Gastbeitrag4 Dinge, die Firmen über Cybercrime wissen sollten

Symbolbild Cybercrimeimago images / agefotostock

Sascha Hesse ist CEO der Datenschutzberatung Agor. Seit mehr als zehn Jahren berät er Unternehmen bei digitalen Transformationsprozessen und Business Development-Projekten

Die Zahl der in Deutschland festgestellten Fälle von Cyberkriminalität hat erstmals die Marke von 100.000 Fällen durchbrochen. Laut Bundeskriminalamt (BKA) wurde im Jahr 2019 mehr als 100.504 Mal Cyberkriminalität im engeren Sinne von der deutschen Polizei registriert – was einem Anstieg von mehr als 15 Prozent gegenüber dem Vorjahr und einem neuen Höchststand entspricht. Der Branchenverband Bitkom schätzt, dass der Wirtschaft dabei ein Schaden von mehr als 100 Milliarden Euro entstanden ist. Für das laufende Jahr erwarten Versicherungen wegen der Verlagerung vieler Bürojobs in das Homeoffice erneut steigende Zahlen der Cyberangriffe. Schutz gegen die finanziellen Auswirkungen versprechen sie mit sogenannten Cyberpolicen – doch helfen diese im Ernstfall wirklich?

#1 IT-Sicherheit meist mangelhaft

Hackern bieten sich in der Regel vielfältige Einfallstore bei Unternehmen. Eine immer dichtere Vernetzung, ein schnellerer Datenaustausch und die zunehmende Automatisierung von Prozessen bringen als Kehrseite der Medaille mit sich, dass die Bedrohungen durch Datenschutzverletzungen und Hackerangriffe ebenfalls wachsen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet mehr als 650 IT-Gefahren auf.

Ohne größere Mühe können Hacker oft in die Systeme und Infrastrukturen von Unternehmen eindringen und erheblichen Schaden anrichten – die finanziellen Risiken reichen von Drittansprüchen durch Vertragsstrafen über Ertragsausfälle bis hin zu Lösegeldzahlungen bei Angriffen mit sogenannter Ransomware. Mit diesen Schadprogrammen versuchen Cyberkriminelle, Unternehmen zu erpressen: Sie verschlüsseln ihr System mit Cryptolockern, die Dateien codieren, und verlangen für den Entschlüsselungscode ein Lösegeld – bevorzugt perfiderweise in einer Kryptowährung wie Bitcoin.

Zu den notwendigen Vorkehrungen von Unternehmen zählen eine Vielzahl technischer und organisatorischer Maßnahmen (TOM), die ein Eindringen entdecken, verhindern oder stoppen können. Zwei Faktoren machen es Hackern am Ende des Tages dennoch meist einfach, Systeme erfolgreich zu infiltrieren: eine lückenhafte Umsetzung der Maßnahmen sowie menschliches Versagen. Vor allem in kleineren und mittleren Unternehmen ist die Abwehr meist nur schwach aufgestellt. Gerade während der Corona-Pandemie hatten kleinere IT-Abteilungen schon alle Hände voll damit zu tun, Mitarbeitern die notwendige Infrastruktur für Videokonferenzen und die Arbeit im Homeoffice zur Verfügung zu stellen. Mit dem Schließen der dadurch neu entstandenen Einfallstore hinken sie meist noch immer hinterher.

Auch die Mitarbeiter sind häufig nicht auf die neuen Risiken vorbereitet. Phishing-E-Mails und gefälschte Internetseiten mit Bezug zur Corona-Pandemie waren zuletzt bei Hackern sehr beliebt – das BKA zählte allein von Januar bis Juli dieses Jahres mehr als 600 neue Ermittlungsfälle von Internetstraftaten mit inhaltlichem Corona-Bezug. So sind etwa in Nordrhein-Westfalen viele hundert Unternehmen auf eine gefälschte Internetseite zur Corona-Soforthilfe hereingefallen.

#2 Datenpannen sind meldepflichtig

Haben Hacker ein Unternehmen angegriffen, waren in der Regel auch personenbeziehbare Daten zugänglich oder sind gezielt gestohlen worden. Dann liegt eine laut Datenschutz-Grundverordnung (DSGVO) meldepflichtige Datenschutzverletzung vor. Wer betroffen ist, sollte schnell handeln. Die DSGVO schreibt vor, dass Datenpannen innerhalb von 72 Stunden zu melden sind.

Verstöße gegen die Meldepflicht einer Datenschutzverletzung können gemäß DSGVO mit einem Bußgeld von bis zu 10 Mio. Euro oder von bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden – je nachdem, welcher Betrag höher ist.

Aber auch eine zeitige Meldung schützt nicht vor einem Bußgeld für die eigentliche Datenpanne: Im September 2018 räumte British Airways ein Datenleck ein. Hacker hatten sich Zugriff auf die persönlichen Daten von mehr als 400.000 Kunden und Mitarbeitern verschafft. Zwei Jahre später hat die britische Datenschutzbehörde jetzt ein Bußgeld in Höhe von 22 Mio. Euro gegen die Fluggesellschaft verhängt. Zur Begründung führt die Aufsichtsbehörde an, dass unzureichende Sicherheitsvorkehrungen im Unternehmen vorherrschten und eine sehr hohe Zahl an Personen von einem dadurch erst möglichen Hackerangriff betroffen war.

