11.03.2015

Kategorie(n): Beratende Berufe

Angesichts einer immer umfassender vernetzten Kommunikation im Internet nimmt die Cyberkriminalität weltweit rapide zu. Auslagerungen von Daten in die Cloud lösen zusätzliche Risiken aus. Nicht nur Großunternehmen, sondern auch mittelständische Betriebe sind verstärkt von Cyberattacken betroffen.

Cyberangriffe verursachen häufig immense Schäden, die die wirtschaftliche Existenz von Unternehmen leicht gefährden können. Viele Insolvenzen in Deutschland sind auf ein mangelhaftes Cyber-Risikomanagement oder auf ein gänzlich fehlendes Frühwarnsystem zurückzuführen.

MILLIONEN CYBERANGRIFFE: ENORMES SCHADENSPOTENZIAL

Nach einer Studie der Beratungsgesellschaft Price Waterhouse Cooper (PWC) nahm die Anzahl der Cyberattacken auf Unternehmen im Jahr 2013 um 48 Prozent auf weltweit fast 43 Millionen Fälle zu.

Nach verschiedenen Schätzungen liegt der durch Cyberkriminalität verursachte globale Schaden bei 500 bis 750 Milliarden Euro. Jeder Cyberangriff verursacht durchschnittlich Kosten zwischen 1,8 und 3,5 Millionen Euro. Eine einzige Attacke war im Jahr 2014 für einen Gesamtschaden von ungefähr 200 Millionen Euro verantwortlich. Als Hacker 2013 bei einem Angriff 110 Millionen Zugangsdaten von Kreditkarten stahlen, entstand sogar ein Milliardenschaden.

Da betroffenen Unternehmen nicht jeder Cyberangriff auffällt, ist von einer hohen Dunkelziffer auszugehen: Geschätzt wird, dass nur ein Prozent aller Cyberattacken entdeckt wird und in zahlreichen der aufgedeckten Fälle ist es schon zu spät, um Datenverluste noch zu unterbinden.

ZUNEHMENDE BEDROHUNG AUCH FÜR MITTELSTÄNDISCHE UNTERNEHMEN

Kleinere und mittelständische Unternehmen sind für Cyberattacken besonders anfällig, da viele von ihnen nicht über ein rundum absicherndes Schutzsystem verfügen. In den letzten zwei Jahren stellte nahezu jedes dritte mittelständische Unternehmen einen Angriff auf seine IT-Systeme fest. Cyberattacken verursachen bei Mittelständlern durchschnittlich Kosten von 70.000 Euro.

Trotz der drohenden Gefahren sind über siebzig Prozent der europäischen und fast achtzig Prozent der deutschen Unternehmen nicht ausreichend oder gar nicht gegen Cyberattacken versichert, wie sich aus einer Umfrage der Federation of European Risk Management Associations (FERMA) ergab.

EINE VIELZAHL VON GEFAHRENQUELLEN: DURCHDACHTES SICHERHEITSKONZEPT ERFORDERLICH

Cyber-Gefahren drohen Unternehmen aus unterschiedlichsten Quellen.

Externe Hacker

In den letzten Jahren verbreiteten kriminelle Hacker Tausende Trojaner, Viren und sonstige Schadprogramme im Netz, die den Diebstahl z. B. von Unternehmensdaten, Kreditkarteninformationen, Kundenprofilen oder Unternehmenskonzepten bezwecken. Kriminelle externe Hacker sind für etwa 40 Prozent aller Cyberangriffe verantwortlich.

Unbeabsichtigtes Hacking durch Mitarbeiter oder Dienstleister

30 Prozent aller IT-relevanten Verstöße entfallen auf Mitarbeiter des Unternehmens oder auf externe Dienstleister. Unbeabsichtigt gelangt z. B. über ein privates Smartphone eines der zwei Millionen im Internet kursierenden Schadprogramme auf den Server des Unternehmens.

