Mit einfachen Methoden können Unternehmen ihre IT-Sicherheit im Betrieb erhöhen. Bei einem Hackerangriff reduzieren bestehende Cyberversicherungen den finanziellen Schaden. Doch ein Vergleich lohnt. ❧

Nora Nuissl

IT-Sicherheitsexperten unterscheiden zwischen zwei Arten von Unternehmen: Es gibt die, die bereits gehackt wurden und die, die es nur noch nicht wissen.

Wie einfach sich Angreifer in Netzwerke schmuggeln können zeigen „gute Hacker“ – also solche ohne kriminelle Absichten –

regelmäßig in zahlreichen Live-Workshops. Ein Beispiel: Es wird ein Opfer definiert, die Kontonummer ist online mit einer einfachen Google-Abfrage ermittelt, die PIN-Abfrage wird mit einer speziellen Codezeile, etwa

einer SQL-Injection, versehen und schon kann der Angreifer Geldbeträge frei überweisen. Dabei handelt es sich nicht um ein erfundenes Beispiel. Gunnar Porada, ehemaliger Hacker und Inhaber der Schweizer IT-Security-Beratung Innosec, schockt mit diesem fingierten Demo-Angriff seit 20 Jahren seine Zuhörer.

Vor Cyberangriffen ist niemand gefeit. Das belegen aktuelle Umfrageergebnisse im Rahmen einer Studie des Digitalverbands Bitkom unter 1069 Geschäftsführer und

Sicherheitsverantwortlichen in allen Industriebranchen: 53 % der befragten Unternehmen in Deutschland sind 2016 und 2017 Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Das kostet die Branche jährlich rund 55 Mrd. Euro.

„15 Mio. Angriffe pro Tag – davon sind uns drei bis acht Muster unbekannt“

Einen Spitzenwert in puncto Cyberattacken registrierte die Deutsche Telekom Anfang Juni: Mehr als 15 Mio. Angriffe wurden

innerhalb von 24 Stunden getätigt. Sonst kämpft das Unternehmen täglich gegen

etwa zwölf Millionen Attacken. „Vor einem Jahr lag der Durchschnitt noch bei etwa vier Millionen Angriffen pro Tag“, erklärte Dirk Backofen, Leiter des Bereichs Telekom Security, auf der diesjährigen Konferenz für

nationale Cybersicherheit des Hasso-Plattner-Instituts in Potsdam.

„Täglich nehmen wir zwischen drei bis acht Angriffsmuster wahr, die wir bis dato noch nie gesehen haben“, gibt der Sicherheitschef zu bedenken. Bei dem Telekommunikationskonzern arbeiten jedoch hunderte Mitarbeiter und intelligente IT-Lösungen daran, die ausgeklügelten Hackerversuche zu entlarven und abzuwehren. Da drängt sich schnell die Frage auf: Haben kleinere und mittlere Unternehmen (KMU) mit in der Regel kleineren Budgets und Kapazitäten gegen Übergriffe aus dem Netz überhaupt eine Chance?

Der Digitalverband Bitkom hat basierend auf den Studienergebnissen gemeinsam mit dem Bundesverfassungsschutz eine Checkliste für Unternehmen erstellt, mit denen diese ihre Sicherheit verbessern können. Demzufolge sollte vor allem die Geschäftsführung für das Thema IT-Sicherheit sensibilisiert werden, um firmenspezifische Schutzüberlegungen auf Leitungsebene zu initiieren. Beispielsweise sollten Betriebe

einen Wirtschaftsschutz- oder einen Informations-Sicherheitsbeauftragten festlegen.

Technische IT-Sicherheit kann um Verschlüsselungsschutz einfach erweitert werden

Auch die technische IT-Sicherheit kann mit entsprechenden Maßnahmen einfach gesteigert werden. So könne etwa der Basisschutz um Verschlüsselungs- und spezielle Angriffserkennungsmethoden ergänzt werden. Auch Systeme zum Security Informa-

tion Event Management, also der Überwachung vernetzter Geräte und Erkennung von Anomalien, oder Security by Design bei allen Schnittstellen und vernetzten Geräten wären oft schon hilfreiche Maßnahmen, so die Empfehlungen.

