Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Finanzierung > Hauptsache versichert?

Was Unternehmen gegen Cyberkriminelle tun können

Immer öfter werden Unternehmen von Cyberkriminellen angegriffen. Zumeist werden sie von den Attacken kalt erwischt und können kaum etwas dagegen unternehmen. Und der Abschluss der richtigen Versicherung bleibt in jedem Fall immer nur die zweitbeste Lösung.

Sie sind kreativ, extrem clever und für Unternehmen ein wahrer Albtraum: Hacker erbeuten in Deutschland jährlich unzählige Daten und verursachen einen wirtschaftlichen Schaden in Milliardenhöhe. Tendenz steigend: Immer öfter kommt es zu sogenannten Cyberattacken. Zuletzt wurden Unternehmen vor allem von zwei tückischen Schadsoftwares heimgesucht: Sie tragen die Namen „WannaCry“ und „Petya“ und gehören zur Spezies der Erpressersoftware. Gelangt diese in ein Computersystem, verschlüsselt sie Datensätze. Das können zum Beispiel Kunden- und Bestelllisten, Kreditkartendaten oder andere sensible Kundendaten sein. Sind die Daten für ihren Nutzer nicht mehr zugänglich, erpressen die Hacker die betroffenen Unternehmen und drohen damit, die verschlüsselten Daten zu löschen.

Ein prominentes Opfer des Angriffs war in diesem Jahr die Deutsche Bahn, deren Anzeigetafeln und Fahrkartenautomaten durch eine Cyberattacke lahmgelegt wurden. Auch das Lukaskrankenhaus in Neuss machte einen Angriff öffentlich: Die Klinik musste ihr gesamtes IT-System herunterfahren und sogar Operationen verschieben. Aber auch internationale Unternehmen wie die Reederei Maersk oder der russische Ölkonzern Rosneft bekannten sich dazu, Opfer von Angriffen aus dem Netz geworden zu sein.

Drei Säulen der Cyberversicherung

Laut dem Industrieversicherungsmakler Marsh haben die Cyberattacken viele Unternehmen kalt erwischt. Seitdem klar sei, dass jeder Opfer eines solchen Angriffs werden könne, boome der Markt für Cyberversicherungen. Nach Angaben von Georg Bräuchle, Chief Market Officer bei Marsh, umfassen die Policen drei Bausteine: „Da sind zunächst die Instandsetzungskosten, die nach einer Cyberattacke entstehen, zum Beispiel wenn die Website über externe Dienstleister wieder aufgebaut werden muss.“ Darüber hinaus entstehen dem Unternehmen Eigenschäden, da der Betrieb unterbrochen wird. „Kritisch wird es aber vor allem, wenn durch die Cyberattacke Datenschutzvorschriften oder Persönlichkeitsrechte Dritter verletzt werden“, warnt Bräuchle. Gelangten Kundendaten in fremde Hände, sei das Unternehmen dafür haftbar.

Wie viel ein Mittelständler für die Versicherung bezahlen muss, hängt von der Deckungssumme und vom Risiko des Unternehmens ab. Die Beiträge schwanken deshalb stark. „Für Mittelständler liegen die Kosten für die Policen im Schnitt zwischen 10.000 und 20.000 Euro im Jahr“, sagt Bräuchle. Die Policen seien hierzulande aktuell sehr unternehmensfreundlich gestaltet, da es viele Anbieter gebe, die Prämien niedrig und die Deckungssumme sehr umfassend seien. „Die typische Deckungssumme liegt bei 10 Millionen bis 50 Millionen Euro“, berichtet Bräuchle. Bis vor kurzem hätte der Sonderfall einer Cybererpressung noch extra versichert werden müssen. Inzwischen sei ein solcher Schaden meist über die klassische Cyberversicherung abgedeckt.

