In vielen Firmen glaubt man sich vor Hacker-Angriffen weitgehend sicher: Manche von ihnen halten sich für zu klein und unbedeutend, um für Cyberkriminelle interessant zu sein; andere schätzen ihre Sicherheitsvorkehrungen als ausreichend ein und glauben, es reiche, wenn man gut aufpasst.
Sie und viele weitere Firmen irren sich. Der IT-Branchenverband bitkom schätzt den durch Cyberkriminalität in der deutschen Wirtschaft angerichteten Schaden auf 55 Milliarden Euro pro Jahr. Das Bundesamt für Verfassungsschutz stellt es noch plastischer dar: Etwa alle drei Minuten wird die IT eines Unternehmens angegriffen. Das Fatale ist, dass zahlreiche Firmen erst mit einer großen Verzögerung bemerken, dass sie attackiert wurden. Oft vergehen mehrere Monate, bis man auf das Problem aufmerksam wird. Bis dahin wurden dann zum Beispiel Kundendaten gestohlen, interne Planungsunterlagen entwendet oder über die gehackte Telefonanlage im Ausland oder bei gebührenpflichtigen Telefonnummern angerufen und hohe Gesprächskosten erzeugt.
Schon 2017 ermittelte der Hiscox Cyber Readiness Report Schadenssummen, die kleine und mittlere Unternehmen aufhorchen lassen sollten: Danach betrug der durchschnittliche durch Cyberkriminalität erzeugte Schaden bei Betrieben mit weniger als 100 Mitarbeitern fast 22.000 Euro. Ein Betrag, der kleine Firmen empfindlich trifft.
Die Mehrzahl der 2018 vom Meinungsforschungsinstitut Forsa befragten Unternehmenschefs (72 %) hält eine Bedrohung mittelständischer Betriebe durch Cyberkriminalität für realistisch. Aber nur 34 % sahen hier eine Gefährdung für die von ihnen geleitete Firma.
Die nötigen Schadprogramme lassen sich mittlerweile frei verfügbar über das Darknet beziehen: Letztendlich ist die Leistungsfähigkeit von Hackersoftware nur eine Frage des Preises. Das gilt auch für Erpresserprogramme, die Firmendaten so lange verschlüsseln und damit unlesbar machen, bis das Unternehmen das geforderte „Lösegeld“ gezahlt hat.
Keine Frage, dass dieses Geld besser in einen wirksamen Cyberschutz angelegt werden sollte.
Inhalt des Artikel
Schadenübernahme und Service: Das bieten Cyberversicherungen
Es geht bei Cyberversicherungen nicht nur darum, den durch einen Angriff entstandenen finanziellen Schaden auszugleichen. Mindestens ebenso wichtig ist es, noch Schlimmeres zu verhindern. Deshalb zahlt eine Cyberversicherung nicht nur eine Entschädigung, sondern leistet auch ganz praktische Hilfe. Davon profitieren insbesondere kleine und mittlere Firmen, die die nötigen IT-Spezialkenntnisse nicht haben.
Cyberversicherungen bieten einen Leistungsumfang, der mindestens diese Merkmale umfasst:
- Wenn nach einem Cyberangriff die Computer nicht mehr arbeiten, die Telefonanlage unterbrochen ist und die Maschinen stillstehen, zahlt die Versicherung die durch diese Betriebsunterbrechung entstehenden Kosten. Hier sind Tagessätze üblich, deren Höhe auf der Grundlage des Jahresumsatzes, der Umsatzrendite und der Jahreskosten ermittelt werden.
- Nach Hackerattacken sind oft Daten so beschädigt, dass sie aufwendig wiederhergestellt werden müssen. Die Cyberversicherung übernimmt die Kosten für Spezialisten, die sich um die Datenrekonstruktion kümmern.
- Wie groß der Schaden nach einem Cyberangriff tatsächlich ist und wodurch er konkret verursacht wurde, stellt ein IT-Forensiker fest. Er wird von der Assekuranz beauftragt und sorgt auch für die Verhinderung von weiteren Schäden. Außerdem sichert er Beweise für einen eventuellen Gerichtsprozess.
- In zahlreichen Fällen von Cyberkriminalität spielt auch der Datenschutz eine Rolle. Sofern datenschutzrechtlich relevante Informationen gestohlen werden, finden sich Unternehmen in der Situation wieder, in Kontakt mit den Betroffenen und den Datenschutzbehörden treten und über den Vorgang aufklären zu müssen. Hierbei erhalten sie von speziell geschulten Fachanwälten Unterstützung, deren Honorar vom Versicherer übernommen wird.
- Unter das Schlagwort „Public Relations“ fallen nicht nur gute Unternehmensnachrichten, sondern auch die professionelle Kommunikation in Krisenzeiten. Keinem Unternehmen ist daran gelegen, mit Negativschlagzeilen, die die Firmenreputation beschädigen, auf sich aufmerksam zu machen. Sofern nötig, werden im Rahmen der Cyberversicherung Experten für Krisenkommunikation beauftragt. Sollte es erforderlich sein, wird bei einer Häufung von Anfragen besorgter Kunden auch ein Call-Center eingerichtet, das ebenfalls aus der Cyberversicherung bezahlt wird.