Nicht vernachlässigt werden sollte auch die organisatorische Sicherheit: So können Unternehmen etwa ein präventives und permanentes Risikomanagement etablieren, das externe Gefahren identifiziert, interne Schwachstellen aufdeckt und rechtzeitig beheben kann. Firmen sollten zudem individuell definieren, wer welche Zugriffsrechte auf Daten und physische Zugangsrechte für sensible Bereiche erhält oder wie mit Gästen und Delegationen umgegangen wird. Für den Notfall sollte ein Krisenplan bestehen, mit dem schnell reagiert werden kann.

Des Weiteren empfiehlt der Ratgeber, die personelle Sicherheit zu verbessern. Das heißt zum Beispiel arbeitsplatzspezifische Schulungen und Sensibilisierungen für Mitarbeiter anzubieten. Dabei sollte auch die Informationssicherheit auf Geschäftsreisen im Ausland bedacht werden. Zuletzt wäre es laut des Verbands empfehlenswert für Unternehmen, Sicherheitszertifizierungen anzustreben.

BSI informiert bei Fragen rund um Cybersicherheit

Antworten auf Fragen rund um die Absicherung der eigenen IT gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Als unabhängige und neutrale Stelle unterstützt die Bundesbehörde Personen und Firmen mithilfe von Leitfäden und Empfehlungen. „Gemeinsam mit den Unternehmen wollen wir erreichen, dass Informationssicherheit schon bei der Erforschung und Entwicklung neuer Produkte mitgedacht und der Grundsatz Security-by-

Design eingehalten wird“, erläutert BSI-Präsident Arne Schönbohm den Auftrag der Cyber-Sicherheitsbehörde.

„Es gibt keine hundertprozentige Sicherheit im Cyberspace“

Trotz dieser richtigen und wichtigen Maßnahmen für Unternehmen gibt es im Cyberspace keine hundertprozentige Sicherheit, betonte Backofen auf der Potsdamer Sicherheitskonferenz. Ist einmal ein Cyberangriff geglückt, drohen dem betroffenen Betrieb Schäden in Millionenhöhe.

„Weltweites Risiko Nummer eins ist die Betriebsunterbrechung“, weiß Andreas Berger, Vorstandsmitglied bei Allianz Global Corporate & Specialty. Aber auch die Angst, dass Kundendaten nach außen geraten könnten, ist groß. Sach- und indirekte Schäden stellen ebenso finanzielle Unwägbarkeiten für gehackte Unternehmen dar.

Cyberversicherungen können Unternehmen gegen Dritt-, Eigenschäden und Zusatzleistungen im Falle eines Cyberangriffs schützen

Mit sogenannten Cyberversicherungen wollen Versicherungsgesellschaften zumindest die finanziellen Schäden im Falle eines Cyberangriffs mindern. Die fakultative

Zusatzversicherung, auch Cyber-Police genannt, sichert das Unternehmen vor Eigenschäden, Drittschäden sowie Zusatzleistungen ab. Welche konkreten Schadensfälle bei einer Cyberversicherung inbegriffen sind, hat der Gesamtverband der deutschen Versicherungswirtschaft (GDV) konkretisiert (siehe Kasten).

Um eine Cyberversicherung abschließen zu können, müssen Unternehmen im Rahmen ihrer IT jedoch ein Mindestmaß an Schutz aufweisen. So müssen sie beispielsweise einen Virenschutz installiert haben, ihre Unternehmensdaten mit individualisierten Zugängen für Mitarbeiter sichern und eine regelmäßige Datensicherung machen. Bis dato prüften Versicherer vor Ort die

jeweiligen betrieblichen IT-Gegebenheiten, vor allem die IT-Sicherheit und das IT-Risiko. Dafür führen die Experten in der Regel Interviews, prüfen Konfigurationen, analysieren Daten und führen Schwachstellen-Checks (sogenannte Penetrationtests) aus. Darauf basierend kann eine Risikokalkulation erstellt werden, die mithilfe eines individuellen Preismodells das Unternehmen

gegen Cyberrisiken absichert.

