Experten prognostizieren einen Anstieg von Cybercrime und Hackerangriffen. Im Fokus stehen dabei vor allem kleine und mittelständische Unternehmen. Das BKA erfasste 2014 Schäden in Höhe von 40 Millionen Euro. Die Dunkelziffer liegt laut Experten deutlicher höher. Dass sich Unternehmen gegen die finanziellen Folgen eines Cyber-Angriffs absichern können, ist diesen kaum bekannt.
Laptops und Smartphones sind aus deutschen Firmen kaum noch wegzudenken. Die wachsende Bedeutung der digitalen Vernetzung birgt jedoch neue Risiken in sich, die bislang häufig vernachlässigt wurden. Denn schon kleine Beeinträchtigungen der Systeme gefährden das operative Geschäft. Dass man sich gegen die finanziellen Folgen von Cyber-Kriminalität absichern kann, ist vielen Unternehmern bisher noch nicht bewusst.
Hacker rüsten immer weiter auf
Unter Cybercrime oder auch e-Crime versteht man Angriffe auf IT-Infrastrukturen, um daraus wirtschaftlichen Profit zu schlagen. Nicht nur Großkonzerne sind im Visier von Angreifern, sondern vor allem kleine und mittelständische Unternehmen, die bisher wenig Handlungsbedarf im Bezug auf die Sicherheit ihrer IT-Infrastruktur gesehen haben.
Außer Firmen sind auch Regierungsbehörden in den Fokus von Hackern gerückt. So kämpfte vor kurzem der Bundestag mit den Folgen eines Hackerangriffs. Die Erneuerung der gesamten Bundestags-IT wird auf einen mehrstelligen Millionen Euro- Betrag geschätzt. Experten prophezeien einen weiteren Anstieg von Delikten. Selbst IT-Firmen wie Kaspersky sind vor Cyber-Angriffen nicht gefeit. Der Antiviren-Hersteller entdeckte im Frühjahr in seinem eigenen System einen Virus, der das Ausspionieren geheimer Programminformationen zum Ziel hatte.
Die „e-Crime Studie 2015“ von KPMG zeigt, dass Kunden-, Finanzdaten, Patente und Produktinformationen das beliebteste Diebesgut sind, weil sich mit diesen Daten das meiste Geld machen lässt: entweder durch Weiterverkauf an die Konkurrenz oder durch die Erpressung von Lösegeldern. Schaut man sich die Studienergebnisse weiter an, erfährt man, dass neben unbekannten externen Angreifern Gefahr vor allem von unachtsamen Mitarbeitern ausgeht. Oft reicht ein Klick auf den Anhang einer gefälschten E-Mail oder auf einen Facebook-Eintrag, der auf schadhafte Webseiten weiterleitet.
Meldepflichten und Bußgelder für betroffene Firmen
Damit sich das Sicherheitsniveau zumindest bei Einrichtungen wie Kraftwerken, Banken und Krankenhäusern verbessert, trat Anfang August das IT-Sicherheitsgesetz in Kraft. Dieses Gesetz sieht vor, dass Firmen und Institutionen, die zur kritischen Infrastruktur (KRITIS) gehören, einen Mindestschutz gegen Cyber-Attacken besitzen müssen. Gelingt es Angreifern, trotz Schutz die Unternehmenssysteme zu infiltrieren, müssen diese Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Stellt sich dabei heraus, dass das Unternehmen nicht ausreichend gegen Angriffe geschützt war, sind Strafen bis zu 100.000 Euro vorgesehen.
Der Bundestag geht von rund 2.000 Unternehmen aus, die als „Betreiber einer kritischen Infrastruktur“ definiert werden. Aber auch Firmen, die nicht zur kritischen Infrastruktur zählen, haben Meldepflichten und können mit Bußgeldern geahndet werden, wenn Kundendaten verloren gehen oder diese gestohlen werden. Unternehmen müssen bei Bekanntwerden des Datenklaus beziehungsweise -verlusts die davon betroffenen Kunden und die für sie zuständige Landesdatenschutzbehörde darüber unterrichten. Lässt sich die Firma zu viel Zeit oder verzichtet bewusst auf die Bekanntgabe des Vorfalls, blühen sogar Bußgelder von bis zu 300.000 Euro.
IT-Sicherheit im Unternehmen: Risikofaktor Mensch
Dass aus einer dem Anschein nach harmlosen E-Mail ein horrender Schaden entstehen kann, zeigt das folgende realistische Fallbeispiel:
Ein Mitarbeiter eines Mittelständler lädt von einer vermeintlich sicheren Seite eine Software herunter. Aufgrund mangelnder Sicherheitsvorkehrungen fällt es nicht auf, dass neben der gewünschten Software auch ein Virus den Weg in die Firmen-IT gefunden hat. Mithilfe des Trojaners können externe Angreifer wochenlang unentdeckt ausspionieren und Zahlungsdaten der Nutzer abgreifen.
Unter Forderung eines Lösegelds von 1 Millionen Euro drohen die Angreifer, die erbeuteten Zahlungsdaten in einschlägigen Kreisen zu veröffentlichen. Dank erfolgreicher Verhandlungen mit dem Erpresser wird sich auf 500.000 Euro als Lösegeldsumme geeinigt. Zudem kommen Kosten für einen Krisenmanager und einen Anwalt in Höhe von 100.000 Euro dazu. Um die Sicherheitslücke ausfindig zu machen, muss zudem ein Team aus IT-Forensikern zu Rate gezogen werden. Die Rechnung dafür beträgt 50.000 Euro.
Die Schadenssumme beläuft sich somit in unserem Fallbeispiel auf 650.000 Euro. Für viele Firmen und Einrichtungen würde dieser Betrag ein finanzielles Debakel bedeuten. Typische Betriebshaftpflichtversicherungen decken diese Fälle nur begrenzt ab, daher empfiehlt es sich, ergänzend eine sogenannte Cybercrime Versicherung abzuschließen. Dabei handelt es sich nicht nur um eine herkömmliche Versicherung, die den finanziellen Verlust bei Eigen- und Fremdschäden ausgleicht, sondern auch um eine Dienstleistungspolice.
Das mittelständische Unternehmen aus dem beschriebenen Szenario könnte auf die Partner des Versicherers zurückgreifen und sofortige Unterstützung von erfahrenen IT-Spezialisten und Krisenmanagern erhalten. Mit der zusätzlichen Versicherung wären die Anwaltskosten sowie Kosten für die Forensik und das Krisenmanagement abgedeckt.
Cybercrime Versicherung ersetzt keine IT-Sicherheit
Eine Cybercrime Versicherung ersetzt jedoch nicht das Bemühen um eine möglichst lückenlose IT-Sicherheit. Ein angemessenes Risiko-Management und passende Sicherheitsvorkehrungen machen die bestehende Gefahr erst versicherbar. Für jeden größeren Betrieb lassen sich die Risiken mit Ausfalleffektanalysen ermitteln. Sind die Gefahren bekannt, können diese auch effektiv abgesichert werden. Ein guter Versicherer legt daher Wert auf eine ausführliche Analyse, um Deckungslücken oder Überversicherung zu vermeiden. Ein Vergleich der einzelnen Versicherungsunternehmen ist aus diesem Grund empfehlenswert. Es sollte darauf geachtet werden, dass neben Eigen- und Fremdschäden auch Ausfälle durch Betriebsunterbrechung abgesichert sind.
Je nach Unternehmensform ist eine fehlende finanzielle Absicherung in Form einer Cybercrime Versicherung verheerend. Als Einzelunternehmer steht man schnell privat für entstandene Schäden gerade. Als Kapitalgesellschaft hält zwar erst einmal das Gesellschaftsvermögen als Puffer her, aber auch dieses kann im schlimmsten Fall schnell aufgebraucht sein und die Insolvenz droht. Stellt der Insolvenzverwalter fest, dass die Unternehmensführung eine Pflichtverletzung begangen hat, zum Beispiel da diese keine Versicherungen zur Absicherungen von existenziellen Schäden abgeschlossen hatte, kann der Verwalter die Unternehmensleitung privat in Haftung nehmen.
Auch ohne Insolvenz können Dritte, zum Beispiel Investoren, bei fahrlässiger Handlung privat Forderungen stellen, die im Extremfall Ansprüche an das private Vermögen der Geschäftsführung mit sich zieht. Das Risiko sollte daher nicht unterschätzt werden, vor allem von Firmen die mit sensiblen Informationen wie Kunden- und Zahlungsdaten hantieren.
Sind die Sicherheit der IT-Infrastruktur und der Versicherungsschutz gewährleistet, sind kleine und große Unternehmen für eines der größten Risiken des 21. Jahrhunderts gut gerüstet.
