GRAF BRÜHL Online-Magazin

Hilfe, meine Firma wurde gehackt!

Wie jeden Morgen sitzt Hotelier Mirko Laaser in seinem Büro vor dem Rechner und checkt eilig seine Mails. Gibt es wichtige Anfragen? Sind eilige Rechnungen zu begleichen, Buchungen zu vermerken? Dabei fällt ihm eine Blind­be­werbung ins Auge: Ein gewisser Rolf Drescher möchte in seinem Hotel anfangen zu arbeiten.

Die Nachricht klingt inter­essant. Laaser braucht immer Helfer, besonders jetzt, wo die Winter­saison begonnen hat. In seinem „Forel­lenhof“ in Winge­shausen direkt am Rothaar­ge­birge strömen die Gäste im Herbst und der Vorweih­nachtszeit herbei. Sie wollen wandern gehen und sich in Ruhe ausschlafen, das winter­liche Klima geniessen.

Rasch klickt Laaser auf den Lebenslauf, den der Unbekannte mitge­schickt hat und, – das Unglück nimmt seinen Lauf: Mit einem Schlag sind alle Buchungen für den „Forel­lenhof“ verschwunden, die Kassen­bücher vernichtet. Rolf Drescher war kein Bewerber, sondern ein Schad­pro­gramm. Sämtliche Schutz­me­cha­nismen haben versagt. Der Betrieb ist bis aufs Weitere lahm gelegt.

Cyber-Angriffe gehören zum beruf­lichen Alltag

So kann es fast jedem ergehen. Cyber-Angriffe gehören inzwi­schen zum beruf­lichen Alltag. Die Studie „Cyber Readiness 2017“ von Hiscox Insurance Company Ltd. und Forrester Consulting hat gezeigt, dass im vergan­genen Jahr 56 Prozent der befragten deutschen Unter­nehmer schon mindestens einen Cyber-Angriff auf ihr Netzwerk festge­stellt haben.

Insbe­sondere mittel­stän­dische Betriebe sind kaum darauf vorbe­reitet. Zwar hat jeder schon einmal von Hacker­an­griffen gehört und das ein- oder andere dazu gelesen, aber die meisten nehmen selbst­ver­ständlich an, allein die grossen Firmen und Netzwerke seien poten­tielle Ziele solcher Attacken. Nur wenige sind auf den neuen Bedarf einge­stellt. Dreißig Prozent der befragten Unter­nehmen erwägten zum Zeitpunkt der Studie, sich künftig gegen Cyber-Attacken zu schützen.

Lösungen für kleine und mittel­stän­dische Unter­nehmen erfor­derlich

Eine neue Initiative – angeführt vom Gesamt­verband der Deutschen Versi­che­rungs­wirt­schaft (GDV) – will ihnen entge­gen­kommen und das Generieren von passenden Cyber­po­licen für kleinere Unter­nehmen erleichtern. „Wir brauchten eine Lösung, die nicht nur auf die großen Konzerne zielt, sondern auf den in Deutschland besonders ausge­prägten Mittel­stand und die vielen kleineren Unter­nehmen“, sagt Thomas Pache, Sprecher der Arbeits­gruppe Cyber­ver­si­cherung beim GDV. Zu einem Weltkonzern könne ein Versi­cherer hinfahren, um zu prüfen, welche Sicher­heits­kon­zepte vorhanden seien und welche Risiken dort lauerten. „Bei einem einzelnen Selbst­stän­digen ist dieser Aufwand zu groß“, sagt Pache.

