Die Sorge der Unternehmer vor Cyber-Angriffen hat es im Allianz-Risk-Barometer 2022 auf den zweiten Platz geschafft. Jedes zweite deutsche Unternehmen wurde bereits Opfer eines Hackerangriffs. Der jährliche Schaden wird laut bitkom.org auf über 220 Milliarden Euro geschätzt. Die derzeitigen globalpolitischen Spannungen erhöhen das Risiko zusätzlich. Eine der Konsequenzen: Der Kauf geeigneter Versicherungspolicen wird schwieriger, die Auflagen restriktiver und die Deckungen geringer.
Internetkriminalität ist eine Art „Geschäftsmodell“ für Programmierer fernab heimischer Märkte. Jeder kann heute jede Art Schadsoftware, Verschlüsselungssoftware und Trojaner inkl. Datenver- und Datenentschlüsselungstechnik im Internet kaufen. Der Einsatz ist vielfältig, so z.B. zur Wettbewerber- Diskriminierung, zur Lösegelderpressung oder einfach nur „aus Spaß“. Weniger spaßig ist das Thema für betroffene Unternehmen. Fakt ist: Ein Cyberangriff ist jederzeit bei “Jedem” möglich.
Weit gefehlt, wer glaubt, sein Unternehmen gehört nicht zur Risikogruppe. Gefährdet ist jedes Unternehmen, egal welcher Größe, sofern es in irgendeiner Art mit dem World-Wide-Web verbunden ist und digitale Kommunikationsmittel wie E-Mails nutzt. Unternehmen, die fremde Daten speichern und verarbeiten, haben besondere Verantwortung zu tragen. Jede Form persönlicher Daten – von Namen über Adressen bis zu Bankverbindungen oder Geburtsdaten – sind laut Gesetz besonders schützenswert. Ein besonderer Gefährdungsfaktor ist der Mensch. Wo Menschen arbeiten, passieren Fehler. Im Büroalltag kann diesen durch geeignete, mitunter kostenfreie, Awareness-Schulungen vorgebeugt werden – ausschließen lassen sie sich nicht.
Cyberangriffe lassen sich nicht mehr „unter den Teppich“ kehren. Es besteht Meldepflicht, wenn es sich um einen Verstoß gegen das Datenschutzgesetz handelt. Der ist immer dann gegeben, wenn persönliche Daten entwendet werden. Beispiele kann jeder unter www.projekt- datenschutz.de/datenschutzvorfaelle finden. Auch wer durch unzureichende Sicherung seines Datenbestandes oder nicht getroffene Sicherungsmaßnahmen die Schädigung eines Dritten begünstigt, ist Mitschuldiger und wird zur Rechenschaft gezogen.
Kommt es zu einem erfolgreichen Angriff, unterscheidet man zwischen Eigen- und Fremdschäden sowie Verstößen gegen das Datenschutzgesetz. Betriebsstillstand und Umsatzverlust rangieren bei den Eigenschäden an oberster Position. Der Reputationsschaden folgt an dritter Stelle – je kleiner das Unternehmen, desto verheerender. Die Kosten für Forensik – also das Ermitteln von Schadenursachen und Schwachstellen sind gleichermaßen hoch. Dienstleister sind rar und deren Leistungen teuer. Bei einem Verstoß gegen eine vertragliche oder gesetzliche Verpflichtung zum Datenschutz wird es – neben dem Eigenschaden – vertrags- oder strafrechtliche Ansprüche Dritter auf Schadenersatz geben. Die größte Kostenposition dürfte die für schnelle Hilfe, Unterstützung und Wiederherstellung von Technik, Prozessen und Daten sowie deren Sicherheit sein, ferner für einen sofort greifenden Notfallplan inklusive Unterstützung durch Anwälte und Kommunikationsspezialisten. Schließlich soll der Betrieb möglichst schnell wieder laufen.
Die erhebliche Gefährdungszunahme hat bei den Versicherern bereits zu einer massiven Veränderung des Schadenaufwandes geführt. Die Konsequenzen: Der Kauf geeigneter Policen wird schwieriger, die Auflagen restriktiver und die Deckungen geringer. Hier kommt es auf qualifiziertes Wissen an, mit der richtigen Methodik die bestmöglichen Ergebnisse zu erreichen.
Können Sie sich vorstellen oder ausschließen, dass …
- Sie oder Ihre Mitarbeiter eine infizierte Mail öffnen?
- ein Fremder Ihre Daten verschlüsselt?
- jemand mit Ihren Daten viel Geld verdienen möchte?
- Sie mit Ihren eigenen Daten erpresst werden?
- es jemand auf Ihre Kunden abgesehen hat und Ihr System als Sprungbrett nutzt?
- die Internetkriminellen immer schneller sind als die Sicherheitstechniker?
Wissen Sie, wie hoch Ihr Risiko ist? Wissen Sie, …
- wer wie Zugang zu Ihren Systemen hat?
- welche Geschäftsprozesse gefährdet sind?
- welche Konsequenzen der Ausfall Ihrer IT/Website hat?
- ob Ihre Mitarbeiter ausreichend sensibilisiert sind?
- welche Auswirkungen Spionage/Datendiebstahl auf Ihr Unternehmen hat?
- was zu tun ist, wenn es zu einem erfolgreichen Angriff auf Ihr Unternehmen gekommen ist?
Jedes Unternehmen hat ein ganz individuelles Risikoprofil – abhängig von …
- Geschäftsmodell | Unternehmensgröße | Zahlungsverkehr
- Art und Menge der Daten | Datensicherung und Datenschutz – Mitarbeitersensibilisierung
- Interne/externe Datenschutzverpflichtungen
- Bisherige bekannte Schäden | Schadenverhütungsvorschriften
Mithilfe einer Cyber-Police versicherbar sind z.B. …
- Wiederherstellungskosten
- Schadenersatzansprüche Dritter wegen Vertraulichkeits- und Datenschutzverletzungen
- Betriebsunterbrechungsschäden
- Umsatzverluste
- Aufklärung des Vorfalls, Kosten für IT-Forensik
- Rechts-, Sicherheits- und/oder PR-Berater
- Reputationsschäden
- Erpressungsgeld/Lösegeldzahlungen/Belohnungen
- Vertragsstrafen/Bußgelder
- Sicherheitsverbesserungen
- Kosten für Krisenmanagement
- Informationskosten
- Kreditüberwachungsdienstleistungen
- Anwaltliche Vertretung bei Strafverfahren wegen Datenschutzverletzung