Einloggen nicht vergessen oder Gratistest nutzen!

Sie können nur als eingeloggter User auf die Inhalte des Wissenspools zugreifen. Bitte loggen Sie sich deshalb mit Ihren Zugangsdaten ein oder bestellen Sie die VersicherungsPraxis24 über unser Registrierungsformular - selbstverständlich mit der Möglichkeit zum 4-Wochen-Gratistest!

45. KW: Cyberkriminelle: Brandstifter des 21. Jahrhunderts

Autor: Elke Pohl

Nach wie vor sind weder Privatpersonen noch Firmen ausreichend vor Angriffen auf ihre IT gesichert. Dabei bedient sich die Internetkriminalität immer raffinierterer Werkzeuge, um an sensible Daten und Lösegeld zu gelangen. Schutz bietet letztlich keine noch so ausgeklügelte Firewall, sondern nur eine passende Versicherung. Und hier gibt es laut aktuellem "Makler Absatzbarometer" des Marktforschers YouGov noch großen Nachholbedarf.

Laut der YouGov-Studie, bei der 220 Makler befragt wurden, sind Privatpersonen in erster Linie vom Ausspähen persönlicher Daten (23 %) und von technischen Schäden vor allem durch Schadprogramme (17 %) betroffen. Dagegen leiden Firmenkunden primär unter Datenverlust oder Datenmissbrauch durch Hackerangriffe (27 %) bzw. IT-Schäden, die durch entsprechende Angriffe entstehen (22 %). Viel schlimmer scheint indes die Einschätzung der befragten Makler zu sein, dass 95 % der Privat- und 91 % der Firmenkunden sich bisher nur unzureichend mit dem Thema Absicherung von Cyber-Risiken auseinandergesetzt haben. Die gute Nachricht: Fast drei Viertel der Firmenmakler erwarten in den nächsten zwei Jahren eine wachsende Nachfrage und Vermittlung entsprechender Versicherungsprodukte. Bei den Maklern, die Privatpersonen betreuen, erwartetet immerhin die Hälfte eine steigende Nachfrage. Doch sehr gut gerüstet scheinen die Makler nicht für diese kommende Aufgabe zu sein. Denn gegenwärtig fühlt sich weniger als die Hälfte (41 %) der befragten Makler ausreichend über mögliche Risiken und entsprechende Absicherungsmöglichkeiten informiert. Fast alle (90 %) wünschen sich mehr Informationen zur Absicherung von Cyber-Risiken, und zwar zuallererst von den Versicherern (68 %), aber auch von den Fachmedien (57 %) und von ihren Maklerpools (48 %).

Internetkriminelle nehmen kleine Firmen ins Visier

Vor allem kleine und mittlere Unternehmen sind bei Cyber-Angriffen schnell in ihrer Existenz bedroht. Mehr und mehr gerät diese Klientel in den Fokus von Internetkriminellen. Experten gehen davon aus, dass sich eine regelrechte kriminelle Industrie entwickelt hat. Im digitalen Untergrund hat sich eine Parallelstruktur zur legalen Wirtschaft herausgebildet, die effektiv und arbeitsteilig agiert. In der Regel geht es um Erpressung: Es werden wichtige Teile der Firmeninfrastruktur lahmgelegt. Damit die Störung beseitigt wird, muss entsprechendes Lösegeld fließen. Oftmals wird kein Geld, sondern die digitale Währung Bitcoin gefordert. Firmen, die sich damit nicht auskennen, wird in Anlehnung an die reale Wirtschaft ein Online-Service geboten, damit die "Transaktion" ohne Probleme über die Bühne gehen kann. An Zynismus ist das kaum zu überbieten!