Unternehmensinterne Hacker

Acht Prozent aller IT-Verstöße entfallen auf vorsätzlich handelnde Mitarbeiter eines Unternehmens, die ihren Status als Unternehmens-Insider und ihre IT-Zugriffsrechte missbrauchen. Während externe Hacker zunächst Zugriffssperren überwinden müssen, um anschließend an die für sie interessanten Informationen zu gelangen, wissen unternehmensinterne Hacker aufgrund ihrer Stellung im Unternehmen sofort, wo sich die sensiblen Daten befinden.

Mitarbeiter spähen Daten zu 70 Prozent aus finanziellen Gründen aus: Die sensiblen Informationen sollen bei der Gründung eines eigenen Unternehmens helfen oder ein gutes Entrée bei einem neuen Arbeitgeber verschaffen. Ein Datenverkauf an Wettbewerber sorgt für zusätzliche Einnahmen. Achtzig Prozent aller Entwendungen von Daten durch Mitarbeiter erfolgen innerhalb des ersten Monats nach dem Ausscheiden aus einem Unternehmen.

Erhöhtes Risiko durch Outsourcing

Das Risiko eines Cyberangriffs steigt mit der Einschaltung externer Dienstleister; beispielsweise bei Nutzung einer Cloud. Für mittelständische Unternehmen ist es schwierig, alle Dienstleister zu einem bestimmten Sicherheitsstandard zu verpflichten. Dies gilt umso mehr, als externe Dienstleister im Rahmen von Outsourcing häufig wiederum Teilaufträge an Subunternehmer vergeben. Je länger aber die Dienstleistungskette, desto höher das Cyber-Risiko.

MITTELSTÄNDISCHE UNTERNEHMEN: OFT UNZUREICHEND GESCHÜTZT

Mittelständler sind oft nur unzureichend vor Bedrohungen aus dem Internet geschützt, wie die Ergebnisse der Hiscox eDNA Studie 2013 zeigen:

  • Über ein Fünftel aller Betriebe verfügt über kein Backup-System.
  • Mehr als vierzig Prozent versenden sensible Daten unverschlüsselt.
  • 31 Prozent sehen zwar eine Cyber-Gefahr, sind aber dennoch nicht versichert.
  • Nur sechs Prozent aller Unternehmen verfügen über eine ausreichende Versicherung gegen Onlinekriminalität.

 SCHUTZ FÜR KMU: SICHERHEITSKONZEPT UND CYBER-VERSICHERUNG

Mittelständische Unternehmen sollten gezielt in Sicherheitssysteme und in eine individuell zugeschnittene Cyber-Versicherungslösung investieren, um sich gegen möglicherweise existenzgefährdende Cyber-Bedrohungen zu wappnen.

Cyber-Risiko-Analyse

Zunächst sollten mittelständische Unternehmer ein Cyber-Risk-Mapping durchführen, um die relevanten internen und externen Schwachstellen umfassend zu identifizieren. Für die festgestellten Risiken sind anschließend die Wahrscheinlichkeiten einer Verwirklichung der einzelnen Gefahren und die möglichen Schadenskosten zu ermitteln.

Vorbeugung durch technische Lösungen

  • Standards zur Cyber-Absicherung von Unternehmen enthält die internationale Norm 2700, die u. a. von der ISO (Internationale Organisation für Standardisierung) herausgegeben wird.
  • Das Bundesamt für Sicherheit in der Informationstechnik BSI hat Empfehlungen z. B. zur Gestaltung von Webseiten und zum Umgang mit E-Mail-Programmen herausgegeben, die das Risiko eines Cyberangriffs minimieren sollen.

Sensibilisierung von Mitarbeitern

Mitarbeiter sind häufig unsicher beim Umgang mit sensiblen Daten. Mitarbeiterschulungen gewährleisten die einheitliche Umsetzung von Unternehmensstandards zur Datensicherheit. Stellen Sie insbesondere auch sicher, dass private Geräte von Mitarbeitern, die mit der Unternehmens-IT verbunden werden dürfen, alle Sicherheitsstandards Ihres Unternehmens erfüllen.

