Die unterschätzte Gefähr

Seit Jahren nimmt die Kriminalität im Internet zu und findet hierbei immer mehr mediale Beachtung. So berichtet beispielsweise das Handelsblatt mit dem kürzlich publizierten Artikel über die Veröffentlichung von über zwei Milliarden Email-Adressen samt Passwörtern im Netz.

Trotz der genannten Thematik schätzen die meisten Unternehmen das Risiko eines Cyberangriffs im eigenen Unternehmens sehr gering ein. Im Schnitt hat gerade einmal 1% aller klein- bis mittelständischen Unternehmen eine Vorsorge für diesen Fall getroffen.

Bei Gewerbetreibenden kann ein Cyberangriff schnell die Existenz des eigenen Unternehmens gefährden. Neben den zum Teil immensen Kosten zur Beseitigung des entstanden Schadens, kommt es bei den betroffenen Unternehmen auch zu einer dauerhaften Rufschädigung, wenn das Problem nicht schnell und kompetent gelöst wird.

Ein prominentes Beispiel aus der Praxis ist der Angriff auf das Klinikum Fürstenfeldbruck, dessen Betrieb durch das Eindringen eines Trojaners weitestgehend lahmgelegt wurde. Ein Mitarbeiter hatte einen virusverseuchten Mailanhang geöffnet, der sich im gesamten Kliniknetzwerk ausbreitete.

Durch den Virus fuhren die betroffenen Rechner sich selbständig hoch und runter, woraufhin sich das Klinikum von der integrierten Rettungsleitstelle abmelden und Notfallpatienten in die nächstgelegenen Krankenhäuser bringen musste.

Derartige Angriffe sind keine Einzelfälle und treffen nicht nur Großunternehmen. Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) waren bereits 30% aller befragten Unternehmen Opfer einer Cyberattacke, 11% sogar mehrfach.

Wer ist betroffen?

Gemäß der Umfrage des GDV schätzen 72% der befragten Unternehmen das Risiko eines Cyberangriffs als hoch oder sehr hoch ein, gleichzeitig halten jedoch nur 34% einen Angriff auf das eigene Unternehmen für wahrscheinlich.

Der Hauptgrund für diese paradoxe Wahrnehmung ist der Irrglauben vieler Firmen, dass das eigene Unternehmen zu klein oder die gespeicherten Daten zu unwichtig seien, um in den Fokus von Cyberkriminellen zur geraten.

In der Regel erfolgen Cyberangriffe jedoch nicht gezielt, sondern treffen alle Unternehmen die in irgendeiner Form am Netz hängen, unabhängig von deren Mitarbeiterzahl oder Brisanz der Daten.

Und auch weniger sensible Daten sind für Hacker von Interesse, da diese für den täglichen Geschäftsbetrieb benötigt und somit für Erpressungsversuche mittels Ransomware genutzt werden können.

Überaschenderweise werden gerade Kleinunternehmen mit bis zu 8 Mitarbeitern am häufigsten Opfer von Cyberangriffen, aufgrund der geringen Risikowahrnehmung und der daraus resultierenden fehlenden Investitionsbereitschaft in die IT-Sicherheit.

Welche Kosten entstehen?

Bei einer Cyberattacke kann den Betroffenen sowohl ein direkter Schaden (Defekte Elektronik, fehlender Zugriff auf Datenbank, etc.) als auch ein indirekter Schaden (Betriebsausfall, Rufschädigung, etc.) entstehen.

Beispielszenario: Die/Der leitende Angestellte einer Arztpraxis öffnet den Anhang einer als Bewerbung getarnten Mail. Der Anhang entpuppt sich jedoch als Trojaner, der sich im gesamten Netzwerk verbreitet und so alle Pc´s lahmlegt. Die Angreifer fordern nun ein Lösegeld zur Freigabe des Computersystems.