Die zweitbeste Lösung

Nach wie vor gilt: Eine Versicherung ist nötig und sinnvoll, bleibt aber immer die zweitbeste Lösung. Vor allem auf die Vorsorge kommt es an. Das sieht auch Bräuchle so: „Die Unternehmen sollten sich darüber im Klaren sein, wo sie verwundbar sind und an welcher Stelle der Verlust über die Datenhoheit zu einem kritischen finanziellen Schaden wird. Gutes Cyberrisikomanagement bedeutet daher ein Zusammenspiel von technischen Maßnahmen und Absicherung der finanziellen Schäden.“ Hinzu kommt: Mittelständler sollten ihre Mitarbeiter für das Thema sensibilisieren und regelmäßig schulen. Denn der Mensch ist, was IT-Sicherheit angeht, noch immer der größte Risikofaktor. „Der Vorsorgeaufwand für IT-Sicherheit hat zwar keinen Einfluss auf die Höhe der Prämien, aber er ist die Voraussetzung dafür, dass Versicherer das Cyberrisiko überhaupt übernehmen“, sagt Bräuchle. Beim Abschluss einer Cyberpolice müssen Unternehmen einen umfangreichen Fragebogen ausfüllen. Neben allgemeinen Unternehmensdaten wie Umsatz oder Anzahl der Mitarbeiter müssen sie dabei auch Angaben über ihre IT-Systeme machen. „Die Versicherung soll nur das Restrisiko abdecken. Um dieses zu ermitteln, schickt die Versicherung unter Umständen auch einen Experten vorbei, um sich die IT genau anzuschauen“, erläutert Bräuchle.

Zusätzliche Würze ins Thema könnte auch die neue europäische Datenschutz-Grundverordnung bringen. Sie tritt am 25. Mai 2018 in Kraft und soll den europäischen Datenschutz endlich harmonisieren. Die Verordnung beinhaltet eine deutlich schärfere Meldepflicht bei auftretenden Datenlecks. Deshalb müssen auch mittelständische Unternehmen über interne Kontroll- und Managementsysteme verfügen. Sollten diese fehlen oder nicht ausreichend sein, drohen den Unternehmen empfindliche Strafen und Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 Prozent des globalen Jahresumsatzes. Werden datenschutzrechtliche Prinzipien verletzt, kann die Strafe sogar auf 20 Millionen Euro oder bis auf 4 Prozent des Umsatzes ansteigen.

Fake-President-Masche

In den USA müssen Datenschutzverletzungen schon lange gemeldet werden. Deswegen, so sagt Marsh-Experte Bräuchle, sei das Bewusstsein für Cyberrisiken in den Vereinigten Staaten schon deutlich stärker ausgeprägt als in Deutschland. Doch auch hierzulande sollte im Zeitalter der Digitalisierung eine Cyberversicherung zur Grundausstattung des allgemeinen Risiko- und Versicherungsmanagements eines Unternehmens gehören.

 

Mehr zum Thema Digitalisierung finden Sie auf unseren Themenseiten.

Nicht nur die Erpressungssoftware „WannaCry“ hat Unternehmen aufgeschreckt. Auch die sogenannte Fake-President-Masche setzte so manchem Mittelständler und auch nicht wenigen Konzernen stark zu. Bei dieser Betrugsvariante geben sich Betrüger als Geschäftsführer oder Finanzchef eines Unternehmens aus und veranlassen Mitarbeiter aus der Finanzabteilung, einen Geldbetrag auf ein bestimmtes Konto zu überweisen. Das aktuell bekannteste deutsche Opfer einer solchen Attacke aus dem kriminellen Off wurde vor einiger Zeit der Automobilzulieferer Leoni, bei dem Betrüger auf diese Weise 40 Millionen Euro erbeuten konnten.

