Internet und digitale Technologien – die ständigen Begleiter
Sowohl privat als auch beruflich wird nahezu alles über das Internet abgewickelt: Einkäufe, Zahlungen, Filme, soziale Vernetzung, Kommunikation, Informationsaustausch, Verwaltung von Kundeninformationen, Patientenakten usw. Dies vereinfacht vielen Unternehmen und Freiberuflern Unmengen an Geschäftsprozessen. Doch was auf den ersten Blick als unheimlich praktisch erscheint, ist auf den zweiten Blick nicht ganz ungefährlich, denn viele wissen gar nicht, welche Risiken im Online-Zeitalter lauern und existenzbedrohend sein können.
Ist ein Cyberangriff erst einmal erfolgreich, kann dies existenzbedrohend sein – sowohl für Privatpersonen als auch für Unternehmen. Was für Maßnahmen ergriffen werden können, damit es erst gar nicht zum Cyberangriff kommt und wie man sich für den Fall versichern kann, lesen Sie in diesem Beitrag.
Aktuelle Umfrage: Sind Unternehmen gegen Cyber-Risiken versichert?
Wir haben auf transparent-beraten.de 100 Kunden und Interessenten im Bereich Firmenversicherungen gefragt, wie gut ihr Unternehmen gegen Cyber-Risiken versichert ist. Das erschreckende Ergebnis: 47 Prozent, also knapp die Hälfte der Befragten gaben an, dass sie nicht einmal wissen, was Cyber-Risiken überhaupt sind. Gerade einmal 9 Prozent sind umfangreich versichert.
Immer mehr Cyber-Risiken und -Schäden – zu wenig Absicherung
Die Umfrageergebnisse machen deutlich, wie wenige Unternehmer sich mit dem Thema Cybersicherheit befassen. Dabei wird dieses Thema mit der fortlaufenden Digitalisierung immer wichtiger. Fakt ist: Je mehr das Internet und digitale Tools von Unternehmen genutzt werden, desto essenzieller ist es, dass sich Unternehmen auf Risiken vorbereiten und sich vorsorglich absichern. Dies tun gerade einmal 9 Prozent der Teilnehmer unserer Umfrage. Weitere 9 Prozent geben zu, dass sie nicht ausreichend versichert sind. Ganze 35 Prozent wissen immerhin um die Gefahren des Internets Bescheid, wissen jedoch nicht, ob sie dagegen auch versichert sind.
Aufklärungsbedarf über Cyber-Gefahren ist größer denn je
Hier besteht deutlicher Handlungs- und vor allem Aufklärungsbedarf. Dies erkennt auch Mario Müller, Geschäftsführer der transparent-beraten.de GmbH: “Wir haben festgestellt, dass viele Unternehmen bzw. die Entscheider in den Unternehmen noch nicht einmal wissen, was Cyber-Risiken sind. Hier ist unserer Meinung nach Aufklärungsarbeit gefragt. Diese kann nicht erst beim Versicherungsmakler beginnen, sondern sollte schon vorher, vielleicht sogar auf institutioneller oder sogar staatlicher und damit Bildungsebene, einsetzen”. Vorstellbar sind hier entsprechende Kurse über die Risiken im Internet an Universitäten oder gar in Schulen. Kindern wird im Schulalter ja auch bereits vermittelt, wie man sich sicher im Straßenverkehr verhalten sollte – warum nicht auch, wie man sich sicher im World Wide Web verhält? In diesem verbringen Kinder und Jugendliche mindestens genauso viel Zeit, wie auf der Straße.
Cybercrime: Was sind mögliche Cyber-Risiken?
