Cyber Security IT-Risiken im Mittelstand erkennen, vorbeugen, versichern

Menü

Tatort Forellenhof

Rolf Drescher möchte auf dem Forellenhof in Wingeshausen anfangen. So steht es in der Mail, die Hotelier Mirco Laaser an diesem Dienstagmorgen öffnet. Laaser klickt auf den Anhang, Dreschers Lebenslauf, und erlebt ein Desaster. Die Buchungen des Jahres: weg. Die Kassenbücher der Vergangenheit: vernichtet. Die Auswirkungen: existenzbedrohend. Denn Rolf ist kein Bewerber. Rolf ist ein Schadprogramm – geschrieben, um alle Dateien auf dem Rechner des Forellenhofs zu verschlüsseln. Das Hotel im Rothaargebirge wird lahmgelegt, durch einen Angriff aus dem Cyberspace.

Den Schaden wird Laaser wohl aus eigener Tasche bezahlen müssen. Gegen Feuer ist das Hotel versichert. Gegen Sturm hat der Forellenhof eine Police. Doch gegen die Gefahren aus dem Netz ist Laaser nicht versichert.

Nur wenige Unternehmen in Deutschland haben bislang eine Cyberversicherung abgeschlossen. Es sind vor allem Konzerne, die eigene IT-Abteilungen besitzen und die professionelle Abwehrstrategien gegen Hackerangriffe entwickelt haben. Sie wissen um die enormen Schäden, die Cyberkriminelle anrichten können. Viele kleine und mittelgroße Betriebe unterschätzen hingegen das Risiko, Opfer von Datenklau, Erpressung oder Computersabotage zu werden. Sie ahnen nicht, dass ein Angriff im schlimmsten Fall den ganzen Betrieb lahmlegen kann. „Ich hätte nie gedacht, dass ich als kleines Hotel hier ein großes Problem haben könnte“, räumt auch Laaser ein. „Noch bis zum Herbst werde ich Ärger mit Doppelbuchungen haben.“

Endlich: Versicherungen gegen Cyberangriffe

Das mangelnde Risikobewusstsein vieler Mittelständler führt zu einer gewissen Sorglosigkeit. Die IT-Systeme offenbaren teilweise erhebliche Sicherheitslücken. Programm-Updates erfolgen mitunter erst spät, Vorgaben an die Mitarbeiter zum Umgang mit Dateianhängen oder mobilen Endgeräten fehlen vielerorts genauso wie Notfallpläne für den Ernstfall. Deshalb hat sich die Assekuranz bislang schwergetan, Mittelständler mit einer Cyberversicherung zu schützen: zu groß schien der Prüfaufwand, zu unwägbar die Risiken und Kosten im Schadensfall.

Eine neue Initiative – angeführt vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) – will das ändern und den Cyberpolicen zum Durchbruch bei kleineren Unternehmen verhelfen. Mit sogenannten Musterbedingungen haben sich die Versicherer auf ein Grundgerüst geeinigt – quasi einen Bauplan, mit dem jeder Versicherer Cyberpolicen für seine Kunden erstellen kann. Ein einfacher Fragebogen soll künftig bei vielen Anbietern ausreichen, um das Risiko zu ermitteln und sich gegen die häufigsten Gefahren des Netzes absichern zu können.

Passgenaue Lösungen für Mittelständler

„Wir brauchten eine Lösung, die nicht nur auf die großen Konzerne zielt, sondern auf den in Deutschland besonders ausgeprägten Mittelstand und die vielen kleineren Unternehmen“, sagt Thomas Pache, Sprecher der Arbeitsgruppe Cyberversicherung beim GDV. Zu einem Weltkonzern könne ein Versicherer hinfahren, um zu prüfen, welche Sicherheitskonzepte vorhanden seien und welche Risiken dort lauerten. „Für jeden einzelnen Selbstständigen ist dieser Aufwand nicht zu leisten“, so Pache. Ein Standard für die IT-Sicherheit würde in solchen Fällen helfen und könnte mit dafür sorgen, dass sich der Schutz vor Trojanern, Viren und Hackern in den Betrieben flächendeckend etabliert. „Cyberpolicen können die gleiche Bedeutung wie die traditionelle Feuerversicherung erlangen“, sagt Mathieas Kohl, Leiter des Versicherungsgeschäfts beim Medizintechnik-Hersteller Dräger.

Der Bedarf jedenfalls ist riesig. Mittelständler wie das Hotel Forellenhof bilden das Rückgrat der deutschen Wirtschaft. 96,6 Prozent der Unternehmen sind Betriebe mit weniger als 10 Millionen Euro Umsatz: Handwerker, Rechtsanwälte, Ärzte, kleine Fabriken, die Boutique um die Ecke zählen dazu. Sie alle sind für Hacker lohnende Ziele. Kaum ein Betrieb, der heute noch ohne Computer auskommt: Termine, Patente, Abrechnungen, Fertigungspläne oder Patienteninformationen – alles landet auf dem Rechner. Und alles können Cyberkriminelle zu Geld machen, indem sie die Daten ausspionieren, zerstören oder den Zugriff darauf blockieren.

