Gefahr für den Mittelstand

30.01.2014

Foto: © stokkete - Fotolia.com

Spektakuläre Fälle von Datenverlust und Computerkriminalität gehen durch die Medien: Hackerangriffe, verlorene Kundendaten, Computerbetrug.

Die mediale Aufmerksamkeit konzentriert sich vor allem auf global agierende Konzerne: Ob Sony, Vodafone, Adobe oder Sky – die jeweiligen Datenvorfälle lösten weltweit Entsetzen aus und beschädigten das Firmenimage nachhaltig. Mittelstand und Kleinunternehmen sind jedoch nicht minder stark von Cyberrisiken betroffen.

Kleine und mittlere Unternehmen stehen beim Thema Cyberrisiken vorrangig vor einem Kapazitätsproblem. Wie soll die hauseigene IT-Abteilung Datenvorfälle effektiv vermeiden, wenn dies nicht einmal Großunternehmen gelingt? Zunächst scheint es sinnvoll, sich die konkrete Gefährdungslage zu vergegenwärtigen. Als Folge zunehmender Komplexität moderner IT-Systeme öffnen sich ständig neue Einfallstore für Hacker, zusätzlich können unvorhergesehene Systemfehler die Datenintegrität beschädigen. Die klassischen Problemherde entstehen dabei durch Sicherheitslücken in der verwendeten Software, durch Bedienfehler und Lücken in der Sicherheitsarchitektur.

Doch selbst ein gut gesichertes Computersystem wird schnell durch social engineering ausgehebelt. Angreifer sprechen Mitarbeiter persönlich an und bringen diese unwissentlich dazu – etwa durch Installation von Schadsoftware – das Sicherheitssystem von innen heraus zu kompromittieren. Noch schwerer wiegen freilich vorsätzliche „inside jobs" durch Mitarbeiter. Denn das beste IT-System ist schutzlos, wenn potenzielle Eindringlinge freiwillige oder unfreiwillige Unterstützung aus dem betroffenen Unternehmen erhalten.

Auch der Verlust physischer Datenträger ist Teil der Problemlage: Laut Ponemon-Institut werden jede Woche an großen europäischen Flughäfen über 4.000 mobile Endgeräte als vermisst oder gestohlen gemeldet. Und ob die sensiblen Daten eines Unternehmens nun im Zuge eines Hackerangriffs gestohlen werden oder aus einem verlorenen Laptop stammen, ist für den Schaden des Unternehmens schlussendlich unerheblich.

Die entscheidende Frage lautet also: Wie kann sich ein Unternehmen vor Cyberrisiken und deren Folgen schützen? Effektive Absicherung beginnt bei der Prävention von Cyberschäden. Die Wahl von geeigneten Vorsorgemaßnahmen hängt dabei von sehr individuellen Faktoren wie der Branche oder der Nutzung von Kreditkartendaten ab. So sind insbesondere Bezahlkartensysteme ein beliebtes Ziel von Angreifern, denn hier erbeutete Daten lassen sich relativ problemlos in bares Geld umwandeln. Entsprechend attraktive Ziele für Kriminelle sind daher Einzelhandel, Gastronomie, Hotellerie und Onlineshops. Bei technischen Ausfällen ergibt sich das gleiche Bild. Ein Online-Händler, dessen Server ausfällt, ist ähnlich schwer betroffen wie ein Hotelier, dessen Buchungssystem nicht erreichbar ist. Ob eine gezielte DDoS-Attacke oder ein technischer Fehler die Ursache für den Ausfall ist – das Unternehmen muss mit immensen Umsatzeinbußen rechnen.

Kurzum: Effektive Datenschutzkonzepte müssen individuell angepasst sein. Es bedarf einer genauen Analyse des Schadenpotenzials und der IT-Schwachstellen, um maßgeschneiderte Lösungen zur Abwehr von Cyberrisiken zu erarbeiten. Viele Unternehmen können diese Analyseleistung selbst nicht erbringen und sind auf externe Unterstützung angewiesen. Die Versicherungsbranche hat dies erkannt und bietet passende Lösungen an.

Adäquate Versicherungen gegen Cyberrisiken flankieren den gewöhnlichen Schutz vor Vermögensschäden mit technischer Unterstützung bei der Absicherung der firmeneigenen IT-Systeme. Als erster Anbieter stieß Hiscox mit seinem Produkt Cyber Risk Management bereits im Februar 2011 auf den deutschen Markt. Der britische Spezialversicherer bietet seinen Kunden in Zusammenarbeit mit HiSolutions zu Versicherungsbeginn intensive Tests der IT-Systeme an – mit dem Ziel, diese anschließend hinsichtlich ihrer Sicherheit zu optimieren. Kommt es dennoch zum Schadenfall, steht das Unternehmen nicht alleine da. Der Ersatz der monetären Schäden durch den Cybervorfall – von Ansprüchen Dritter bis zu den Kosten für die Wiederherstellung des IT-Systems – ist nur der erste Schritt.

Eine gute Versicherung zeichnet sich dadurch aus, ihre Kunden auch nach dem Schaden nicht alleine zu lassen. Die juristische Aufarbeitung des Vorfalls und begleitende kommunikative Maßnahmen zur Wiederherstellung des angeschlagenen Images entscheiden über die Zukunft des Unternehmens. Und genau hier liegt die Stärke einer guten Police. Sie versichert auch die anfallenden Kosten für die Behebung immaterieller Schäden. Und ein weiterer Punkt: Nach einem Schaden sollte das IT-System stets einer Komplettprüfung unterzogen werden – damit sich die Katastrophe nicht wiederholt. Im

Schadenfall sieht sich ein betroffenes Unternehmen schnell immensen Kosten gegenüber, wie ein reales Beispiel verdeutlicht.

Wegen einer Sicherheitslücke in der Homepage eines Hotels drangen Hacker in die Datenbank ein und stahlen beziehungsweise kopierten über einen Zeitraum von drei Monaten unbemerkt mehr als 700 Kreditkartendaten von Hotel- und Restaurantgästen. Das Hotel musste nun zunächst klären, wie die Angreifer eingedrungen waren und welche Daten kopiert wurden – allein die Kosten für die notwendige IT-Forensik beliefen sich bereits auf 163.000 Euro. Die parallel laufende Rechtsberatung verschlang weitere 375.000 Euro, und für die nach § 42a BDSG verpflichtende Information der betroffenen Kunden wurden 270.000 Euro fällig. Die Payment Card Industry machte zudem Schadensersatz in Höhe von 1.400.000 Euro geltend, sodass der Vorfall das Hotel insgesamt 2.783.000 Euro kostete. Verständlich, dass ein Schaden dieser Höhe ein Unternehmen schnell in den Ruin treiben kann. Weniger verständlich angesichts dieser Zahlen hingegen ist, dass gemäß der Hiscox eDNA Studie, eine repräsentative Umfrage unter Mittelständlern, mit 94 % kaum eines der befragten deutschen Unternehmen eine Versicherung gegen Onlinekriminalität abgeschlossen hat. 22 % besitzen nicht einmal ein Backup-System.

(Stefan Sievers, Technical Underwriter Cyber Hiscox)

Kompositversicherung 2014 – Der Vertriebsmotor – Cyberrisiken - Printausgabe 01/2014