Ob als Privatperson oder als Unternehmen: Wer im Internet agiert und digitale Technologien nutzt, ist zu jeder Zeit Cyberkriminellen und Hackern ausgesetzt. Diese haben es mitunter ziemlich leicht, eine der folgenden Cyberattacken zu begehen, die das Softwareunternehmen Kaspersky zusammengetragen hat:
- E-Mail und Internetbetrug
- Spam-Mails & Phishing
- Identitätsdiebstahl
- Diebstahl von finanziellen Daten, wie etwa Kreditkartendaten
- Diebstahl von sensiblen digitalen Daten
- Diebstahl von Unternehmensdaten
- Erpressung (Cyberkriminelle verlangen Geld oder Bitcoins für das Unterlassen der Angriffe)
- Cyberattacken durch Ransomware (Infizierung von IT-Systemen oder Netzwerken mit einem Virus oder anderer Malware)
- Cyberattacken durch DoS oder DDoS-Angriffe (Denial-of-Service bzw. Distributed-Denial-of-Service, Blockierung von IT-Geräten, Netzwerken oder Online-Präsenzen)
- Cryptojacking (Missbrauch von IT-Systemen oder Netzwerken für das Schürfen nach Kryptowährung)
- Cyber- bzw. Wirtschaftsspionage und Sabotage
Laut den Ergebnissen unserer Umfrage beschäftigen sich nur knapp die Hälfte der Befragten mit Cyber-Risiken und deren Absicherung. Dies bestätigt auch die Studie des Beratungsunternehmens Deloitte zur Cyber Security im Mittelstand vom Juni 2020. Demnach gaben etwa 53 Prozent – also ebenfalls knapp die Hälfte – der befragten Manager an, dass Cyber-Risiken in ihrem Unternehmen eine hohe bzw. sehr hohe Bedeutung haben. Die andere Hälfte stuft die Bedeutung von Cybersicherheit eher niedrig ein. Klar erkennbar ist, dass immer noch zu viele Unternehmen das Risiko Internet und Cyberkriminalität nicht ernst nehmen bzw. deutlich unterschätzen. Laut der Deloitte-Studie sind gerade einmal 12 Prozent der Unternehmen überhaupt in der Lage, Cyber-Risiken finanziell bewerten zu können. Mehr als die Hälfte (57 Prozent) haben keinen Cyber-Notfallplan, erschreckende 89 Prozent der Firmen investieren zu wenig Budget in Cybersicherheit und lediglich 28 Prozent der Befragten haben eine entsprechende Cyber-Versicherung. Dabei ist ein hohes Bewusstsein für Cyber-Risiken und Internetkriminalität gerade zu Zeiten des digitalen Aufschwungs besonders wichtig. Denn je mehr Personen und Unternehmen im World Wide Web tätig sind und je mehr diese die Cybersicherheit vernachlässigen, desto leichteres Spiel haben Hacker und Cyberkriminelle. Diese haben sich oft lange vor dem eigentlichen Cyberangriff bereits Zugang zum Firmennetzwerk und IT-Struktur verschafft. Mit einer ungenügenden Cyber-Abwehr kann es bis zu sieben Tage dauern, bis das Unternehmen den Angriff überhaupt bemerkt. In dieser Zeit können Hacker in Ruhe Schadsoftware in die gekaperte IT-Infrastruktur platzieren. In den vergangenen Jahren sind Schäden durch Cyberangriffe kontinuierlich gestiegen. Der Hiscox Cyber Readiness Report 2020 zeigt, dass alle betroffenen, deutschen Firmen mit einer Gesamtschadenssumme in Höhe von 363 Millionen Euro die “größten kombinierten Cyberverluste im Ländervergleich” verzeichneten. Im Schnitt mussten deutsche Unternehmen knapp 72.000 Euro an Schadenskosten nach Cyberattacken zahlen – diese Summe liegt deutlich über der durchschnittlichen Schadenssumme im internationalen Vergleich (51.200 Euro) und ist im Gegensatz zum Vorjahr um das 6-fache gestiegen (2019: 9.000 Euro). Der teuerste Einzelschaden nach Cyberangriffen in Deutschland belief sich auf 6,2 Millionen Euro. Von Cyberangriffen sind keineswegs nur große Unternehmen oder jene mit auffällig viel Umsatz betroffen. Im Gegenteil: Klein- und mittelständische Unternehmen sind sogar besonders anfällig für Cyberkriminalität. Dies kann verschiedene Gründe haben: Auch tragen Klein- und mittelständische Unternehmen schwerwiegendere Konsequenzen einer Cyberattacke davon: Während die Schadenssumme bei Großunternehmen zwar deutlich höher sein kann, steht bei kleineren Firmen oft die wirtschaftliche Existenz auf dem Spiel. In einer Umfrage des Digitalverbandes Bitkom geben 38 