Die folgenden Kosten kommen auf die Praxis zu:

  • IT-Forensik: Die Analyse der Schadenursache, sowie die Prüfung personenbezogener Daten, auf die der/die Angreifer zugegriffen haben. Für derartige Tätigkeiten werden oft eigene Dienstleister benötigt, die auf Cyberattacken spezialisiert sind

  • Wiederherstellung des Systems/der Daten: Die Wiederherstellung der Einsatzbereitschaft bzw. der Ersatz der betroffenen Geräte. Die Wiederherstellung von Datenbanken und Programmen, die durch den Angriff verschlüsselt oder gelöscht wurden.

  • Betriebsausfall: Durch den Ausfall der IT kann der Praxisbetrieb nicht oder nur eingeschränkt fortgeführt werden. Der Praxis entgeht hierdurch ein Teil des geplanten Umsatzes

  • Krisenberatung zur Schadenabwehr: Die professionelle Beratung zum Umgang mit den Lösegeldforderungen und der Schadenabwehr bzw. –minderung

  • Schadenersatzansprüche von Patienten: Sofern durch den Trojaner Patientendaten entwendet wurden, können die Patienten Schadenersatzansprüche an die Praxis stellen. Die Praxis ist dazu verpflichtet personenbezogene Daten vor dem unbefugten Gebrauch zu schützen und wäre somit ggf. ersatzpflichtig. Es besteht sogar eine gesetzliche Meldepflicht an die zuständige Aufsichtsbehörde gemäß Artikel 33 DS-GVO.

Der Großteil der Kosten entsteht durch die Schadensuche und Behebung, sowie durch den Betriebsausfall.  Je nach Umfang des Schadens kommen so schnell sechsstellige Beträge zusammen.

Wie können Sie sich schützen?

Das A und O beim Schutz vor Cyberattacken ist eine gut ausgebaute IT-Sicherheit und eine ausreichende Sensibilisierung der Mitarbeiter zum Thema.

Laut der Umfrage des GDV gaben 73% der befragten Unternehmen an, dass Ihre IT-Sicherheit ausreichend gegen einen Cyberangriff geschützt sei.

Von den Befragten gaben:

97% an, einen Virenscanner und Firewalls zu nutzen

94% an, automatisch Sicherheitsupdates zu installieren

84% an, systematisch Backups zu erstellen

Aber nur:

68% vergeben eigene, passwortgeschützte Zugänge für jeden Mitarbeiter

54% verschlüsseln sensible Daten

41% verbieten die Nutzung privater Geräte am Firmennetzwerk

Auch wenn die IT-Sicherheit in den Unternehmen genügend Beachtung findet, kann ein erfolgreicher Cyberangriff nicht vollständig ausgeschlossen werden. Es gibt deshalb auch die Möglichkeit sogenannte Cyber-Versicherungen anzuschließen.

Die Cyber-Versicherungen decken je nach Anbieter und gewähltem Versicherungsumfang folgende Leistungen ab:

  • Wiederherstellung der IT-Systeme: Suche und Beseitigung der Schadenursache, Wiederherstellung gelöschter oder verschlüsselter Daten und Programme und ggf. die Reparatur oder der Ersatz beschädigter Hardware
  • Betriebsausfall: Ersatz des Ertragsausfalls für den Zeitraum der Betriebsunterbrechung oder –beeinträchtigung
  • Erpressungsberatung: Beratung durch spezielle Dienstleister zur Schadenabwehr oder –minderung
  • Zahlungsmittelschäden: Übernahme von entstandenen Vermögensschäden (z.B. Strafgebühren des Kreditkartenunternehmens) im Zusammenhang mit Zahlsystemen
  • Vertrauensschäden: Schäden die vorsätzlich durch die eigenen Mitarbeiter begangen werden
  • Cyber-Haftpflicht: Zahlung oder Abwehr von Schadensersatzansprüchen Dritter (z.B. geschädigter Kunden) sowie Forderungen aufgrund von Verstößen gegen den Datenschutz, Cyber-Sicherheit, etc.

Die Cyber-Versicherung soll IT-Sicherheitsmaßnahmen nicht ersetzen, sondern diese sinnvoll ergänzen, um im Falle einer erfolgreichen Cyberattacke finanzielle gewappnet zu sein.

Wenn Sie mehr zur Cyber-Versicherung erfahren möchten, besuchen Sie gerne unsere Infoseite oder kommen Sie direkt auf uns zu.