Versicherung & Vorsorge

IT-Sicherheit und Cyber-Versicherung
Elementarer Katastrophenschutz im 21. Jahrhundert

Steffen Krause

Keine Firma wünscht sich einen mit einem Unternehmenshack verbundenen Shutdown: Produktionsstillstand, handlungsunfähige Mitarbeiter und unzufriedene Kunden sind in der Regel die Folge. Es vergeht kaum ein Tag, an dem in den Medien nicht über aggressive Angriffe von Hackern oder gravierende Datenschutzvorfälle berichtet wird.

Weltweit kämpfen Unternehmen, Behörden und öffentliche Einrichtungen mit den Folgen von Hackerangriffen wie etwa Ransomware-Infektionen. Dagegen helfen nur eine gute IT-Sicherheit und eine leistungsfähige Cyber-Versicherung.

Wer Firmen aus dem Cyberspace heraus mit Schadsoftware attackiert, will erfahrungsgemäß möglichst viele personenbezogene Daten erbeuten. Dabei richten solche Attacken – mit oder ohne Lösegeldforderung – erheblichen Schaden an, weil wichtige Daten auf Servern so verschlüsselt werden, dass kein Zugriff der rechtmäßigen Nutzer mehr möglich ist. Sämtliche Systeme müssen dann heruntergefahren und die Server neu aufgesetzt werden. IT-Forensiker sind oft wochenlang damit beschäftigt, herauszufinden, wie weit die Täter in die Unternehmens-IT eingedrungen sind. Als Beispiel sind die Angriffswellen von Emotet – einer Schadsoftware, die seit Anfang 2020 wieder vermehrt auftritt – zu nennen.

Phishing hat Hochkonjunktur

Das vorherrschende Angriffsmuster bei aktuellen Cyber-Schäden ist das Phishing: Per E-Mail bekommen Mitarbeiter von Zielunternehmen Word-Dokumente oder Links, die sie öffnen sollen. Sind auf dem Zielrechner zum Beispiel Makros erlaubt, aktivieren die dubiosen Dateien die im Dokument enthaltenen infizierten Makros. Diese wiederum installieren dann selbständig beispielsweise Emotet auf dem Rechner. So werden über diese immer professionelleren Phishing E-Mail Zugangsdaten erbeutet. Dann übernimmt das Virus die Systemkontrolle und kann weitere Malware modulartig nachladen. Die Angreifer schlagen dann aber nicht sofort los, sondern erkunden über mehrere Wochen das Netzwerk des Unternehmens und hinterlegen an unterschiedlichen Stellen weitere Schadsoftware oder installieren Hintertüren. Über diese sogenannten Backdoors wird dann dauerhaft ein Zugriff auf das Netzwerk der Opferfirma möglich, selbst wenn der Angriff bemerkt wird.

Und es geht noch schlimmer: Die neue Ransomware sucht gezielt nach Firmengeheimnissen, um mit der Drohung von Veröffentlichung dem Unternehmen schaden zu können. Dabei kommt den Angreifern jeder Tag, jede Stunde entgegen, an dem der Schaden im Unternehmen noch nicht entdeckt wurde. Je länger der Zeitraum zwischen Infektion und Entdeckung ist, desto langwieriger ist in der Regel die vollständige Beseitigung einschließlich der notwendigen IT-Forensik. Nicht selten vergehen dann weitere Wochen bis zur vollständigen Wiederaufnahme der Produktion.

Immer höhere Cyber-Schäden

Aktuellen Studien zufolge steigt neben der Anzahl der Schäden und der durchschnittlichen Schadenhöhe auch die Höhe der Einzelschäden in den Unternehmen trotz verbesserter Sicherheitsstandards. Die wesentliche Schäden sind dabei: ein Verlust bezüglich Vertraulichkeit und/oder Verfügbarkeit der Daten, die Betriebsunterbrechung einschließlich des entgangenen Gewinns und die fortlaufenden Kosten wie nutzlos aufgewandte Personalausgaben. Solche Schäden können sich nach wenigen Wochen bereits auf Millionenbeträge belaufen. Das macht die Cyber-Schäden zum gefährlichsten Geschäftsrisiko für Unternehmen weltweit.

