| Was ist ein Cyber-Risiko?
Unter dem Begriff „Cyber-Risiko“ sind viele einzelne Risiken zusammengefasst, die aus einem potenziellen Cyber-Angriff resultieren. Im Fokus stehen zielgerichtete Angriffe auf Daten- oder IT-Systeme unter Ausnutzung von Informations- und Kommunikationstechnik. Cyber-Angriffe können dabei auch ganze verschiedenartige Informationssicherheitsverletzungen abzielen, die sich hinsichtlich Art und Ausführung des Angriffs teilweise deutlich unterscheiden.
Welche sind die wichtigsten Cyber-Risiken durch kriminelle Ursachen?
- Ausspähen von Geschäftsgeheimnissen und Datenschutzverletzungen durch Phishing
Beim Phishing (ein Neologismus für fishing, dt. angeln) werden häufig kompromittierte E-Mails an ahnungslose Personen geschickt, die die gefährlichen Anhänge dann öffnen. Geschieht dies in einem Unternehmen, können Hacker so Zugriff auf gesamte Unternehmensnetzwerke erhalten, indem sie Login-Daten stehlen. Dadurch entsteht nicht nur ein enormes Datenschutzrisiko, sondern macht es den Angreifern auch möglich, Geschäftsgeheimnisse auszuspähen. - Erpressung und Datenverluste durch Ransomware
Durch sogenannte Ransomware (dt. Lösegeld-Programme) ist es Angreifern möglich, sensible Daten zu verschlüsseln und diese erst gegen ein Lösegeld wieder zugänglich zu machen. Ob Ihre Daten nach der Lösegeldzahlung allerdings wirklich wieder freigegeben werden, ist ungewiss. Im schlimmsten Fall zahlen Sie das Lösegeld und verlieren trotzdem Ihre Daten. - Unterbrechung der IT-Systeme durch DoS-Angriffe
Die sogenannten Denial of Service (DoS, dt. Verweigerung des Dienstes) Angriffe gibt es bereits seit geraumer Zeit, dennoch ist deren Anzahl in den letzten Jahren rapide angestiegen. Grund dafür sind die zahlreichen Geräte des "Internet of Things", die sich in Haushalten und Unternehmen tummeln und leicht manipulieren lassen, beispielsweise vernetzte Sicherheitsanlagen von Gebäuden oder smarte Elektrokleingeräte. Häufig werden DoS-Angriffe jedoch lediglich zur Ablenkung von anderen Hacks ausgeführt.
Nicht-kriminelle Ursachen für Cyber-Risiken
Bitte beachten Sie, dass es neben den bereits erwähnten Cyber-Risiken auch stets solche gibt, die nicht aus kriminellen Aktivitäten herrühren. Dazu zählen beispielsweise höhere Gewalt (Unwetter, Stromausfälle), technisches (Hardware-Versagen, Software-Fehler) und auch menschliches Versagen (Verlust von Datenträgern, versehentliches Veröffentlichen von Informationen). Diese Risiken werden allerdings nur zum Teil von einer Cyber-Versicherung abdeckt; häufig gehört lediglich menschliches Versagen zum Leistungssprektrum.
| Welches Ziel hat ein Cyber-Angriff?
Ziele von Cyber-Angriffen sind eine Störung der Verfügbarkeit, der Integrität und der Vertraulichkeit von informationsverarbeitenden Systemen des betroffenen Unternehmens. Weiter lassen sich die Ziele von Cyber-Angriffen allgemein in zwei Muster aufteilen:
- Auf der einen Seite der verdeckte Cyber-Angriff, bei dem unbemerkt Daten aus den Systemen des betroffenen Unternehmens gestohlen werden (etwa durch Phishing)
- und auf der anderen Seite die Einschleusung von Schadsoftware, die Teile oder das gesamte IT- oder Produktionssystem des betroffenen Unternehmens ausschalten und oftmals nur gegen Zahlung einer geforderten Summe wieder bereitgestellt werden (etwa durch Ransomware).
