deutlich zunehmen werden. Die Frage ist nicht mehr ob, sondern wann ein Unternehmen angegriffen wird.

Hacker-Aktivität steigert sich

Erste Hinweise auf verstärkte Hacker-Aktivitäten gibt es bereits. Das Berliner Cybersicherheits-Unternehmen Perseus Technologies GmbH, Partner von ERGO in Sachen IT-Sicherheit, Datenschutz und Prävention, hat herausgefunden, dass die Anzahl der Cyberattacken auf Unternehmen im ersten Halbjahr 2020 um 67 Prozent im Vergleich zum zweiten Halbjahr 2019 gestiegen ist. Die Angriffe werden zudem immer ausgefallener, komplexer und skrupelloser. Keine Branche ist sicher.

Ein Beispiel dafür ist der Angriff auf die Uniklinik in Düsseldorf im Herbst 2020. Originär galt die Attacke der Universität der Rhein-Metropole. Aufgrund der Namensgleichheit griffen die Hacker jedoch das Krankenhaus an. „Als Unternehmen sollte man sich erstens nie zurücklehnen und darauf zählen, dass man nicht in das Raster passt“, weiß Kriminalhauptkommissar Peter Vahrenhorst, Cybercrime-Experte des Landeskriminalamts Nordrhein-Westfalen. „Und man sollte sich schon gar nicht darauf verlassen, dass nur andere Branchen betroffen sind. Das wäre eine völlig falsche Sicherheit.“

Immense Schäden

Der Schaden, den diese Attacken verursachen, ist immens. Im vergangenen Jahr wurden über 100.000 Fälle von Cyberattacken gemeldet, die einen nachgewiesenen Schaden von etwa 90 Millionen Euro verursachten. Die Dunkelziffer dürfte noch deutlich höher liegen. Und: 2020 wird diese Summe ansteigen. Hier kommt – wie oben erwähnt – Covid-19 ins Spiel. Hacker nehmen die Krise zum Anlass, um Phishing-E-Mails mit Bezug zu Corona im Namen bekannter Zahlungsdienstleister, Banken oder Online- Versandhändler zu verschicken. Auch im Zusammenhang mit der Beantragung der staatlichen Corona-Soforthilfe wurden Angriffsversuche durch Fake-Webseiten gestartet.

Der Schaden entsteht immer dann, wenn die eigenen Daten und Zugangsberechtigungen gestohlen sowie genutzt oder Lösegeld für verschlüsselte Daten und Dateien durch Ransomware erpresst werden. Spätestens mit der Einführung der europäischen Datenschutzverordnung (DSVGO) im Mai 2018 haben sich die möglichen (finanziellen) Folgen eines Hacker-Angriffs noch verschärft.

Jetzt kann es auch teuer werden, wenn Angaben von Dritten (etwa Kunden-, Mitarbeiter- oder Bewerberdaten) nicht ausreichend geschützt werden. Bei Nichteinhaltung der Vorgaben drohen den verantwortlichen Unternehmen erhebliche Geldstrafen. Weil zum Beispiel Uber in diesem Sinne nicht richtig aufgepasst hat, wurde der Fahrdienstleister 2018 zu einer Strafe von satten 148 Millionen Euro verurteilt.

Viele hochgelobte Firewalls versagen

Zur ganzen Wahrheit gehört allerdings auch: Zu viele geschädigte Unternehmen machen es Cyberkriminellen aufgrund mangelnder Vorkehrungen viel zu einfach. So halten hochgelobte Firewalls noch nicht mal dem kleinsten digitalen „Stupser“ stand. Tatsächlich, das zeigen Studien, stößt jeder zweite Cyberangriff auf keine aktive Gegenwehr der Betroffenen.

Neben der richtigen und wirksamen IT spielen Mitarbeitersensibilisierung und Notfallmanagement eine wichtige Rolle – insbesondere, wenn Angestellte außerhalb der „sicheren“ IT-Infrastruktur ihres Arbeitgebers im Einsatz sind. Schließlich arbeiten seit dem ersten Corona-bedingten Lock down Mitte März 2020 viele Arbeitnehmer in den eige- nen vier Wänden.