Schutzprogramme haben Angriffen wenig entgegen zu setzen

Unternehmen, die ihre Dienstleistungen und Produkte im Netz anbieten, sind besonders gefährdet. Technische Prävention reicht längst nicht mehr aus, um Angriffe abzuwehren. Firewall und Virenschutzprogramme haben gezielten Hacker-Angriffen wenig entgegen zu setzen. Betroffen sind alle Arten von Unternehmen - von Selbstständigen über Start-ups und mittelständische Firmen bis hin zu Großunternehmen. "Ransomware - also Schadsoftware -, die Dateien auf infizierten Endgeräten verschlüsselt, gibt es in vielen verschiedenen Arten", erklärt Ole Sieverding vom Spezialversicherer Hiscox. Ransomware verstecke sich nicht nur in E-Mail-Anhängen, sondern z.B. auch hinter Werbebannern im Internet. Ein einziger Klick darauf - und der Zugriff auf die eigenen Daten ist verwehrt. Gerade für kleinere Unternehmen ist es existenzbedrohend, wenn die eigene Website über mehrere Tage oder sogar Wochen für Kunden nicht mehr erreichbar ist. Allein der Ertragsausfall kann schnell an die Substanz gehen. Darüber hinaus können Kosten für Ermittlungen und Krisenmanagement anfallen. Daher sollte jedes Unternehmen, das über sensible und geschäftsrelevante Daten verfügt, über eine Cyber-Versicherung nachdenken. Das betrifft vor allem Unternehmen, die wesentlich von einer funktionierenden IT abhängig sind. Selbst wenn die IT immer auf dem neuesten technischen Stand ist, garantiert das keinen 100 %-igen Schutz.

Prävention ist enorm wichtig

Bei der Wahl einer geeigneten Cyber-Police sollte es nach Ansicht von Ole Sieverding nicht in erster Linie darum gehen, ob ein Schaden möglichst schnell bezahlt wird. Vielmehr sind Präventionsmaßnahmen wichtig, die Unternehmen auf Sicherheitslücken hinweisen. Die bestehen nicht immer in technischen Unzulänglichkeiten, sondern oft in unwissenden Mitarbeitern, die sorglos mit Daten hantieren. Tritt ein Schaden ein, leistet der Versicherer im Idealfall auch praktische Hilfe, um größere Verluste abzuwenden. Schnelle Reaktion ist das A und O bei derartigen Angriffen, die ohne fachkundige Unterstützung kaum möglich ist. "Unsere Erfahrung zeigt, dass Unternehmen bei einer akuten Cyber-Krise in der Regel überfordert sind", weiß Sieverding. Wie hoch das Risiko abgesichert werden muss, wird in einer detaillierten Risikoanalyse ermittelt. Dabei spielt z.B. eine Rolle, wie abhängig das Unternehmen von seiner IT ist und wie schnell es nach einer Cyber-Attacke wieder auf Kurs gebracht werden kann. Daraus lassen sich die Kosten für eine System- und Datenwiederherstellung relativ gut ableiten. Auch die Kosten für eine mögliche Betriebsunterbrechung nach einem Hacker-Angriff gehören zu den Parametern, die bedacht werden müssen. Mögliche Schadenersatzansprüche Dritter, wie etwa von Lieferanten, müssen ebenfalls eingerechnet werden, wenn diese mittelbar von der Cyberrechts-Verletzung betroffen sind. Daher sollte passiver Rechtsschutz in der Police enthalten sein, um unbegründete Ansprüche abzuwehren und berechtigte Forderungen zu erfüllen.

Aon unterstützt Kunden mit Spezialdienstleister

Die durchschnittlichen Kosten, die ein Unternehmen in Deutschland nach einem Datenverlust zu tragen hat, belaufen sich auf 4,5 Mio. EUR, erklärt Johannes Behrends, Leiter der Cyber-Spezialeinheit der zum Spezialmakler Aon gehörenden Spezialeinheit Aon Risk Solutions in Deutschland. Damit liegt Deutschland auf Platz zwei weltweit. Nur in den USA ist der Schaden für ein Unternehmen nach dem Verlust von Daten höher, wie Behrends meint. Mit der Übernahme des IT-Dienstleisters Stroz Friedberg will Aon seine Unternehmenskunden vor allem IT-seitig unterstützen. "Stroz Friedberg beschäftigt mehr als 550 Experten, die für unsere Kunden Cyber-Sicherheitsrisiken von höchster Komplexität abwehren können", berichtet Behrends weiter. "Die neuen Kollegen liefern Cyber-Sicherheitskontrollen, führen Penetrationstests durch und beschäftigen Spezialisten im Bereichen der Computer-Forensik."

Balance zwischen Freiheit und Sicherheit

Auch die Bundesregierung hat Schwerpunkte der Cyber-Sicherheitspolitik für die kommenden Jahre festgelegt. Damit reagiert sie auf die gestiegene Cyber-Bedrohungslage. Gleichzeitig können die Chancen und Potenziale der Digitalisierung so voll ausgeschöpft werden, heißt es in einer Presseerklärung. Mit dem Kabinettsbeschluss vom 8. November wird die Sicherheitsstrategie aus dem Jahr 2011 fortgeschrieben. "Angesichts der technischen und internationalen Entwicklung war es geboten, eine neue Strategie vorzulegen", so Bundesinnenminister Thomas de Maizière bei der Vorstellung der Strategie. Sie bildet den Rahmen für sämtliche Aktivitäten der Bundesregierung, die mit Cyber-Sicherheit zusammenhängen. Ziel der Bundesregierung ist es, die Balance zwischen Freiheit und Sicherheit auch in der digitalen Welt zu schaffen und zu bewahren.