Versicherungslösungen

Cyber-Risiken werden von traditionellen Versicherungen häufig nicht abgedeckt:

Eine Betriebshaftpflicht deckt Schäden bei Auftraggebern oder Kunden ab, die schuldhaft durch den Versicherungsnehmer verursacht wurden. Die Versicherung kommt jedoch nur für Personen- und Sachschäden und für daraus entstehende Folgeschäden auf, nicht aber für Vermögensschäden Dritter, für deren Ersatz der Abschluss einer Vermögensschaden-Haftpflichtversicherung erforderlich ist.

TIPP

Berechnen Sie schnell und unkomp­liziert Ihre Vermögensschadenhaftpflicht-Versicherungsschutz. Zulassungspolicen können Sie direkt online abschließen.

Vermögensschadenhaftpflicht-Tarife vergleichen

 

Cyber-Versicherungen (auch „Datenschutz-Versicherung“, „Data Protect“, „Cyber-Deckung“ oder „Hacker-Versicherung“) übernehmen – über Drittschäden hinaus – auch Eigenschäden des angegriffenen Unternehmens aufgrund

  • unmittelbarer Hacker-Einwirkung,
  • Betriebsunterbrechung,
  • Computer-Missbrauch,
  • DoS-Attacken (Denial of Service), bei denen eine Webseite durch eine große Anzahl von Hacker-Anfragen „lahmgelegt“ wird,
  • Datenträger-Diebstahl und
  • Datenrechtsverletzungen.

Ersetzt werden auch die Kosten für

  • die Reparatur bzw. Wiederherstellung von IT-Systemen (einschließlich der Wiederbeschaffung von Daten),
  • externe Computer-Forensik-Analysten,
  • auf Cyberkriminalität spezialisierte Rechtsanwälte,
  • externe Hilfestellung bei einem professionellen Krisenmanagement (einschließlich Public Relation)
  • den Mehraufwand, der zur Fortführung des Geschäftsbetriebs erforderlich ist.

Zum Leistungsumfang einer Cyber-Versicherung gehören außerdem

  • die Gewährleistung einer Information der von einem Cyberangriff Betroffenen,
  • rechtliche Betreuung bei der Geltendmachung von Schadenersatzansprüchen sowie
  • Notfall-Services und 24-Stunden-Hotlines.

DIE AUSWAHL EINER GEEIGNETEN CYBER-ABSICHERUNG

Wenig hilfreich sind pauschale Versicherungslösungen. KMU sollten unbedingt eine Cyber-Versicherung auswählen, die exakt auf die Risiken zugeschnitten ist, denen das Unternehmen unterliegt. Zwecks Vermeidung zu hoher Cyber-Versicherungskosten sind ggf. vorhandene Teildeckungen aus bereits bestehenden Sachversicherungen zu berücksichtigen. Zur Reduzierung der Prämien einer Cyber-Versicherung trägt ferner die Vereinbarung von Selbstbehalten bei, die jedoch eine realistische Höhe aufweisen müssen, um vom Versicherungsnehmer im Schadensfall getragen werden zu können. Schließlich ist der Versicherer mit dem besten Preis-Leistungs-Verhältnis auszuwählen.

Aufgrund der Komplexität des Risikos und der Situation, die in jedem Unternehmen unterschiedlich ist, bedarf es eines individuellen Angebots. Konkret bedeutet das, dass Unternehmen, die einen solchen Schutz wünschen, einige Daten mittels Fragebogen zur Verfügung stellen müssen, so dass eine risikoadäquate Prämie ermittelt werden kann. Fordern Sie hier ein persönliches Angebot an: Cyberschutz-Angebot.

FAZIT UND AUSBLICK

Angesichts zunehmender Digitalisierung und intensiver Vernetzung aller Unternehmensbereiche ist für die Zukunft mit einem weiteren Anstieg der Cyberkriminalität zu rechnen. Mittelständische Unternehmen sollten auf die verstärkte Bedrohung aus dem Internet mit der Entwicklung ausgefeilter Sicherheitskonzepte und einer maßgeschneiderten Versicherungslösung reagieren.