#3 Viele sind nicht versicherbar

Immer mehr kleine und mittelständische Unternehmen in Deutschland möchten sich mit Cyberversicherungen gegen die Folgen von Cyberangriffen schützen. Eine aktuelle Forsa-Umfrage im Auftrag der Deutschen Versicherungswirtschaft zeigt, dass insbesondere bei Unternehmen mit einer Mitarbeiterzahl von 50 bis 249 Mitarbeitern das Interesse an derartigen Policen groß ist. 2018 verfügten nur 22 Prozent dieser Firmen über eine Cyberversicherung oder dachten über den Abschluss einer solchen nach. Mittlerweile ist dieser Anteil mit 43 Prozent fast doppelt so hoch.

Kleinere Unternehmen mit zehn bis 29 Mitarbeitern zeigen eine ähnliche Tendenz: 2018 wussten offenbar nur 70 Prozent dieser Unternehmen überhaupt, dass es Cyberversicherungen gibt. In diesem Jahr sind es mit gut 90 Prozent schon 20 Prozent mehr. Nur 17 Prozent der kleineren Unternehmen beabsichtigten vor rund zwei Jahren, eine Cyberversicherung in Anspruch zu nehmen. Heute sind es dagegen fast 35 Prozent.

Das Problem: Die meisten Unternehmen dürften schlicht nicht versicherbar sein, weil ihre Sicherheitsvorkehrungen nicht den Versicherungsbedingungen entsprechen. Im Schadensfall müssten sie nachweisen, dass sie nicht gegen die im Vertrag aufgeführten Obliegenheiten verstoßen und entsprechende Vorkehrungen zum Schutz ihrer IT-Infrastruktur und ihrer Daten in dem erforderlichen Ausmaß getroffen haben. Die sogenannte Beweislast, wie sie in den meisten Cyberpolicen verankert ist, erschwert es Unternehmen, sich bei Cyberangriffen schadlos zu halten – auch, weil Angriffe im Nachhinein oft schwer nachvollziehbar sind.

Wer zudem bei Vertragsabschluss Maßnahmen zur Absicherung zustimmt, die er tatsächlich nicht adäquat und in dem erforderlichen Umfang im Unternehmen umsetzen kann, hat schlechte Karten im Schadensfall: Die Versicherung kann auf eine Obliegenheitsverletzung pochen, weil Verhaltensnormen nicht eingehalten wurden, und die Zahlung verweigern. Fakt ist: Viele kleinere und mittlere Unternehmen sind überfordert mit den Anforderungen der Cyberversicherungen. Ihre Absicherung gegen Cyberkriminalität steht trotz vermeintlich schützender Police meist auf sehr wackligen Füßen.

#4 Vorbeugen ist der beste Schutz

Das schwächste Glied bei der Umsetzung von mehr IT-Sicherheit in Unternehmen sind die Mitarbeiter. Öffnet auch nur ein Mitarbeiter eine bösartige Mail oder klickt einen Link auf einer präparierten Seite an, kann das bereits eine Kettenreaktion auslösen und enorme Schäden verursachen. Gateway-Lösungen und andere technische Verfahren können zwar die Risiken minimieren, aber nie ganz ausschließen, denn Cyberkriminelle gehen häufig in Phishing-Mails auch den Weg der persönlichen Ansprache von Mitarbeitern. Fallen solche zugeschnittenen Nachrichten durchs Raster der Sicherheitskontrolle, sind Cyberkriminelle ihrem Ziel schon sehr nah. Kommt dann noch ein Augenblicksversagen des betroffenen Mitarbeiters hinzu, ist das Ziel der Hacker meist erreicht.

Bevor sich Verantwortliche in Unternehmen daher über Cyberversicherungen Gedanken machen, deren Voraussetzungen das Unternehmen möglicherweise gar nicht erfüllen kann, ist eine Bestandsaufnahme der eigenen IT-Sicherheit unumgänglich. Jeder einzelne Mitarbeiter sollte sämtliche erforderlichen Sicherheits- und Datenschutzmaßnahmen kennen, um das Risiko von Datenschutzpannen und Cyberangriffen zu minimieren. Und die unternehmenseigene IT muss – aus eigener Kraft oder mit externer Hilfe – eine Abwehr auf angemessenem Niveau sicherstellen. Erst, wenn technische Voraussetzungen und klare Verhaltensnormen fest im Unternehmensalltag integriert sind, ist ein grundlegender Sicherheitsstandard für jeden Arbeitsplatz überhaupt gewährleistet. Und erst dann macht eine Cyberversicherung für das nach wie vor hohe Restrisiko Sinn, ohne dass ein betroffenes Unternehmen Gefahr läuft, den Versicherungsschutz wegen Obliegenheitsverletzungen nicht in Anspruch nehmen zu können.

 


Kennen Sie schon unseren Newsletter „Die Woche“? Jeden Freitag in ihrem Postfach – wenn Sie wollen. Hier können Sie sich anmelden