Wirksame Prävention startet an einem einfachen Punkt: Sie beginnt damit, das Bewusstsein für die Gefahr, die von Cyberkriminalität ausgeht, zu stärken. In der Verteidigungsstrategie spielt jeder einzelne Mitarbeiter eine essentielle Rolle. Jedem im Unternehmen sollte permanent bewusst sein, dass ein falscher Klick reicht, um Cyberkriminellen – trotz aller technischer Schutzmaßnahmen – im wahrsten Sinne des Wortes Tür und Tor zu öffnen.

„Ergänzend zur technischen Vorsorge stellt die Weiterbildung und dauerhafte Sensibilisierung von Mitarbeiter einen wichtigen Schutzfaktor gegen Cyberrisiken dar“, bestätigt Christoph Holle, Chef unseres Partners Perseus Technologies. Das Unternehmen wurde im Dezember 2018 mit dem „Digitalen Leuchtturm Award“ für innovative Versicherungsprodukte von Google und der Süd- deutschen Zeitung ausgezeichnet.

Passwörter und Zugänge richtig verwalten

Wichtig ist ein bewusster Umgang mit Passwörtern und Zugängen. Zu einem guten Sicherheitsmanagement gehören auch das regelmäßige Installieren von Sicherheitsupdates der IT-Systeme und die Vorbereitung auf den Notfall. Da viele Schadprogramme per E-Mail ins Unternehmen gelangen, müssen die Mitarbeiter im Umgang mit den Programmen und Risiken geschult sein.

Und wenn doch mal ein ungebetener Gast eingedrungen ist, kommt es auf jede Minute und die richtigen Maßnahmen an. Holle: „Dann sind Schnelligkeit und das richtige Notfallmanagement gefragt. Cyberexperten müssen direkt konsultiert werden, um entsprechende Maßnahmen für ein effektives Notfallmanagement einzuleiten. Eine schelle Problemdiagnose und Systemwiederherstellung sorgt dafür, entstandene Schäden gering zu halten.“ Übersetzt heißt das: Wenn es brennt, muss sofort klar sein, wer mit welchen Methoden löscht. Dann darf nicht erst die Suche nach der Nummer der Feuerwehr beginnen.

Kein hundertprozentiger Schutz

Klar ist: Hundertprozentige Sicherheit gibt es nicht. Auch nicht mit einem höchstprofessionellem Sicherheitskonzept. Hacker entwickeln ihre Schadsoftware fortlaufend weiter. Kaum zu glauben, aber für das Jahr 2019 haben Experten einen durchschnittlichen Zuwachs von rund 312.000 neuen Varianten an Malware errechnet – pro Tag. Auch bei noch so optimalen Schutzvorkehrungen und Sicherheitseinstellungen können Unternehmen Opfer von Cyberkriminellen werden.

Da ist es gut, wenn es eine Möglichkeit gibt, das Restrisiko wirksam zu begrenzen. Hier kommt eine Cyberversicherung ins Spiel. Diese kann eine wirksame Firewall sicherlich nicht ersetzen. Aber sie kann helfen, die Folgen einer Attacke abzumildern. Eine derartige Police übernimmt sowohl Eigen- und Drittschäden als auch Serviceleistungen. Damit sind wichtige Punkte wie etwa Kosten durch Diebstähle, Unterbrechung des Geschäftsbetriebs, Schadenersatz an Dritte (zum Beispiel an Kunden wegen Daten- missbrauch), Ausgaben für IT-Experten, die den Schaden begrenzen und analysieren, sowie gegebenenfalls für Anwälte und PR- Spezialisten abgedeckt.

Die Nachfrage steigt

War die Nachfrage nach Cyberabsicherung bislang immer noch verhalten, merken wir als Versicherer gerade in der Covid-19- Pandemie, dass sich die Vorzeichen ändern. Der Digitalisierungsschub treibt auch die Nachfrage nach Cyberversicherungen. Und so wie Cyberkriminelle nachrüsten, verändern auch wir stetig die Stellschrauben.

Autor Christian Gründl ist Mitglied des Vorstands der Ergo Versicherung AG und verantwortlich für das Individualgeschäft

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments