google translate
GRAF BRÜHL Online-Magazin

Hilfe, meine Firma wurde gehackt!

Wie jeden Morgen sitzt Hote­lier Mirko Laaser in seinem Büro vor dem Rechner und checkt eilig seine Mails. Gibt es wich­tige Anfragen? Sind eilige Rech­nungen zu beglei­chen, Buchungen zu vermerken? Dabei fällt ihm eine Blind­be­wer­bung ins Auge: Ein gewisser Rolf Drescher möchte in seinem Hotel anfangen zu arbeiten.

Die Nach­richt klingt inter­es­sant. Laaser braucht immer Helfer, beson­ders jetzt, wo die Winter­saison begonnen hat. In seinem „Forel­lenhof“ in Winge­shausen direkt am Rothaar­ge­birge strömen die Gäste im Herbst und der Vorweih­nachts­zeit herbei. Sie wollen wandern gehen und sich in Ruhe ausschlafen, das winter­liche Klima geniessen.

Rasch klickt Laaser auf den Lebens­lauf, den der Unbe­kannte mitge­schickt hat und, – das Unglück nimmt seinen Lauf: Mit einem Schlag sind alle Buchungen für den „Forel­lenhof“ verschwunden, die Kassen­bü­cher vernichtet. Rolf Drescher war kein Bewerber, sondern ein Schad­pro­gramm. Sämt­liche Schutz­me­cha­nismen haben versagt. Der Betrieb ist bis aufs Weitere lahm gelegt.

Cyber-Angriffe gehören zum beruf­li­chen Alltag

So kann es fast jedem ergehen. Cyber-Angriffe gehören inzwi­schen zum beruf­li­chen Alltag. Die Studie „Cyber Readi­ness 2017“ von Hiscox Insurance Company Ltd. und Forrester Consul­ting hat gezeigt, dass im vergan­genen Jahr 56 Prozent der befragten deut­schen Unter­nehmer schon mindes­tens einen Cyber-Angriff auf ihr Netz­werk fest­ge­stellt haben.

Insbe­son­dere mittel­stän­di­sche Betriebe sind kaum darauf vorbe­reitet. Zwar hat jeder schon einmal von Hacker­an­griffen gehört und das ein- oder andere dazu gelesen, aber die meisten nehmen selbst­ver­ständ­lich an, allein die grossen Firmen und Netz­werke seien poten­ti­elle Ziele solcher Atta­cken. Nur wenige sind auf den neuen Bedarf einge­stellt. Dreißig Prozent der befragten Unter­nehmen erwägten zum Zeit­punkt der Studie, sich künftig gegen Cyber-Atta­cken zu schützen.

Lösungen für kleine und mittel­stän­di­sche Unter­nehmen erfor­der­lich

Eine neue Initia­tive – ange­führt vom Gesamt­ver­band der Deut­schen Versi­che­rungs­wirt­schaft (GDV) – will ihnen entge­gen­kommen und das Gene­rieren von passenden Cyber­po­licen für klei­nere Unter­nehmen erleich­tern. „Wir brauchten eine Lösung, die nicht nur auf die großen Konzerne zielt, sondern auf den in Deutsch­land beson­ders ausge­prägten Mittel­stand und die vielen klei­neren Unter­nehmen“, sagt Thomas Pache, Spre­cher der Arbeits­gruppe Cyber­ver­si­che­rung beim GDV. Zu einem Welt­kon­zern könne ein Versi­cherer hinfahren, um zu prüfen, welche Sicher­heits­kon­zepte vorhanden seien und welche Risiken dort lauerten. „Bei einem einzelnen Selbst­stän­digen ist dieser Aufwand zu groß“, sagt Pache.