- Nicht zuletzt wirkt die Cyberversicherung wie eine Rechtsschutzversicherung. Wenn Kunden, deren Daten von Hackern entwendet wurden, Schadenersatzansprüche geltend machen, leistet die Versicherung oder wehrt unberechtigte Forderungen ab. Sie übernimmt außerdem Schäden, die entstehen, wenn Kunden durch ausbleibende Lieferungen geschädigt werden.
Unternehmen müssen für IT-Sicherheit sorgen
Für eine Cyberversicherung gilt dasselbe wie für andere Versicherungen: Ein bestimmtes Maß an Prävention wird vom Versicherten erwartet, damit im Ernstfall im vollen Umfang geleistet wird. Wer sein Haus verlässt und die Fenster weit geöffnet lässt, kann von seiner Hausratversicherung nicht erwarten, dass sie bei einem Diebstahl die vollen Schäden übernimmt. Das ist bei Cyberversicherungen ähnlich.
Den Assekuranzen ist selbstverständlich klar, dass es keinen vollständigen Schutz gegen Cyberkriminalität gibt. Aber diese Sicherheitsstandards sollten Firmen erfüllen:
- Mindestens einmal pro Woche sollten die Daten gesichert werden. Regelmäßige Backups verringern den Schaden, der durch Erpressungssoftware (Ransomware) entsteht.
- Ein aktuelles Anti-Viren-Programm, das auf der Festplatte nach Schadsoftware sucht, ist unverzichtbar.
- Betriebssysteme, Programme und Plug-Ins müssen immer auf dem neuesten Stand sein, da in den meisten Aktualisierungen auch Sicherheitspatches, die Sicherheitslücken schließen, enthalten sind. Sofern das möglich ist, sollten die Aktualisierungen automatisch durchgeführt werden.
- Das Firmennetzwerk sollte mit einer Firewall abgesichert werden. Fachleute empfehlen darüber hinaus den Einsatz von Software, die der Sicherheitsüberwachung oder der Erkennung von Eindringlingen dient.
- Neben dem Computerzugang für die tägliche Arbeit sollte immer auch ein Administrator-Zugang eingerichtet werden, der mit einem eigenen Kennwort ausgestattet wird.
- Sammelaccounts sollten immer vermieden werden, weil nicht nachvollziehbar ist, an wen und wie Passwörter weitergegeben worden sind. Deshalb sollte für jeden einzelnen Mitarbeiter ein eigener Account mit einem eigenen Passwort eingerichtet werden.
- Dass einfach strukturierte Passwörter zu den wichtigen Einfallstoren für Hacker zählen, hat sich zwar herumgesprochen, wird aber oft zu gelassen gehandhabt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt mindestens acht Stellen sowie die Benutzung von Buchstaben, Satzzeichen und Zahlen. Seine Tipps hat es ausführlich auf seiner Website erläutert. Seine Empfehlung, das Passwort regelmäßig zu wechseln, hat das BSI zwischenzeitlich zurückgezogen: Ein gutes Passwort kann jahrelang benutzt werden und sollte erst dann geändert werden, wenn es in unbefugte Hände gerät.
- Wenn Mitarbeiter auch mobile Endgeräte nutzen, besteht das Risiko, dass diese unterwegs vergessen oder gestohlen werden. Um den unberechtigten Zugriff auf die gespeicherten Daten zu verhindern, müssen die Geräte immer vollverschlüsselt und durch ein Passwort abgesichert sein.
- Backups sollten vor Manipulationen geschützt werden. Deshalb sollten Festplatten nie in der Nähe des Servers aufbewahrt werden. Am besten eignen sich Festplatten, die nach der Datensicherung vom Server abgezogen werden können.
- Sicherheitskopien sollten regelmäßig darauf überprüft werden, ob die Daten mit ihnen tatsächlich wiederhergestellt werden können.
Kosten und Ausschlüsse einer Cyberversicherung
Die fortschreitende Technisierung und Digitalisierung quer durch alle Branchen macht nicht nur die Einhaltung der Sicherheitsmaßnahmen nötig, sondern auch den Abschluss einer Cyberversicherung. Die Kosten sind nicht so hoch, dass sie ein Grund sein könnten, auf diesen Schutz zu verzichten: Die Beiträge werden anhand des Jahresumsatzes, der Unternehmensgröße sowie der vereinbarten Versicherungssumme ermittelt. Zusatzbausteine wirken sich auf die Beitragshöhe aus.
Die Cyberversicherung zahlt nicht bei einem durch Vorsatz entstandenen Schaden oder einer bewussten Pflichtverletzung. Auch Schäden infolge einer Störung der öffentlichen oder privaten Infrastruktur (Strom- oder Wasserversorgung, Telekommunikation) werden nicht übernommen.