Hilfe, meine Firma wurde gehackt!
Wie jeden Morgen sitzt Hotelier Mirko Laaser in seinem Büro vor dem Rechner und checkt eilig seine Mails. Gibt es wichtige Anfragen? Sind eilige Rechnungen zu begleichen, Buchungen zu vermerken? Dabei fällt ihm eine Blindbewerbung ins Auge: Ein gewisser Rolf Drescher möchte in seinem Hotel anfangen zu arbeiten.
Die Nachricht klingt interessant. Laaser braucht immer Helfer, besonders jetzt, wo die Wintersaison begonnen hat. In seinem „Forellenhof“ in Wingeshausen direkt am Rothaargebirge strömen die Gäste im Herbst und der Vorweihnachtszeit herbei. Sie wollen wandern gehen und sich in Ruhe ausschlafen, das winterliche Klima geniessen.
Rasch klickt Laaser auf den Lebenslauf, den der Unbekannte mitgeschickt hat und, – das Unglück nimmt seinen Lauf: Mit einem Schlag sind alle Buchungen für den „Forellenhof“ verschwunden, die Kassenbücher vernichtet. Rolf Drescher war kein Bewerber, sondern ein Schadprogramm. Sämtliche Schutzmechanismen haben versagt. Der Betrieb ist bis aufs Weitere lahm gelegt.
Cyber-Angriffe gehören zum beruflichen Alltag
So kann es fast jedem ergehen. Cyber-Angriffe gehören inzwischen zum beruflichen Alltag. Die Studie „Cyber Readiness 2017“ von Hiscox Insurance Company Ltd. und Forrester Consulting hat gezeigt, dass im vergangenen Jahr 56 Prozent der befragten deutschen Unternehmer schon mindestens einen Cyber-Angriff auf ihr Netzwerk festgestellt haben.
Insbesondere mittelständische Betriebe sind kaum darauf vorbereitet. Zwar hat jeder schon einmal von Hackerangriffen gehört und das ein- oder andere dazu gelesen, aber die meisten nehmen selbstverständlich an, allein die grossen Firmen und Netzwerke seien potentielle Ziele solcher Attacken. Nur wenige sind auf den neuen Bedarf eingestellt. Dreißig Prozent der befragten Unternehmen erwägten zum Zeitpunkt der Studie, sich künftig gegen Cyber-Attacken zu schützen.
Lösungen für kleine und mittelständische Unternehmen erforderlich
Eine neue Initiative – angeführt vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) – will ihnen entgegenkommen und das Generieren von passenden Cyberpolicen für kleinere Unternehmen erleichtern. „Wir brauchten eine Lösung, die nicht nur auf die großen Konzerne zielt, sondern auf den in Deutschland besonders ausgeprägten Mittelstand und die vielen kleineren Unternehmen“, sagt Thomas Pache, Sprecher der Arbeitsgruppe Cyberversicherung beim GDV. Zu einem Weltkonzern könne ein Versicherer hinfahren, um zu prüfen, welche Sicherheitskonzepte vorhanden seien und welche Risiken dort lauerten. „Bei einem einzelnen Selbstständigen ist dieser Aufwand zu groß“, sagt Pache.
Mit sogenannten Musterbedingungen haben sich die Versicherer auf ein Grundgerüst geeinigt, quasi einen Bauplan, mit dem jeder Versicherer Cyberpolicen für seine Kunden erstellen kann. Ein einfacher Fragebogen soll bei vielen Anbietern ausreichen, um das Risiko zu ermitteln und sich gegen die häufigsten Gefahren des Netzes absichern zu können. Schon ein grundlegender Standard könnte für die IT-Sicherheit helfen und dafür sorgen, dass sich der Schutz vor Trojanern, Viren und Hackern in den Betrieben flächendeckend etabliert. „Cyberpolicen sollten die gleiche Bedeutung wie die traditionelle Feuerversicherung haben“, sagt Mathias Kohl, Leiter des Versicherungsgeschäfts beim Medizintechnik-Hersteller Dräger. Cyberschutz muss bei Unternehmen im 21. Jahrhundert zur Grundausstattung des allgemeinen Risiko- und Versicherungs-Managements gehören.
Der Bedarf in Deutschland ist riesig. Mittelständler wie das Hotel „Forellenhof“ bilden das Rückgrat der deutschen Wirtschaft. 96,6 Prozent der Unternehmen sind Betriebe mit weniger als 10 Millionen Euro Umsatz: Handwerker, Rechtsanwälte, Ärzte, kleine Fabriken, die Boutique um die Ecke zählen dazu. Sie alle sind für Hacker lohnende Ziele. Kaum ein Betrieb, der heute noch ohne Computer auskommt: Termine, Patente, Abrechnungen, Fertigungspläne oder Patienteninformationen – alles landet auf dem Rechner. Und alles können Cyberkriminelle zu Geld machen, indem sie die Daten ausspionieren, zerstören oder den Zugriff darauf blockieren.
Cyberversicherung sollte gegen mehrere Gefahren absichern
„Wir haben es hier mit einem ganz neuen Risiko in einer immer komplexeren technischen Umwelt zu tun“, erklärt Pache. Weil Computer und IT in fast jedem Betrieb eine Rolle spielen und es nicht nur eine Gefahr aus dem Netz gibt, sollte die Cyberversicherung gleich gegen mehrere Gefahren absichern.