Mit soge­nannten Muster­be­din­gungen haben sich die Versi­cherer auf ein Grund­ge­rüst geei­nigt, quasi einen Bauplan, mit dem jeder Versi­cherer Cyber­po­licen für seine Kunden erstellen kann. Ein einfa­cher Frage­bogen soll bei vielen Anbie­tern ausrei­chen, um das Risiko zu ermit­teln und sich gegen die häufigsten Gefahren des Netzes absi­chern zu können. Schon ein grund­le­gender Stan­dard könnte für die IT-Sicher­heit helfen und dafür sorgen, dass sich der Schutz vor Troja­nern, Viren und Hackern in den Betrieben flächen­de­ckend etabliert. „Cyber­po­licen sollten die gleiche Bedeu­tung wie die tradi­tio­nelle Feuer­ver­si­che­rung haben“, sagt Mathias Kohl, Leiter des Versi­che­rungs­ge­schäfts beim Medi­zin­technik-Hersteller Dräger. Cyber­schutz muss bei Unter­nehmen im 21. Jahr­hun­dert zur Grund­aus­stat­tung des allge­meinen Risiko- und Versi­che­rungs-Manage­ments gehören.

Der Bedarf in Deutsch­land ist riesig. Mittel­ständler wie das Hotel „Forel­lenhof“ bilden das Rück­grat der deut­schen Wirt­schaft. 96,6 Prozent der Unter­nehmen sind Betriebe mit weniger als 10 Millionen Euro Umsatz: Hand­werker, Rechts­an­wälte, Ärzte, kleine Fabriken, die Boutique um die Ecke zählen dazu. Sie alle sind für Hacker lohnende Ziele. Kaum ein Betrieb, der heute noch ohne Computer auskommt: Termine, Patente, Abrech­nungen, Ferti­gungs­pläne oder Pati­en­ten­in­for­ma­tionen – alles landet auf dem Rechner. Und alles können Cyber­kri­mi­nelle zu Geld machen, indem sie die Daten ausspio­nieren, zerstören oder den Zugriff darauf blockieren.

Cyber­ver­si­che­rung sollte gegen mehrere Gefahren absi­chern

„Wir haben es hier mit einem ganz neuen Risiko in einer immer komple­xeren tech­ni­schen Umwelt zu tun“, erklärt Pache. Weil Computer und IT in fast jedem Betrieb eine Rolle spielen und es nicht nur eine Gefahr aus dem Netz gibt, sollte die Cyber­ver­si­che­rung gleich gegen mehrere Gefahren absi­chern.

Die Muster­be­din­gungen sehen sechs Leis­tungs­bau­steine vor, die Firmen gegen Daten­klau, Daten­ver­lust, Scha­den­er­satz­an­sprüche und Betriebs­un­ter­bre­chungen absi­chern. Versi­cherer ersetzen dabei nicht nur Schäden: Ihre Arbeit beginnt damit, heraus­zu­finden, was eigent­lich passiert ist, ob über­haupt ein Versi­che­rungs­fall vorliegt und wie umfang­reich der Schaden ist. Während ein Laie den Hergang eines Verkehrs­un­falls noch unge­fähr rekon­stru­ieren kann, blickt er nach einer Cyber­at­tacke meist nur ratlos auf einen blauen Bild­schirm. „Deshalb muss die Unter­stüt­zung der Versi­cherten durch IT-Spezia­listen elemen­tarer Bestand­teil einer Cyber­ver­si­che­rung sein“, erklärt Pache. Auch für Hote­lier Laaser und seinen „Forel­lenhof“ liesse sich leicht eine Lösung finden.

Bei einer Cyber­ver­si­che­rung handelt es sich – ganz allge­mein gespro­chen – um eine fakul­ta­tive Zusatz­ver­si­che­rung, die bei Schäden im Zusam­men­hang mit Hacker-Angriffen oder sons­tigen Akten von Cyber­kri­mi­na­lität zum Tragen kommt. Da es sich dabei um eine noch junge Versi­che­rungs­sparte handelt, gibt es bislang keine einheit­liche Bezeich­nungen. Solche Versicherungen heißen Data Protect, Daten­schutz-Versi­che­rung, Data-Risk, Cyber-Deckung oder Hacker-Versi­che­rung. Ergän­zende Ange­bote bieten unter anderem die Elek­tronik- bezie­hungs­weise Daten­trä­ger­ver­si­che­rung.