Betrüger mit langem Atem

Georg Bräuchle beschreibt einen weiteren Fall aus der Praxis, bei dem zunächst die E-Mail-Korrespondenz eines Unternehmens gehackt wurde und die Cyberkriminellen sich anschließend als Finanzchef ausgaben. „Die Betrüger hatten mitbekommen, dass eine neue Leiterin für die Buchhaltung eingestellt worden war und schickten ihr gleich am ersten Tag eine Begrüßungsmail“, berichtet Bräuchle. Über ein halbes Jahr sei die Korrespondenz anschließend fortgesetzt und somit eine Vertrauensbasis geschaffen worden. Die Buchhalterin habe den vermeintlichen Finanzchef nie getroffen und nicht bemerkt, dass in der E-Mail-Adresse ein Buchstabe falsch gewesen sei. Nach einem halben Jahr habe sie dann die Anweisung erhalten, 5 Millionen Euro an einen Anwalt als Anzahlung für eine anstehende Übernahme zu überweisen. Sie tat, wie ihr geheißen – und das Unheil nahm seinen Lauf. Das Praxisbeispiel zeigt, mit welch krimineller Energie die Betrüger vorgehen und welch langen Atem sie dabei an den Tag legen.

Die Fake-President-Masche hat viele Gesichter. „Sehr beliebt ist auch, sich als Lieferant auszugeben und dem Unternehmen mitzuteilen, dass sich die Bankverbindung geändert hat, weshalb die Rechnung auf ein neues Konto erfolgen solle“, berichtet Bräuchle von einem anderen Fall aus der Praxis. Zwar bedürfe es für die Kontoeröffnung der Unterschrift zweier Mitarbeiter, eine Änderung könne jedoch zumeist von einem Buchhalter allein durchgeführt werden.

Fake-President-Versicherung gibt es nicht

Wie also kann sich ein Unternehmen gegen diese vielgesichtige Betrugsmasche wehren, die bei Unternehmen Schäden in Millionenhöhe anrichten kann? Eine eigene Fake-President-Versicherung gibt es nicht. Die Schadensfälle werden jedoch auch nicht über die übliche Cyberversicherung abgedeckt. „Die Betrugsmasche fällt unter die Vertrauensschadenversicherung“, meint Bräuchle. Diese greift dann, wenn dem Unternehmen Schaden durch betrügerisches Handeln seiner Mitarbeiter entsteht. Laut Bräuchle sei die Versicherung zuletzt jedoch um den Schutz vor der Fake-Prasident- Masche ergänzt worden. Im Gegensatz zur Cyberversicherung werden Vertrauensschadenversicherungen jedoch nur von einer Handvoll Versicherern angeboten, unter anderem von dem zum Allianz-Konzern gehörenden Kreditversicherer Euler Hermes. „Da sich die Schadensfälle häufen und sich einige Anbieter deshalb aus dem Markt zurückgezogen haben, beobachten wir bei den Vertrauensschadensversicherungen tendenziell einen leichten Anstieg der Versicherungsprämien“, sagt Bräuchle, ohne aber konkrete Beitragszahlen zu nennen.

Was bleibt im Resümee? Die Kriminalität aus dem Netz kann Mittelständlern extremen Schaden zufügen. Unternehmen sollten daher die Risiken aus Cyberattacken oder der Fake-President-Masche keinesfalls auf die leichte Schulter nehmen. Die Kosten für Versicherungen scheinen im aktuellen Marktumfeld überschaubar – zumal im Vergleich zu den möglichen Schadenssummen, die schnell zweistellige Millionenhöhe erreichen.

Fakt ist aber auch, dass die Versicherung nicht die alleinige Lösung des Problems ist. Mittelständler müssen darauf achten, ihre Mitarbeiter für die zunehmenden IT-Risiken zu sensibilisieren und die eigenen Systeme krisenfest zu machen. Denn auch bei den Angriffen aus der Anonymität des Virtuellen gilt: Gefahr erkannt, versichert, aber nicht automatisch gebannt.


Der Text gehört zu einem Thema aus der Markt-und-Mittelstand-Ausgabe 12/2017 – 01/2018. Hier können Sie das aktuelle Heft bestellen und „Markt und Mittelstand“ abonnieren.

Ähnliche Artikel