| Schutz gegen Cyber-Risiken
Am schwersten trifft es die kleinen und mittleren Betriebe. Der einfache Grund: Während Großunternehmen eigene IT-Abteilungen und umfangreiche Sicherheitsvorkehrungen vorhalten, sind KMUs in diesem Bereich oft nicht ausreichend auf Cyber-Angriffe vorbereitet und unterschätzen vielfach die Bedrohung für den eigenen Betrieb. Häufig fehlen Zeit oder Ressourcen, um sich im nötigen Umfang abzusichern. Dabei ist ein effektiver Schutz durch eine Cyber-Versicherung gerade für kleinere Unternehmen von hoher Bedeutung, da ein erfolgreicher Cyber-Angriff gravierende Schäden verursachen und in einigen Fällen sogar die Existenz bedrohen kann.
Der erste Schritt: Eine gute IT-Infrastruktur
Damit erst gar keine Cyber-Risiken entstehen können, sollten Sie von vornherein Wert auf eine sichere IT-Infrastruktur legen. Auch wenn sich die Technologie ständig verändert und es besonders für kleine Unternehmen schwierig sein kann, die Systeme up to date zu halten, vermeiden Sie durch Aufbau und Erhaltung einer sicheren Infrastruktur empfindliche Verluste – ob es nun Daten sind oder Geld. Ebenfalls wichtig ist, dass Sie das Bewusstsein für Cyber-Risiken intern schärfen, damit zukünftige Bedienfehler o. Ä. reduziert werden können. Der zusätzliche Schutz durch eine Cyber-Versicherung kann sinnvoll sein, wenn Sie sich gegen die Folgekosten einer Cyber-Attacke absichern möchten – die Kosten entstehen nämlich erst mit der Attacke: Für Datenschutzverletzungen fallen z. B. Anwalts- bzw. Gerichtskosten an, zusätzlich kann es auch zu Vertragsstrafen kommen. Weiterhin müssen die beschädigten Systeme auch wieder repariert werden. Für kleine Unternehmen entsteht so häufig ein unstemmbarer Betrag.
| Welchen Schutz bietet eine Cyber-Versicherung?
Eine Cyber-Versicherung schützt Unternehmen und ihre Mitarbeiter gegen Vermögensschäden, die durch Cyber-Angriffe entstehen können. Eine Cyber-Versicherung ist jedoch keine Investition in IT-Sicherheit, sondern vielmehr eine präventive Investition, um die Kosten eines möglichen Angriffes zu minimieren. Dass ein solcher Angriff nur eine Frage der Zeit ist, belegen Studien zum Thema Cyberattacken. So waren mindestens die Hälfte der deutschen Unternehmer bereits Opfer einer Cyberattacke – mit einem Schaden im zweistelligen Milliarden-Bereich.
Während übliche Betriebs- oder Berufshaftpflichtversicherungen Cyber-Risiken nur ungenügend absichern, deckt die spezialisierte Cyber-Versicherung gezielt Schäden ab, die aus böswilligen Cyber-Angriffen resultieren. Hierbei muss jedoch zwischen sogenannten Dritt- und Eigenschäden unterschieden werden.
Drittschäden
Die Cyber-Versicherung übernimmt alle sogenannten Drittschäden, also wenn bspw. ein Kunde durch den Cyber-Angriff des Unternehmens geschädigt wird. Darunter fallen Datenschutzrechts- oder Persönlichkeitsrechtsverletzungen, aber auch Rufschädigung oder etwaige Schadensersatzansprüche.
Eigenschäden
Auch für Schäden, die Ihnen und Ihrem Unternehmen durch einen Cyber-Angriff entstehen, springt die Cyber-Versicherung ein. Dabei dient sie nicht nur zum Ausgleich des direkten Schadens, sondern auch für die komplette Sanierung und Wiederherstellung der Geschäftstätigkeit. Dazu gehören unter anderem:
- Reparatur und Wiederherstellung der firmeneigenen IT-Systeme
- Beauftragung auf Cyber-Kriminalität spezialisierter Anwälte und Computer-Forensiker
- Krisenmanagement
- strafrechtliche Verteidigung