Email-Wurm, Trojaner und Phishing sind schuld: Jedes Jahr verursacht die Cyberkriminalität weltweit einen Schaden von rund 350 Milliarden Euro. Knip erklärt, wieso in solch einer Situation eine Versicherung gegen Cyberkriminalität dein Unternehmen schützen kann. 

Das wohl bekannteste Beispiel von Cyberkriminalität, das im vergangenen Jahr durch die Medien ging: Yahoo. Dort wurden 500 Millionen Nutzerdaten bei einem Hackerangriff gestohlen. Das bedeutet, dass Namen, Adressen und Passwörter in die Hände von Kriminellen gefallen sind. Dieser Fall gilt als einer der größten Datendiebstähle aller Zeiten bei einem Email-Anbieter. Das brisante: Der Hackerangriff geschah bereits 2014, aber erst 2016 wurde der Vorfall öffentlich bekannt, als 200 Millionen Daten im Netz zum Kauf angeboten wurden. Der Vorfall zeigt, dass auch ein 5 Milliarden Dollar schweres Unternehmen nicht vor Hackerangriffen und Datendiebstahl gefeit ist. Der Schaden ist immens.

Nur 6 von 100 Unternehmen sind gegen Cyberkriminalität ausreichend versichert

Egal welcher Fall zutrifft: Ob Hackerangriff oder der „selbstverschuldete“ Datenverlust, solche Cyberrisiken werden für Unternehmen immer mehr zu einem Problem. Dennoch ist eine erschreckend hohe Zahl von Unternehmen nicht ausreichend auf diese neuen Herausforderungen vorbereitet. Beispielsweise ergab eine repräsentative Umfrage unter deutschen Mittelständlern von 2013, dass 22 Prozent der befragten Unternehmen kein Backup-System besitzen. 41 Prozent versenden sensible Daten unverschlüsselt per Email. Und 94 Prozent – also die allermeisten Unternehmen – sind nicht gegen Online-Kriminalität versichert!

Ein Problem ist natürlich das zumeist trügerische Vertrauen der Unternehmen in die Leistungsfähigkeit und Sicherheit der eigenen IT-Systeme. Es besteht jedoch ein weiteres Problem, das mindestens genauso häufig unterschätzt wird: Cyberangriffe müssen nicht zwangsläufig IT-basiert sein. Mindestens genauso oft nutzen Angreifer Schwächen in der Organisation eines Unternehmens oder nutzen die Hilfsbereitschaft unbedarfter Mitarbeiter aus, die dann versehentlich das Sicherheitssystem außer Kraft setzen. Ein solches Vorgehen bezeichnet man auch als Social Engineering. Doch selbst die Antizipation aller Risiken und die größtmögliche Anstrengung zu deren Minimierung können keinen absoluten Schutz garantieren.

Zur Bewältigung einer Krise, die durch Cyberkriminalität hervorgerufen wurde, werden neben erfahrenen IT-Forensikern vor allem Krisenmanager und Kommunikationsexperten benötigt. Denn Cyberkriminalität erzeugt fast immer sofort ein großes öffentliches Interesse und komplexe technische Sachverhalte müssen für Kunden und Geschäftspartner verständlich aufbereitet werden. Ein typisches Einsatzgebiet der Krisenkommunikation von Public-Relations-Experten mit den Vertretern von Presse, Politik und Behörden.

Wie hoch ist das Haftungsrisiko bei Cyberkriminalität?

Viele Geschäftsführer einer GmbH unterschätzen das Haftungsrisiko ihres Unternehmens für Datenlecks. So kommt es, dass Datenverlust, beziehungsweise Datendiebstahl eine der Hauptursachen für die hohe Insolvenzquote in Deutschland sind. Mangelndes Risikomanagement, schlechte Frühwarnsysteme und veraltete Sicherheitssysteme werden den meisten Unternehmen zum Verhängnis. Beispielsweise indem Informationen zu geheimen Projekten, Forschungsdaten oder Innovationen gestohlen werden. Aber auch die Schadensersatzansprüche, wenn Kundendaten verloren gehen, sind enorm.

Wo die Versicherung ins Spiel kommt

Arbeitet das Krisenmanagement schnell und professionell, lässt sich ein Großteil der Vorfälle managen, ohne dass sie an die Öffentlichkeit dringen. Um auch den finanziellen Schaden zu begrenzen, bieten mittlerweile einige Versicherungsgesellschaften eigene Policen zur Absicherung gegen Cyberschäden und IT-Sicherheitsrisiken an. Typische Risiken für IT-Systeme, die sich versichern lassen, sind allgemein in sechs Bereiche unterteilt:

• Malware, zum Beispiel verseuchte Software

• Hacking, etwa das Eindringen von Extern

• Missbrauch durch Insider, beispielsweise in Form von Datenweitergabe

• Social Engineering, die Beeinflussung von Menschen, um an Informationen zu gelangen

• Physische Angriffe und Verlust von Speichermedien

• Fehlfunktionen

Es gibt allerdings auch spezielle Risiken die je nach Versicherer pauschal ausgeschlossen werden, genauso wie manche Unternehmen bestimmter Branchen in der Regel nicht versichert werden. Dazu zählen Anbieter von Bezahlsystemen, Social-Network-Plattformen oder Anbieter pornografischer Inhalte.