„Wir haben es hier mit einem ganz neuen Risiko in einer immer komplexeren technischen Umwelt zu tun“, erklärt Pache. Weil Computer und IT in fast jedem Betrieb eine Rolle spielen und es nicht nur die eine Gefahr aus dem Netz gibt, sollte die Cyberversicherung gleich gegen mehrere Gefahren absichern. Die Musterbedingungen sehen sechs Leistungsbausteine vor, die Firmen gegen Datenklau, Datenverlust, Schadenersatzansprüche und Betriebsunterbrechungen absichern.

Die Versicherer ersetzen jedoch nicht nur Schäden: Ihre Arbeit beginnt damit, herauszufinden, was eigentlich passiert ist, ob überhaupt ein Versicherungsfall vorliegt und wie groß der Schaden ist. Während ein Laie den Hergang eines Verkehrsunfalls noch ungefähr rekonstruieren kann, blickt er nach einer Cyberattacke meist nur ratlos auf einen blauen Bildschirm. „Deshalb muss die Unterstützung der Versicherten durch IT-Spezialisten elementarer Bestandteil einer Cyberversicherung sein“, erklärt Pache.

Karsten Zimmer ist so ein Spezialist. Genauer: IT-Forensiker. Die Adresse seiner Website lautet www.csi-menden.de – „CSI“ wie in den amerikanischen Krimi-Serien, in denen Verbrechen mithilfe modernster Laboranalysen aufgeklärt werden. „Ich vergleiche meine Arbeit gern mit der eines Pathologen, der eine Leiche seziert“, erzählt Zimmer. Wenn er gerufen wird, heißt es meist nur: „Irgendetwas stimmt mit dem Computer nicht.“ Dann geht Zimmer an die Arbeit: Was für Skripte laufen im Hintergrun+d? Findet ein Fernzugriff statt? Versteckt sich irgendwo ein Keylogger – ein Programm, das alle Tastatureingaben aufzeichnet? Und werden Daten ausgesendet?

Oft gehen die Angreifer gezielt vor und wissen genau, wonach sie suchen. Zimmer schätzt, dass, abseits von Ransomware-Angriffen, hinter jeder vierten Cyberattacke die Konkurrenz steckt. „Ich hatte schon ein Stahlunternehmen, bei dem ein chinesischer Konkurrent in der Produktionsanlage die Temperatur verändert hatte“, erzählt der Forensiker. Auch die Qualitätskontrolle manipulierten die chinesischen Hacker. Die Folge: Bei den Kunden hielt der Stahl den Bruchtests nicht stand, der Stahlproduzent verlor den Auftrag. „Das ging fast bis zum Konkurs“, erzählt Zimmer.

Er ist gefordert, Beweise auf den gehackten Computern so zu sichern, dass sie gerichtsfest sind. Nur dann können die Hacker auch in Regress genommen werden. „Ich arbeite immer nur mit einer Kopie der Kopie der Originalfestplatte“, sagt Zimmer. Anders als die IT-Verantwortlichen in den Firmen. „Administratoren machen Fehler: Sie scannen nach Viren, starten den Computer neu und geben dem Virus damit die Macht, das Schadprogramm auszuführen.“

Unverzichtbar: Der Gang zur Polizei

Werden Daten nicht nur verschlüsselt oder gelöscht, sondern abgesaugt, wird es auch rechtlich kompliziert. „Immer wenn ein Unternehmen Daten von identifizierbaren Personen speichert, bewegt es sich in der Sphäre des Datenschutzrechts“, sagt Anwalt Michael Kamps, Partner der Kanzlei CMS Hasche Sigle. Werden sensible Kundeninformationen von Hackern geklaut, müssen eventuell Datenschutzbehörden und jeder Betroffene informiert werden. Kamps arbeitet häufig im Auftrag von Versicherern, um angegriffene Unternehmen juristisch zu beraten. „Die Mandanten fallen oftmals aus allen Wolken, wenn wir ihnen sagen, dass sie sich bei einer Behörde quasi selbst anzeigen müssen“, erzählt Kamps. Wenn Gesundheits-, Bank- oder Kreditkarteninformationen oder auch Daten, die einem Berufsgeheimnis unterliegen, verloren gehen und sich hieraus besondere Risiken für die Betroffenen ergeben, schreibt das Bundesdatenschutzgesetz eine Meldung vor. Gerade Bankdaten werden in jeder Firma gespeichert: „Jede Personalakte enthält heutzutage eine Kontoverbindung“, sagt Kamps.