Zahlreiche Maßnahmen

Bestandteil der Strategie sind über 30 einzelne Maßnahmen. Schwerpunkte der Cyber-Sicherheitspolitik sollen in den kommenden Jahren folgende vier Handlungsfelder sein:

  1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung wird gestärkt.

  2. Die Kooperation zwischen Staat und Wirtschaft bei der Cyber-Sicherheit soll ausgeweitet werden.

  3. Es wird eine leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur aufgebaut.

  4. Deutschland wird aktiv in der europäischen und internationalen Cyber-Sicherheitspolitik positioniert.

(Quelle: Bundesregierung, Pressemitteilung vom 09.11.2016)

Sicherheitsrisiken beherrschbar machen

"Damit wird soll sowohl präventiver Schutz vor einem Angriff als auch Schutz während oder nach einem Angriff erreicht werden", so der Innenminister. Die Ziele von Cyber-Angriffen haben sich verändert. "Neu sind Gefahren für die freie Meinungsäußerung. Wir erleben Desinformationskampagnen, denen auch Angriffe auf die Informationstechnik von Regierung, Parlament oder Medienhäusern vorausgehen können. Das wollen wir verhindern, aufdecken und aufklären", kündigte de Maizière an. Die Strategie ermöglicht, dass Deutschland die enormen Chancen und Potenziale der Digitalisierung im gesamtgesellschaftlichen Interesse optimal nutzen kann. Denn dafür ist zwingende Voraussetzung, dass die Sicherheitsrisiken beherrschbar sind.

Unternehmen brauchen Sicherheitsdienstleister

Der Digitalverband Bitkom äußerte sich positiv zur neuen Cyber-Sicherheitsstrategie der Bundesregierung. Für die angedachte Ausweitung des IT-Sicherheitsgesetzes auf weitere Unternehmen mit "hoher gesellschaftlicher Relevanz" bedarf es allerdings genau definierter Kriterien, die in enger Abstimmung mit der Wirtschaft entstehen sollten, wie Marc Fliehe, Bitkom-Bereichsleiter Information Security, betont. Die neue Cyber-Sicherheitsstrategie sieht vor, dass im Bundesamt für Sicherheit in der Informationstechnik (BSI) eine mobile Eingreiftruppe eingerichtet wird, die bei Cyber-Angriffen auf Betreiber sog. kritischer Infrastrukturen, Bundesbehörden, Verfassungsorgane und vergleichbar wichtige Einrichtungen zum Einsatz kommt. Aus Sicht des Bitkom sollten diese vor allem bei Behörden aktiv werden. "Unternehmen sollten im Rahmen eines Notfallmanagements einen Sicherheitsdienstleister ausgewählt haben, der bei Cyber-Angriffen rund um die Uhr zur Verfügung steht", sagt Fliehe. Eine Konzentration auf eine reine IT-Sicherheit reiche gerade im Hinblick auf die komplexen Herausforderungen spezifischer Branchen nicht mehr aus. Darauf müsste beispielsweise bei der Errichtung neuer Lehrstühle an den Hochschulen geachtet werden, und es müsste eine praxisnahe Ausbildung in den jeweiligen digitalisierenden Branchen sichergestellt sein.

Buchtipp "Sonderheft: Cyber-Versicherungen"

Es gibt heute nurnoch zwei Arten von Unternehmen: Solche, die bereits gehackt wurden und solche, die noch gehackt werden.Und dennoch: Viele Unternehmen, vor allem kleine und mittlere, unterschätzen offenbar nach wie vor die mit der Nutzung des Internets verbundenenRisiken.

Die bereits in der dritten Auflage erscheinende Broschüre, versucht, neben allgemeingültigenAussagen zur Thematik auch einen Überblick über die derzeit am Markt angebotenen Cyber-Deckungskonzepte, die in den letztenJahren bereits viel Beachtung erzielten, zu verschaffen. Hierbei wurden aktuelle Ergänzungen und Veränderungenaus den Bedingungswerken der Anbieter eingearbeitet und neue Angebote bis zum Redaktionsschluss Mai 2016 berücksichtigt.

Weitere Informationen erhalten Sie im Wolters Kluwer Shop…