Die Muster­be­din­gungen und der Risi­ko­fra­ge­bogen, den der GDV im April 2017 entwi­ckelt hat, richtet sich an Unter­nehmen mit bis zu 250 Mitar­bei­tern und einem jähr­li­chen Umsatz bis zu 50 Millionen Euro. Sie dienen dazu, dass Unter­nehmer und Makler einen Vergleichs­maß­stab haben, um indi­vi­du­elle Versi­che­rungs­an­ge­bote zu bewerten. Der Frage­bogen gibt Auskunft über die Schwach­stellen der firmen­ei­genen IT.

Dabei dienen Cyber­ver­si­che­rungen nicht nur dazu, den direkten Schaden auszu­glei­chen, den der Angriff verur­sacht hat, sondern decken vor allem die Kosten, die mit der Wieder­her­stel­lung der Geschäfts­tä­tig­keit verbunden sind. Dazu gehören die Repa­ratur der IT-Systeme, die Beauf­tra­gung externer Computer-Forensik-Analysten, die Bezah­lung spezia­li­sierter Anwälte oder auch der straf­recht­li­chen Vertei­di­gung (Internet-Straf-Rechts­schutz) – um nur einige Mass­nahmen zu nennen.

Ergän­zung durch Betriebs­un­ter­brech­nungs- und Ertrags­aus­fall­ver­si­che­rung sinn­voll

Für Betreiber von Webshops oder sons­tigen E‑Com­merce-Anwen­dungen kann der Versi­che­rungs­um­fang zum Beispiel auch durch eine Betriebs­un­ter­bre­chungs­ver­si­che­rung bzw. Ertrags­aus­fall­ver­si­che­rung ergänzt werden. In diesem Fall erhält der Versi­che­rungs­nehmer für einen erheb­li­chen Umsatz­aus­fall seines Shops (etwa aufgrund eines Hacker­an­griffs oder einer DoS-Attacke) eine finan­zi­elle Kompen­sa­tion. Vergleichbar sind diese Leis­tungs­er­wei­te­rungen mit einer herkömm­li­chen Betriebs­un­ter­bre­chungs­ver­si­che­rung (kurz BU), die bei tradi­tio­nellen Gefahren wie Feuer oder Wasser­schäden in Kraft tritt. In der Regel orien­tiert sich dabei die Leis­tung des Versi­che­rers an der Ausfall­zeit pro Stunde.

In der Tat hat die Inter­net­kri­mi­na­lität in den vergan­genen Jahren deut­lich zuge­nommen. Allein 2012 wurden in Deutsch­land rund 64.000 Fälle von Cybercrime aufge­zeichnet. Ein erfolg­rei­cher Hacker-Angriff auf ein Groß­un­ter­nehmen verur­sacht einen durch­schnitt­li­chen wirt­schaft­li­chen Schaden von 1,8 Millionen Euro. Bei kleinen und mittel­stän­di­schen Unter­nehmen liegt der Durch­schnitts­wert bei 70.000 Euro. Der Schaden, der sich aus allen Hacker-Angriffen auf deut­sche Firmen insge­samt pro Jahr ergibt, lag 2011 laut Bundes­kri­mi­nalamt bei 70,2 Millionen Euro. Aktu­el­lere Angaben spre­chen von Zahlen in Höhe von inzwi­schen 50 Milli­arden Euro. Im Gespräch mit dem Berliner „Tages­spiegel“ bestä­tige Hans-Georg Maaßen, Präsi­dent vom Bundesamt für Verfas­sungs­schutz diese Zahl. Eine genaue Zahl lasse sich nicht nennen, da viele Angriffe erst spät entdeckt würden.

Da die Dunkel­zif­fern sehr hoch sind, ist zu vermuten, dass der tatsäch­liche wirt­schaft­liche Schaden um ein Viel­fa­ches höher ist. Während in Deutsch­land bislang wenige Unter­nehmen über eigene Versi­che­rung gegen die Risiken der Inter­net­kri­mi­na­lität verfügen, sind diese unter US-ameri­ka­ni­schen Firmen bereits relativ verbreitet: Das Prämi­en­vo­lumen für Cyber­ver­si­che­rungen beträgt dort derzeit rund eine Milli­arde US-Dollar jähr­lich.

Artikel in Ihrem Netz­werk teilen

Menü schließen
Senden Sie uns eine Nach­richt
Schließen
Please select menu on current page.
Secured By miniOrange