Mit sogenannten Muster­be­din­gungen haben sich die Versi­cherer auf ein Grund­gerüst geeinigt, quasi einen Bauplan, mit dem jeder Versi­cherer Cyber­po­licen für seine Kunden erstellen kann. Ein einfacher Frage­bogen soll bei vielen Anbietern ausreichen, um das Risiko zu ermitteln und sich gegen die häufigsten Gefahren des Netzes absichern zu können. Schon ein grund­le­gender Standard könnte für die IT-Sicherheit helfen und dafür sorgen, dass sich der Schutz vor Trojanern, Viren und Hackern in den Betrieben flächen­de­ckend etabliert. „Cyber­po­licen sollten die gleiche Bedeutung wie die tradi­tio­nelle Feuer­ver­si­cherung haben“, sagt Mathias Kohl, Leiter des Versi­che­rungs­ge­schäfts beim Medizin­technik-Hersteller Dräger. Cyber­schutz muss bei Unter­nehmen im 21. Jahrhundert zur Grund­aus­stattung des allge­meinen Risiko- und Versi­che­rungs-Manage­ments gehören.

Der Bedarf in Deutschland ist riesig. Mittel­ständler wie das Hotel „Forel­lenhof“ bilden das Rückgrat der deutschen Wirtschaft. 96,6 Prozent der Unter­nehmen sind Betriebe mit weniger als 10 Millionen Euro Umsatz: Handwerker, Rechts­an­wälte, Ärzte, kleine Fabriken, die Boutique um die Ecke zählen dazu. Sie alle sind für Hacker lohnende Ziele. Kaum ein Betrieb, der heute noch ohne Computer auskommt: Termine, Patente, Abrech­nungen, Ferti­gungs­pläne oder Patien­ten­in­for­ma­tionen – alles landet auf dem Rechner. Und alles können Cyber­kri­mi­nelle zu Geld machen, indem sie die Daten ausspio­nieren, zerstören oder den Zugriff darauf blockieren.

Cyber­ver­si­cherung sollte gegen mehrere Gefahren absichern

„Wir haben es hier mit einem ganz neuen Risiko in einer immer komple­xeren techni­schen Umwelt zu tun“, erklärt Pache. Weil Computer und IT in fast jedem Betrieb eine Rolle spielen und es nicht nur eine Gefahr aus dem Netz gibt, sollte die Cyber­ver­si­cherung gleich gegen mehrere Gefahren absichern.

Die Muster­be­din­gungen sehen sechs Leistungs­bau­steine vor, die Firmen gegen Datenklau, Daten­verlust, Schaden­er­satz­an­sprüche und Betriebs­un­ter­bre­chungen absichern. Versi­cherer ersetzen dabei nicht nur Schäden: Ihre Arbeit beginnt damit, heraus­zu­finden, was eigentlich passiert ist, ob überhaupt ein Versi­che­rungsfall vorliegt und wie umfang­reich der Schaden ist. Während ein Laie den Hergang eines Verkehrs­un­falls noch ungefähr rekon­stru­ieren kann, blickt er nach einer Cyber­at­tacke meist nur ratlos auf einen blauen Bildschirm. „Deshalb muss die Unter­stützung der Versi­cherten durch IT-Spezia­listen elemen­tarer Bestandteil einer Cyber­ver­si­cherung sein“, erklärt Pache. Auch für Hotelier Laaser und seinen „Forel­lenhof“ liesse sich leicht eine Lösung finden.

Bei einer Cyber­ver­si­cherung handelt es sich – ganz allgemein gesprochen – um eine fakul­tative Zusatz­ver­si­cherung, die bei Schäden im Zusam­menhang mit Hacker-Angriffen oder sonstigen Akten von Cyber­kri­mi­na­lität zum Tragen kommt. Da es sich dabei um eine noch junge Versi­che­rungs­sparte handelt, gibt es bislang keine einheit­liche Bezeich­nungen. Solche Versi­che­rungen heißen Data Protect, Daten­schutz-Versi­cherung, Data-Risk, Cyber-Deckung oder Hacker-Versi­cherung. Ergän­zende Angebote bieten unter anderem die Elektronik- bezie­hungs­weise Daten­trä­ger­ver­si­cherung.