Prozent der betroffenen Unternehmen an, dass sie durch Einzeltäter und Hobby-Hacker einen Cyberangriff erlitten haben. Knapp dahinter stehen die ehemaligen Mitarbeiter, die in 33 Prozent der Fälle den Firmen per Cyberangriff vorsätzlich geschadet haben. Die Täterschaft der Umfrage schlüsseln sich wie folgt auf: Laut dem Bundesamt für Sicherheit in der Informationstechnik können Täter von Cyberattacken weiterführend in folgende Gruppen eingeteilt werden: Das Bundesamt für Sicherheit in der Informationstechnik stellt folgende Schwachstellen deutscher Unternehmen fest, die sich Cyberkriminelle zu Nutze machen können: Konfiguratorische sowie technische Schwachstellen fallen mitunter nach einiger Zeit auf und können mittels Nachbesserungen, Updates der Hersteller oder sog. Workarounds behoben werden. Die menschlichen Mitarbeiter bilden jedoch eine leichte Eintrittspforte für Hacker und Cyberkriminelle. Dies wird von vielen Unternehmen bereits erkannt. Laut der Deloitte-Studie bilden folgende Faktoren die größten Herausforderungen bei der Bekämpfung von Cybercrime: Dies kann in einigen Fällen auch am fehlenden Problembewusstsein der Firmenchefs liegen. Eine entsprechende Schulung der Mitarbeiter gehört daher zu den wichtigsten Maßnahmen zum Schutz vor Cyber-Risiken. Das alltägliche Leben findet zum großen Teil bereits online statt und auch Bereiche der gewerblichen Tätigkeit verlagern sich zunehmend in den Cyberspace. Hier ist es essentiell, sich ausreichend auf Cyber-Risiken vorzubereiten: “Immer mehr Unternehmen sind größtenteils oder sogar ausschließlich online tätig. Bei Freiberuflern und Selbständigen ist diese Quote gefühlt noch viel höher. Das heißt, dass die Gefahren aus dem World Wide Web die wahrscheinlichsten sind und zum Alltag dazu gehören. Hier muss schon angesetzt werden bevor es zum Schaden kommt. Also konkret: wie kann man vorbeugen und welche Mittel und Maßnahmen gibt es, um gar nicht erst Opfer eines Cyber-Schadens zu werden”, so transparent-beraten.de-Geschäftsführer Mario Müller. Passwörter und Logins sind eine der größten Probleme in der Cybersicherheit. Im Sekundentakt finden bei vielen digitalen Unternehmen falsche Einloggversuche statt, bei denen Hacker versuchen, Benutzernamen und Passwörter zu knacken und sich so Zugriff in Netzwerke zu verschaffen. Da ist es umso wichtiger, dass Ihre Mitarbeiter stets sehr starke und sichere Passwörter verwenden. Auch Zwei-Faktor-Authentifizierungen beim Login erhöhen die Sicherheit. Um zentrale und auch individuelle Anmeldedaten zu speichern und zu verwalten, empfiehlt sich ein Passwortmanager. Solche digitalen Tools verwalten alle darin gespeicherten Anmeldedaten und generieren sichere Passwörter. Zum Nutzen dieses Tools muss man sich dann nur ein einziges, persönliches Passwort merken. Bereiche, die mit anderen geteilt werden, können per Zugriffsrechte eingeschränkt werden. Ein Cyber-Schaden kann unheimlich teuer werden – je nach Umfang bis zu einem hohen sechsstelligen Betrag! Ohne entsprechende Versicherung muss das Unternehmen diese Kosten selbst tragen, was neben der Bewältigung der Folgen eines Cyberangriffs keine einfache Aufgabe ist. Je nach Art des Angriffs können geschädigte Dritte Schadensersatz vom Unternehmen einfordern und es entstehen hohe Kosten für die Wiederherstellung und Bewältigung eigener Vermögensschäden. Der rechtzeitige Abschluss einer Cyber-Versicherung sorgt für die finanzielle Absicherung. Obwohl es immer mehr Anbieter und Tarife auf dem Versicherungsmarkt für eine Cyber-Versicherung gibt, sind die Versicherungsprämien teilweise noch sehr hoch. Viele Unternehmen können oder wollen das Budget dafür nicht aufwenden. Einige unserer Kunden äußerten uns gegenüber sogar, dass sie lieber die Kosten für eine Schadensbeseitigung tragen, als dass sie den Versicherungsbeitrag von oftmals mehreren tausend Euro im Jahr zahlen. Die Studie von Deloitte belegt, dass es noch zu wenige Unternehmen gibt, die sich mit einer