Ab 2018 wird durch das neue europäische Datenschutzrecht jeder Datenverlust von persönlichen Daten meldepflichtig. Verstoßen Unternehmen dagegen, drohen empfindliche Bußgelder. Gerade weil bei einem Datendiebstahl schnell rechtliche Fallstricke drohen, ist in einer Cyberversicherung die Rechtsberatung als Serviceleistung eingeschlossen. In interdisziplinären Teams mit den IT-Forensikern müssen Juristen klären, ob Informationen wirklich abgeflossen sind. Kamps: „Wir haben zwar viele größere Fälle betreut, aber eben auch eine Vielzahl von Mittelständlern bis hin zu kleinen Unternehmen mit nur 10 bis 15 Mitarbeitern.“

Entsteht Kunden oder Geschäftspartnern durch die gestohlenen Daten ein Schaden, müssen die Betriebe dafür geradestehen. Mit einer Cyberversicherung werden diese Drittschäden, also Schäden an anderen, ersetzt. Zudem können die Rechtsberater helfen, unberechtigte Schadenersatzforderungen abzuwehren. Bei schwerwiegenden Datenlecks zwingt das Gesetz dazu, neben der Datenschutzbehörde auch die Betroffenen zu informieren. „Spätestens dann wird die Cyberattacke auch zur Herausforderung für die Unternehmenskommunikation“, sagt Kamps. Das sieht Krisenkommunikationsexperte Tobias Mündemann, Senior Partner bei der PR-Agentur Edelman.ergo, genauso: „Cyberkrisen sieht man selten am Horizont auftauchen, die Vorwarnzeit ist quasi gleich null.“ Zudem sei es schwierig, den richtigen Ton zu treffen. „Bei Krisen wie Unfällen mit Verletzten oder Toten ist es absolut notwendig, dass betroffene Unternehmen mitfühlend sind“, sagt Mündemann, der im Auftrag von Versicherern in interdisziplinären Krisenteams mitgearbeitet hat. Bei Cyberattacken passen übliche Reaktionsmuster nicht. Häufig gehe es um die grundlegende technische Kompetenz des Angegriffenen, deswegen sei es absolut erfolgskritisch, nicht als technisch inkompetent dazustehen.

Für entgangene Gewinne kommt der Versicherer auf

Ein Kardinalfehler für Unternehmen sei, die Gefahr einer solchen Krise zu leicht zu nehmen: „Cyberkriminalität ist nichts Harmloses“, betont Mündemann. Wichtig sei in solchen Fällen, zuzugeben, dass es ein Problem gebe und dass dies Auswirkungen habe, und zugleich klarzumachen, dass man an einer Lösung arbeitet. „In Zeiten von Social Media sollte niemand davon ausgehen, Störungen unter der Decke halten zu können.“

Das Lukaskrankenhaus in Neuss hat das gar nicht erst versucht, sondern sofort die Öffentlichkeit informiert, nachdem ein Virus – versteckt im Anhang einer E-Mail – in das IT-System eingedrungen war und alle Daten verschlüsselt hatte. Die Klinik musste sämtliche Computer herunterfahren und wochenlang auf Handbetrieb umstellen. Eine Cyberversicherung hatte die Klinik damals noch nicht, sie hätte ihr aber genutzt. Denn der Versicherer zahlt auch den Schaden, wenn durch den Handbetrieb mit Stift und Zettel alles langsamer läuft oder der Betrieb gänzlich zum Erliegen kommt. Entgangene Gewinne und die laufenden Kosten werden über einen vereinbarten Tagessatz kompensiert.

Auch die Kosten für eine Datenwiederherstellung übernimmt der Versicherer – inklusive der Kosten für den IT-Forensiker. Wenn ein Virus sich im Netzwerk einer Kanzlei oder Arztpraxis eingenistet hat, kann die Wiederherstellung sehr aufwendig werden. „Standardisierte Viren findet man innerhalb einer Stunde, aber bis wir an die Daten wieder herankommen, braucht es Wochen oder Monate“, erzählt IT-Forensiker Zimmer. Wochen und Monate, für die die Experten auch bezahlt werden müssen.

Im Fall des Forellenhofs in Wingeshausen dauerte Zimmers Einsatz allerdings nur kurz. Zufällig hatte Hotelier Laaser über die Polizei Kontakt mit Zimmer. Der IT-Forensiker riet ihm: Festplatte ausbauen und in den Tresor legen, bis der Spezialist der Sache auf den Grund gehen kann. Der Rat kam jedoch zu spät: Laasers Computerhändler hatte den Rechner bereits neu formatiert und alle Daten auf der Festplatte unwiederbringlich gelöscht. „Da kann auch ich nichts mehr machen“, sagt Zimmer.

Hotelier Laaser zieht seine Lehren aus dem Hackerangriff: „Ich werde jetzt wohl in ein neues Sicherheitspaket investieren.“ Die Datensicherung wird er so schnell auch nicht mehr vergessen. Und eine erste Anfrage an seinen Versicherungsvermittler hat Laaser auch schon rausgeschickt.

top