Cyberprüfung im Unternehmen ist für KMU zu aufwendig und zu teuer

Eine solche teils mehrtägige Prüfung ist laut Erfahrungen des GDV meist aber nur für größere Unternehmen relevant. Für mittelständische Unternehmen mit maximal 250 Mitarbeitern war der bisherige Prüfprozess zu aufwendig und zu teuer. Mit

sogenannten Musterbedingungen hat die Dachorganisation der privaten Versicherer ein Grundgerüst entwickelt, mit dem Versicherer Cyber-Policen für ihre Kunden erstellen können. Mithilfe eines Muster-Fragebogens ermittelt die Versicherungsgesellschaft branchenunabhängig die jeweilige Risiko-Kategorie und das Schadenspotenzial des Unternehmen in puncto IT-Sicherheit. Der Fragebogen setzt sich aus drei Bereichen zusammen, die sich primär am Jahresumsatz des Versicherungsnehmers orientieren. Grenzwerte liegen hier bei jeweils 2 Mio. Euro, 5 Mio. Euro und 10 Mio. Euro Jahresumsatz. Kategorie A mit maximal 2 Mio. Euro Umsatz pro Jahr deckt rund 80 % der KMU in Deutschland ab. Im Fragebogen wird etwa nach dem Umgang mit Passwortschutz, nach einem Datenschutzbeauftragten, der allgemeinen IT-Infrastruktur, der Datenspeicherung, Regelungen zur Nutzung privater Geräte im Unternehmen und dem Umgang mit vernetzten Produktionssystemen (Industrial Control Systems) gefragt.

Bei dem Fragebogen ist jedoch zu beachten, dass dieser vor allem auf die Risikoeinschätzung durch einen externen Täter abzielt. Interne Täter können Sicherheitsvorkehrungen oftmals einfacher und unbemerkt umgehen und sind somit aus Versicherungssicht schwerer vorhersehbar, so die Erklärung vonseiten des GDV.

Office-Netze und Produktions-IT sind am häufigsten von Cyberattacken betroffen

Eine speziell für die Bedürfnisse des deutschen Maschinen- und Anlagenbaus zugeschnittene Cyber-Police hat der Versicherungsmakler für den Maschinen- und Anlagenbau (VSMA), Tochterunternehmen des VDMA, entwickelt. Grundlage dafür war eine vom VSMA unter 244 VDMA-Mitgliedern durchgeführte Befragung zu deren

Cybersicherheit. Als größte Einfallstore identifizierten die Befragten ihre Verwaltungsnetzwerke, also Office-Netze oder E-Mail-Accounts, sowie die Produktions-IT. Der Verlust von vertraulichen Unternehmensdaten, damit auch Know-how-Verlust gegenüber Wettbewerbern bereitete laut der Studie 90 % der Befragten die größte Sorge. Auf Platz zwei steht bei 84 % die Sorge vor Betriebsunterbrechungen, Reputationsschaden fürchten nur 52 %.

Deutsche Maschinenbauer haben spezielle Anforderungen an Cyber-Policen

„Die bislang auf dem Markt bestehenden Versicherungsleistungen erfassen nur teilweise die Bedürfnisse von Maschinenbauern. Häufig werden Cybervorfälle in den Policen abschließend definiert, die dann jeweils nur zu einer bestimmten Leistung (etwa Haftpflicht- oder Eigenschadenkomponente) führen können. Wir haben eine komplett offene Deckung geschaffen, bei der der Kunde auch schon im Verdachtsfall geholfen bekommt. Entsprechende Rückforderungsverzichte der Versicherer helfen die Hürde zur Meldung eines Vorfalls so gering wie möglich zu halten. Die Spezialisten des Versicherers sollen sofort einschreiten können“, erklärt Sebastian Klapper, Geschäftsführer des Versicherungsberaters Finlex. Deswegen haben der VSMA und sein Kooperationspartner Finlex gemeinsam eine branchenspezifische Versicherungslösung für Mitglieder des VDMA entwickelt. Diese beinhaltet neben dem finanziellen Ausgleich von Dritt- und Eigenschäden sowie Serviceleistungen auch die für Maschinenbauer wichtigen Fragen rund um einen Produk-

tionsausfall und Sachschäden.

