Welche Cyber-Risiken gibt es und wer ist betroffen?

Ob es nun der liegen gelassene USB-Stick im Zug ist oder eine gezielte Cyber-Attacke auf Ihr IT-System: Mindestens die Hälfte der deutschen Unternehmen war bereits einem Cyber-Risiko ausgesetzt – und im Zuge der Digitalisierung wird diese Zahl vermutlich weiter ansteigen. Unternehmen können sich jedoch gegen diese vielseitigen Risiken absichern – ob nun verursacht durch kriminelle Aktivitäten bis hin zu höherer Gewalt (etwa einem Stromausfall durch Unwetter, der einen Datenverlust nach sich zieht): Durch sogenannte Cyber-Versicherungen können Unternehmer sich nicht nur vor z. B. Umsatzausfällen schützen, sondern profitieren auch von Notfall-Serviceleistungen der Versicherer.

Selbst ungezielte Angriffe aus dem Netz können im Extremfall zum Ausfall Ihrer gesamten IT-Infrastruktur führen und große Schädem nach sich ziehen. Um sich zu schützen, ist es ratsam, zunächst einen Überblick über die möglichen Cyber-Risiken zu gewinnen. So können Sie im Anschluss besser bestimmen, welche Risiken für Ihr Unternehmen potenziell gefährlich sind.

Was ist ein Cyber-Risiko?

Unter dem Begriff „Cyber-Risiko“ sind viele einzelne Risiken zusammengefasst, die aus einem potenziellen Cyber-Angriff resultieren. Im Fokus stehen zielgerichtete Angriffe auf Daten- oder IT-Systeme unter Ausnutzung von Informations- und Kommunikationstechnik. Cyber-Angriffe können dabei auch ganze verschiedenartige Informationssicherheitsverletzungen abzielen, die sich hinsichtlich Art und Ausführung des Angriffs teilweise deutlich unterscheiden.

Welche sind die wichtigsten Cyber-Risiken durch kriminelle Ursachen?

  1. Ausspähen von Geschäftsgeheimnissen und Datenschutzverletzungen durch Phishing
    Beim Phishing (ein Neologismus für fishing, dt. angeln) werden häufig kompromittierte E-Mails an ahnungslose Personen geschickt, die die gefährlichen Anhänge dann öffnen. Geschieht dies in einem Unternehmen, können Hacker so Zugriff auf gesamte Unternehmensnetzwerke erhalten, indem sie Login-Daten stehlen. Dadurch entsteht nicht nur ein enormes Datenschutzrisiko, sondern macht es den Angreifern auch möglich, Geschäftsgeheimnisse auszuspähen.
  2. Erpressung und Datenverluste durch Ransomware
    Durch sogenannte Ransomware (dt. Lösegeld-Programme) ist es Angreifern möglich, sensible Daten zu verschlüsseln und diese erst gegen ein Lösegeld wieder zugänglich zu machen. Ob Ihre Daten nach der Lösegeldzahlung allerdings wirklich wieder freigegeben werden, ist ungewiss. Im schlimmsten Fall zahlen Sie das Lösegeld und verlieren trotzdem Ihre Daten.
  3. Unterbrechung der IT-Systeme durch DoS-Angriffe
    Die sogenannten Denial of Service (DoS, dt. Verweigerung des Dienstes) Angriffe gibt es bereits seit geraumer Zeit, dennoch ist deren Anzahl in den letzten Jahren rapide angestiegen. Grund dafür sind die zahlreichen Geräte des "Internet of Things", die sich in Haushalten und Unternehmen tummeln und leicht manipulieren lassen, beispielsweise vernetzte Sicherheitsanlagen von Gebäuden oder smarte Elektrokleingeräte. Häufig werden DoS-Angriffe jedoch lediglich zur Ablenkung von anderen Hacks ausgeführt.

Nicht-kriminelle Ursachen für Cyber-Risiken

Bitte beachten Sie, dass es neben den bereits erwähnten Cyber-Risiken auch stets solche gibt, die nicht aus kriminellen Aktivitäten herrühren. Dazu zählen beispielsweise höhere Gewalt (Unwetter, Stromausfälle), technisches (Hardware-Versagen, Software-Fehler) und auch menschliches Versagen (Verlust von Datenträgern, versehentliches Veröffentlichen von Informationen). Diese Risiken werden allerdings nur zum Teil von einer Cyber-Versicherung abdeckt; häufig gehört lediglich menschliches Versagen zum Leistungssprektrum.

Welches Ziel hat ein Cyber-Angriff?

Ziele von Cyber-Angriffen sind eine Störung der Verfügbarkeit, der Integrität und der Vertraulichkeit von informationsverarbeitenden Systemen des betroffenen Unternehmens. Weiter lassen sich die Ziele von Cyber-Angriffen allgemein in zwei Muster aufteilen:

  • Auf der einen Seite der verdeckte Cyber-Angriff, bei dem unbemerkt Daten aus den Systemen des betroffenen Unternehmens gestohlen werden (etwa durch Phishing)
  • und auf der anderen Seite die Einschleusung von Schadsoftware, die Teile oder das gesamte IT- oder Produktionssystem des betroffenen Unternehmens ausschalten und oftmals nur gegen Zahlung einer geforderten Summe wieder bereitgestellt werden (etwa durch Ransomware).

Wie kann man sich gegen Cyber-Risiken schützen?

Am schwersten trifft es die kleinen und mittleren Betriebe. Der einfache Grund: Während Großunternehmen eigene IT-Abteilungen und umfangreiche Sicherheitsvorkehrungen vorhalten, sind KMUs in diesem Bereich oft nicht ausreichend auf Cyber-Angriffe vorbereitet und unterschätzen vielfach die Bedrohung für den eigenen Betrieb. Häufig fehlen Zeit oder Ressourcen, um sich im nötigen Umfang abzusichern. Dabei ist ein effektiver Schutz durch eine Cyber-Versicherung gerade für kleinere Unternehmen von hoher Bedeutung, da ein erfolgreicher Cyber-Angriff gravierende Schäden verursachen und in einigen Fällen sogar die Existenz bedrohen kann.

Der erste Schritt: Eine gute IT-Infrastruktur

Damit erst gar keine Cyber-Risiken entstehen können, sollten Sie von vornherein Wert auf eine sichere IT-Infrastruktur legen. Auch wenn sich die Technologie ständig verändert und es besonders für kleine Unternehmen schwierig sein kann, die Systeme up to date zu halten, vermeiden Sie durch Aufbau und Erhaltung einer sicheren Infrastruktur empfindliche Verluste – ob es nun Daten sind oder Geld. Ebenfalls wichtig ist, dass Sie das Bewusstsein für Cyber-Risiken intern schärfen, damit zukünftige Bedienfehler o. Ä. reduziert werden können. Der zusätzliche Schutz durch eine Cyber-Versicherung kann sinnvoll sein, wenn Sie sich gegen die Folgekosten einer Cyber-Attacke absichern möchten – die Kosten entstehen nämlich erst mit der Attacke: Für Datenschutzverletzungen fallen z. B. Anwalts- bzw. Gerichtskosten an, zusätzlich kann es auch zu Vertragsstrafen kommen. Weiterhin müssen die beschädigten Systeme auch wieder repariert werden. Für kleine Unternehmen entsteht so häufig ein unstemmbarer Betrag.

Welchen Schutz bietet eine Cyber-Versicherung?

Eine Cyber-Versicherung schützt Unternehmen und ihre Mitarbeiter gegen Vermögensschäden, die durch Cyber-Angriffe entstehen können. Eine Cyber-Versicherung ist jedoch keine Investition in IT-Sicherheit, sondern vielmehr eine präventive Investition, um die Kosten eines möglichen Angriffes zu minimieren. Dass ein solcher Angriff nur eine Frage der Zeit ist, belegen Studien zum Thema Cyberattacken. So waren mindestens die Hälfte der deutschen Unternehmer bereits Opfer einer Cyberattacke – mit einem Schaden im zweistelligen Milliarden-Bereich.

Während übliche Betriebs- oder Berufshaftpflichtversicherungen Cyber-Risiken nur ungenügend absichern, deckt die spezialisierte Cyber-Versicherung gezielt Schäden ab, die aus böswilligen Cyber-Angriffen resultieren. Hierbei muss jedoch zwischen sogenannten Dritt- und Eigenschäden unterschieden werden.

Drittschäden

Die Cyber-Versicherung übernimmt alle sogenannten Drittschäden, also wenn bspw. ein Kunde durch den Cyber-Angriff des Unternehmens geschädigt wird. Darunter fallen Datenschutzrechts- oder Persönlichkeitsrechtsverletzungen, aber auch Rufschädigung oder etwaige Schadensersatzansprüche.

Eigenschäden

Auch für Schäden, die Ihnen und Ihrem Unternehmen durch einen Cyber-Angriff entstehen, springt die Cyber-Versicherung ein. Dabei dient sie nicht nur zum Ausgleich des direkten Schadens, sondern auch für die komplette Sanierung und Wiederherstellung der Geschäftstätigkeit. Dazu gehören unter anderem:

  • Reparatur und Wiederherstellung der firmeneigenen IT-Systeme
  • Beauftragung auf Cyber-Kriminalität spezialisierter Anwälte und Computer-Forensiker
  • Krisenmanagement
  • strafrechtliche Verteidigung

Fazit: Schützen Sie sich und Ihr Unternehmen gegen Cyber-Risiken

Jedes Unternehmen, das elektronische Systeme zur Datenverarbeitung und Kommunikation einsetzt, ist grundsätzlich von Cyber-Risiken bedroht. Während Cyber-Risiken nicht-kriminellen Ursprungs oftmals kaum vermeidbar sind, können Sie sich gegen kriminelle Angriffe allerdings wehren.

Die Kosten im Schadensfall sind nicht zu unterschätzen; Sie sollten daher über den Abschluss einer Cyber-Versicherung nachdenken, wenn Sie sich gegen Schäden resultierend aus folgenden Risiken absichern wollen:

  • Cyber-Risiken wie Datenverlust, Epressung oder Unterbrechung des Betriebs sowie
  • Bedienfehler oder menschliches Versagen

Neben Datenschutzverletzungen und den daraus resultierenden DSGVO-Bußgeldern müssen Sie auch die Wiederherstellung Ihres IT-Systems mit einkalkulieren sowie ein Krisenmanagement vorweisen können, das sich um den Sicherheitsbruch kümmert. Eine Cyberversicherung schützt Sie vielleicht nicht gegen kriminelle Angriffe, unterstützt Sie im Schadensfall jedoch von A bis Z.

Große Unternehmen sollten eine solche Versicherung also in jedem Fall abschließen. Doch auch kleine und mittelständische Firmen ebenso wie Selbstständige sollten über eine Cyber-Versicherung nachdenken – insbesondere dann, wenn sie sensible Kundendaten verwalten.