Seit Beginn der Corona-Pandemie nutzen Cyberkriminelle die Gelegenheit und fahren verstärkte Attacken auf Unternehmen – nicht zuletzt, weil viele IT-Administratoren im Homeoffice sitzen. Rund 70 Prozent der großen Unternehmen in Deutschland gehen laut einer aktuellen Umfrage davon aus, dass sie in der Corona-Ausnahmesituation deutlich anfälliger für Cyber-Angriffe sind.

Multiple IT-Risiken

IT-Risiken lassen sich nicht gänzlich beherrschen. Immer wieder gibt es neue Gefahren, die unter Umständen nicht schnell genug identifiziert werden können – wie beispielsweise Lücken in der genutzten Software. Hinzu kommt der Unsicherheitsfaktor Mensch: In Phishing-Tests hat er sich immer wieder als erhebliche Schwachstelle für die IT-Sicherheit entpuppt, was die Phishing-E-Mails zur weltweit größten Gefahr in diesem Bereich macht. Den meisten Firmen sind die Risiken leider bis zum eigenen Schadenfall nicht in ihrer ganzen Tragweite bewusst.

Das Management eines jeden Unternehmens sollte sich deshalb dringend mit dem Nutzen eines professionellen Cyber-Versicherungsschutzes befassen. Zwar bietet eine sogenannte D&O-Versicherung – eine Vermögensschadenhaftpflichtversicherung, die ein Unternehmen für seine Organe und leitenden Angestellten abschließt – dem Management bei strategischen Fehlentscheidungen im Rahmen der Unternehmens- oder Produktentwicklung persönlichen Schutz. Eine Cyber-Versicherung aber erweitert einen solchen Schutz und fängt die schadensbedingten, oft erheblichen Kosten der gesamten Unternehmensgruppe auf. Dazu arbeiten die Versicherungsexperten mit hochqualifizierten Dienstleistern zusammen, die bei einem Hackerangriff oder einem Datenschutzvorfall auf Kosten des Versicherers Soforthilfe leisten.

Transparenter Rundumschutz mit Expertise

Auf dem Versicherungsmarkt gibt es mittlerweile Cyber-Deckungen, deren Bedingungswerke gezielt daraufhin entwickelt wurden, dass sie leicht verständlich sind. Das bedeutet: Die Konzepte sind gut lesbar, nachvollziehbar und ihre Systematik ist logisch. So sind alle Verantwortlichen – nicht nur aus der IT, sondern der gesamten Geschäftsleitung – mit sämtlichen Leistungselementen vertraut. Gleichzeitig lässt sich besser überprüfen, ob die aktuellen Qualitätsansprüche erfüllt werden.

Es lohnt sich dabei, folgende (Nach-)Fragen zu stellen: Stehen hochqualifizierte IT-Dienstleister, Forensiker und Anwälte, die Soforthilfe leisten, zur Verfügung? Können schnellstmöglich Ursachen und Ausmaß eines Cyber-Vorfalls bewertet und entsprechende Maßnahmen zur Schadenminderung ergriffen werden? Wichtig: Gibt es eine transparente Absicherung von Schäden infolge von Betriebsunterbrechungen unter Einbeziehung externer IT- oder Cloud-Dienstleister? Gute Konzepte gewährleisten sogar dann Versicherungsschutz, wenn die Betriebsunterbrechung auf eine fehlerhafte Bedienung der IT durch eigene Mitarbeiter oder auf unvorhergesehene technische IT-Probleme zurückzuführen ist.

Zwar beginnt sich der Cyber-Markt allmählich zu verhärten, die Prämien bewegen sich nach oben. Dennoch sind diese derzeit insgesamt noch so niedrig, dass sich aus Risikomanagementperspektive ein Transfer der oben aufgezeigten Risiken in eine Cyber-Deckung dringend empfiehlt.

Jedes Unternehmen verfügt heute über mehr oder weniger umfassende IT-Sicherheitsmaßnahmen gegen Cyber-Kriminalität. Doch auch jene, die hier auf einem sehr hohen Niveau agieren, sind nicht unverwundbar, Restrisiken können nicht ausgeschlossen werden. Hier gilt: „Eineabsolute Sicherheitim Netz gibt es nicht“ „Es kann jeden treffen“ und „Kein Unternehmen ist sicher“. Das mag dramatisch klingen, entspricht aber der Realität. Daher sind Cyber-Versicherungen ein wichtiger Baustein im Rahmen einer ganzheitlichen IT-Sicherheitsstrategie.