Auch vorverträgliche Schäden durch

einen Hackerangriff sind bei der spezifischen Versicherung eingeschlossen. „Befindet sich ein Hacker zum Beispiel schon seit längerem als getarnter Trojaner im System des Unternehmens – auch schon vor Abschluss der Cyber-Police – decken branchenunabhängige Cyberversicherungen einen Schadensfall nicht ab. Wir dagegen schon“, erläutert Jürgen Seiring, einer der Geschäftsführer des VSMA. Auch ein Produktionsausfall, Bedienfehler oder Deckungsschäden, die durch eine Verzögerung eines gelieferten Erzeugnisses aufgrund eines Angriffs während der Fernwartung oder des Condi-

tion Monitoring auftreten, sind bei der

Cyber-Police laut Seiring versichert.

Cyber-Police des VSMA sichert Unternehmen auch im Fall des ‚Fake President‘ ab

Zudem bietet der Versicherer zusätzlich die Möglichkeit einer Vertrauensschadensversicherung. „Meist sind solche Versicherungen für 99 % der Maschinenbauer nicht relevant, da sie die Veruntreuung von Geldern betreffen. Wir bieten diesen Versicherungsbaustein jedoch als Absicherung gegen den Fall des ‚Fake President‘. Ist ein Angreifer nachweislich in das System eingedrungen und gibt sich etwa per Mail als Vorgesetzter auf und fordert Daten, Geldsummen oder bestimmte Aktionen von Mitarbeitern, schützen wir Unternehmen bei hierbei entstehenden Schäden“, so Seiring.

Interessant sei die Versicherung laut Seiring für KMU mit einem jährlichen Umsatz zwischen 20 und 200 Mio. Euro. Bei einer Deckungssumme von 5 Mio. Euro betrage die Jahresprämie mindestens 5000 Euro. Der Geschäftsführer empfiehlt jedoch eine Deckungssumme von mindestens 10 Mio. Euro zu versichern, dabei liege die Prämie dann im fünfstelligen Bereich. „Dafür arbeiten wir mit einem Konsortium aus mindestens drei Versicherungsgesellschaften zusammen. Schränkt eine der Gesellschaften etwa ihre Deckungssumme ein, springen die anderen ein. Damit wird die vereinbarte

Deckungssumme dem Unternehmen immer garantiert.“

In Deutschland ist das Geschäft mit

Cyberversicherungen noch ein relativ junges Feld. Wie viele Cyber-Policen hierzulande bisher abgeschlossen wurden, konnten weder der GDV noch der VSMA beziffern.

Im internationalen Vergleich hinkt Deutschland aber stark hinterher: In den USA liegt das Prämienvolumen für Cyber-Policen zum Beispiel bei mehreren Milliarden Euro. Dort haben sich sowohl die Nachfrage als auch das Angebot an Cyberversicherungen schon früher entwickelt, wobei auch höhere Haftungsrisiken eine gewichtigere Rolle spielen.

Nichtsdestotrotz rechnen die Verbände mit einem exponentiellen Wachstum des Prämienvolumens in den kommenden Jahren. So rechnet etwa die Beratungsgesellschaft KPMG damit, dass bis 2036 bis zu 75 % der KMU im DACH-Raum eine Cyberversicherung abgeschlossen haben werden. Davon ist auch Seiring vom VSMA überzeugt: „Das Interesse wächst stetig, seit der Veröffentlichung unserer Studienergebnisse zu Cybersecurity sogar noch rasanter“, betont er zuversichtlich.

Welche Schäden deckt eine Cyberversicherung ab? Entschädigungen bei Betriebsunterbrechung gemäß vorher

vereinbartem Tagessatz

Erstattung der Kosten für die Datenwiederherstellung

Übernahme von Drittschäden – das heißt: Entschädigung der

betroffenen Kunden, Abwehr unberechtigter Forderungen vonseiten der Kunden und Schadensersatz bei nicht möglicher

Auslieferung und daraus folgenden finanziellen Einbußen bei Kunden

Bezahlung der IT-Forensik für Ursachenforschung

Angebot einer Rechtsberatung für Datenschutzverletzungen

Bezahlung eines Krisenkommunikators zur Verringerung von Imageschäden und von Callcenter-Kosten zum Ausgleich bei überlasteten Telefonen Hierbei handelt es sich um allgemeine Empfehlungen gemäß des Gesamtverbands der deutschen Versicherungswirtschaft.