Die Muster­be­din­gungen und der Risiko­fra­ge­bogen, den der GDV im April 2017 entwi­ckelt hat, richtet sich an Unter­nehmen mit bis zu 250 Mitar­beitern und einem jährlichen Umsatz bis zu 50 Millionen Euro. Sie dienen dazu, dass Unter­nehmer und Makler einen Vergleichs­maßstab haben, um indivi­duelle Versi­che­rungs­an­gebote zu bewerten. Der Frage­bogen gibt Auskunft über die Schwach­stellen der firmen­ei­genen IT.

Dabei dienen Cyber­ver­si­che­rungen nicht nur dazu, den direkten Schaden auszu­gleichen, den der Angriff verur­sacht hat, sondern decken vor allem die Kosten, die mit der Wieder­her­stellung der Geschäfts­tä­tigkeit verbunden sind. Dazu gehören die Reparatur der IT-Systeme, die Beauf­tragung externer Computer-Forensik-Analysten, die Bezahlung spezia­li­sierter Anwälte oder auch der straf­recht­lichen Vertei­digung (Internet-Straf-Rechts­schutz) – um nur einige Massnahmen zu nennen.

Ergänzung durch Betriebs­un­ter­brech­nungs- und Ertrags­aus­fall­ver­si­cherung sinnvoll

Für Betreiber von Webshops oder sonstigen E-Commerce-Anwen­dungen kann der Versi­che­rungs­umfang zum Beispiel auch durch eine Betriebs­un­ter­bre­chungs­ver­si­cherung bzw. Ertrags­aus­fall­ver­si­cherung ergänzt werden. In diesem Fall erhält der Versi­che­rungs­nehmer für einen erheb­lichen Umsatz­ausfall seines Shops (etwa aufgrund eines Hacker­an­griffs oder einer DoS-Attacke) eine finan­zielle Kompen­sation. Vergleichbar sind diese Leistungs­er­wei­te­rungen mit einer herkömm­lichen Betriebs­un­ter­bre­chungs­ver­si­cherung (kurz BU), die bei tradi­tio­nellen Gefahren wie Feuer oder Wasser­schäden in Kraft tritt. In der Regel orien­tiert sich dabei die Leistung des Versi­cherers an der Ausfallzeit pro Stunde.

In der Tat hat die Inter­net­kri­mi­na­lität in den vergan­genen Jahren deutlich zugenommen. Allein 2012 wurden in Deutschland rund 64.000 Fälle von Cyber­crime aufge­zeichnet. Ein erfolg­reicher Hacker-Angriff auf ein Großun­ter­nehmen verur­sacht einen durch­schnitt­lichen wirtschaft­lichen Schaden von 1,8 Millionen Euro. Bei kleinen und mittel­stän­di­schen Unter­nehmen liegt der Durch­schnittswert bei 70.000 Euro. Der Schaden, der sich aus allen Hacker-Angriffen auf deutsche Firmen insgesamt pro Jahr ergibt, lag 2011 laut Bundes­kri­mi­nalamt bei 70,2 Millionen Euro. Aktuellere Angaben sprechen von Zahlen in Höhe von inzwi­schen 50 Milli­arden Euro. Im Gespräch mit dem Berliner „Tages­spiegel“ bestätige Hans-Georg Maaßen, Präsident vom Bundesamt für Verfas­sungs­schutz diese Zahl. Eine genaue Zahl lasse sich nicht nennen, da viele Angriffe erst spät entdeckt würden.

Da die Dunkel­ziffern sehr hoch sind, ist zu vermuten, dass der tatsäch­liche wirtschaft­liche Schaden um ein Vielfaches höher ist. Während in Deutschland bislang wenige Unter­nehmen über eigene Versi­cherung gegen die Risiken der Inter­net­kri­mi­na­lität verfügen, sind diese unter US-ameri­ka­ni­schen Firmen bereits relativ verbreitet: Das Prämi­en­vo­lumen für Cyber­ver­si­che­rungen beträgt dort derzeit rund eine Milliarde US-Dollar jährlich.

Artikel in Ihrem Netzwerk teilen

Menü schließen
Senden Sie uns eine Nachricht
Schließen
Please select menu on current page.