Die Musterbedingungen sehen sechs Leistungsbausteine vor, die Firmen gegen Datenklau, Datenverlust, Schadenersatzansprüche und Betriebsunterbrechungen absichern. Versicherer ersetzen dabei nicht nur Schäden: Ihre Arbeit beginnt damit, herauszufinden, was eigentlich passiert ist, ob überhaupt ein Versicherungsfall vorliegt und wie umfangreich der Schaden ist. Während ein Laie den Hergang eines Verkehrsunfalls noch ungefähr rekonstruieren kann, blickt er nach einer Cyberattacke meist nur ratlos auf einen blauen Bildschirm. „Deshalb muss die Unterstützung der Versicherten durch IT-Spezialisten elementarer Bestandteil einer Cyberversicherung sein“, erklärt Pache. Auch für Hotelier Laaser und seinen „Forellenhof“ liesse sich leicht eine Lösung finden.
Bei einer Cyberversicherung handelt es sich – ganz allgemein gesprochen – um eine fakultative Zusatzversicherung, die bei Schäden im Zusammenhang mit Hacker-Angriffen oder sonstigen Akten von Cyberkriminalität zum Tragen kommt. Da es sich dabei um eine noch junge Versicherungssparte handelt, gibt es bislang keine einheitliche Bezeichnungen. Solche Versicherungen heißen Data Protect, Datenschutz-Versicherung, Data-Risk, Cyber-Deckung oder Hacker-Versicherung. Ergänzende Angebote bieten unter anderem die Elektronik- beziehungsweise Datenträgerversicherung.
Die Musterbedingungen und der Risikofragebogen, den der GDV im April 2017 entwickelt hat, richtet sich an Unternehmen mit bis zu 250 Mitarbeitern und einem jährlichen Umsatz bis zu 50 Millionen Euro. Sie dienen dazu, dass Unternehmer und Makler einen Vergleichsmaßstab haben, um individuelle Versicherungsangebote zu bewerten. Der Fragebogen gibt Auskunft über die Schwachstellen der firmeneigenen IT.
Dabei dienen Cyberversicherungen nicht nur dazu, den direkten Schaden auszugleichen, den der Angriff verursacht hat, sondern decken vor allem die Kosten, die mit der Wiederherstellung der Geschäftstätigkeit verbunden sind. Dazu gehören die Reparatur der IT-Systeme, die Beauftragung externer Computer-Forensik-Analysten, die Bezahlung spezialisierter Anwälte oder auch der strafrechtlichen Verteidigung (Internet-Straf-Rechtsschutz) – um nur einige Massnahmen zu nennen.
Ergänzung durch Betriebsunterbrechungs- und Ertragsausfallversicherung sinnvoll
Für Betreiber von Webshops oder sonstigen E‑Commerce-Anwendungen kann der Versicherungsumfang zum Beispiel auch durch eine Betriebsunterbrechungsversicherung bzw. Ertragsausfallversicherung ergänzt werden. In diesem Fall erhält der Versicherungsnehmer für einen erheblichen Umsatzausfall seines Shops (etwa aufgrund eines Hackerangriffs oder einer DoS-Attacke) eine finanzielle Kompensation. Vergleichbar sind diese Leistungserweiterungen mit einer herkömmlichen Betriebsunterbrechungsversicherung (kurz BU), die bei traditionellen Gefahren wie Feuer oder Wasserschäden in Kraft tritt. In der Regel orientiert sich dabei die Leistung des Versicherers an der Ausfallzeit pro Stunde.
In der Tat hat die Internetkriminalität in den vergangenen Jahren deutlich zugenommen. Allein 2012 wurden in Deutschland rund 64.000 Fälle von Cybercrime aufgezeichnet. Ein erfolgreicher Hacker-Angriff auf ein Großunternehmen verursacht einen durchschnittlichen wirtschaftlichen Schaden von 1,8 Millionen Euro. Bei kleinen und mittelständischen Unternehmen liegt der Durchschnittswert bei 70.000 Euro. Der Schaden, der sich aus allen Hacker-Angriffen auf deutsche Firmen insgesamt pro Jahr ergibt, lag 2011 laut Bundeskriminalamt bei 70,2 Millionen Euro. Aktuellere Angaben sprechen von Zahlen in Höhe von inzwischen 50 Milliarden Euro. Im Gespräch mit dem Berliner „Tagesspiegel“ bestätige Hans-Georg Maaßen, Präsident vom Bundesamt für Verfassungsschutz diese Zahl. Eine genaue Zahl lasse sich nicht nennen, da viele Angriffe erst spät entdeckt würden.
Da die Dunkelziffern sehr hoch sind, ist zu vermuten, dass der tatsächliche wirtschaftliche Schaden um ein Vielfaches höher ist. Während in Deutschland bislang wenige Unternehmen über eigene Versicherung gegen die Risiken der Internetkriminalität verfügen, sind diese unter US-amerikanischen Firmen bereits relativ verbreitet: Das Prämienvolumen für Cyberversicherungen beträgt dort derzeit rund eine Milliarde US-Dollar jährlich.
Artikel in Ihrem Netzwerk teilen