Cyber-Versicherung absichern: Gerade einmal 28 Prozent der Befragten verfügen über die Versicherung für ihr Unternehmen. Was dahinter steckt, erklärt Geschäftsführer der transparent-beraten.de GmbH Mario Müller: “Die Kosten für eine vernünftige Absicherung im IT-Bereich halten sich in Grenzen, während die Kosten für Versicherungen gerade bei umsatzstarken Unternehmen schnell sehr hoch sein können. Das liegt vor allem daran, dass auch die Versicherer hier gefühlt noch sehr unsicher bei der Risikoeinschätzung und damit bei der Prämiengestaltung sind. Teilweise sind die Prämien sogar so hoch, dass es uns schon fast peinlich ist, unseren Kunden das jeweilige Angebot vom Versicherer vorzulegen. Ich denke aber, dass mit einer gesünderen Datenbasis und vor allem einer steigenden Anzahl von Unternehmen, welche diese Versicherungspolicen abschließen, auch die Kosten mittel- und langfristig sinken werden.“ „Im Grunde genommen handelt es sich hier um ein Henne-Ei-Problem: Die Preise sind hoch, weil es kaum Nachfrage gibt und die Nachfrage ist gering, weil die Preise so hoch sind. Die Datenbasis spielt hier meiner Meinung nach tatsächlich eine entscheidende Rolle, weil die Risiken kaum eingeschätzt werden können. Und die Risiken können nicht eingeschätzt werden, weil die Erfahrungswerte bzw. Fälle fehlen. Somit fällt es wahrscheinlich schwer, realistische Prämien festzulegen, die dann auch die Schadenssummen abdecken. Im Endeffekt ist es hier immer wichtig, das Prinzip einer Versicherung zu verstehen bzw. wie damit Geld verdient wird. Und das geht nur, wenn viele in den Beitragstopf einzahlen, damit dann die wenigen Schäden, die entstehen, mit den Einnahmen aus diesem Topf gedeckt werden können. Und das geht natürlich auch nur, wenn der Topf gut gefüllt ist.” Neben der Frage nach der Absicherung gegen Cyber-Risiken, haben wir in unserer Umfrage die Kunden und Interessierten im Bereich Firmenversicherung außerdem gefragt, wie viel sie im Jahr für Versicherungen ausgeben. Von insgesamt 100 Befragten wussten 52 Prozent – knapp über der Hälfte – nicht, wie viel sie für ihre Versicherungen jährlich ausgeben. Ein Drittel (31 Prozent) können es nur grob schätzen. Gerade einmal 17 Prozent der Befragten wissen genau, wie viel Geld im Jahr für Versicherungen kalkuliert ist. Es zeigt sich: Deutsche Unternehmen befassen sich noch zu wenig oder ungenau mit der optimalen und umfassenden Absicherung aller möglichen Risiken für ihre Geschäftsprozesse. Seit die Digitalisierung und der technische Fortschritt mit großen Schritten vorangeht, steigen auch die Risiken, die im World Wide Web auf Privatpersonen und Unternehmen lauern. Die schnelle Daten- und Informationsübertragung, die leichte Zugänglichkeit und die vielen Schwachstellen des digitalen Arbeitens machen es Cyberkriminellen leicht, sich Zugang zu sensiblen persönlichen oder Geschäftsdaten zu verschaffen. Privatpersonen droht der Identitätsdiebstahl. Bei Unternehmen kann nach einem schwerwiegenden Cyberangriff die komplette wirtschaftliche Existenz und die Reputation auf dem Spiel stehen – von der Summe der Schadenskosten ganz zu schweigen. Jetzt ist es wichtiger denn je, sich mit solchen Risiken und Gefahren im Cyberspace zu befassen und für eine entsprechende Cybersicherheit zu sorgen – gerade für Firmen. Die Mitarbeiter für Cybercrime zu sensibilisieren, saubere und gut organisierte Sicherheitsprozesse aufzustellen und mit Maßnahmen oder einer Versicherung vorzusorgen, sollte einen festen Platz in der Tagesordnung deutscher Unternehmen haben.
Cyber-Gefahr ist da – wenige Unternehmen nehmen sie ernst
Je mehr Zeit verstreicht, desto größer ist der Schaden
Teures Risiko: Wie hoch sind die Schäden durch Cyberangriffe?
Die häufigsten Cyber-Schäden in Deutschland
Groß- oder Kleinunternehmen: Wer ist von Cyberkriminalität besonders betroffen?
Hacker, Aktivisten, Ex-Mitarbeiter: Wer sind die Täter?
Cyberspione, Cyber-Terroristen und Script-Kiddies
Wie können Cyber-Schäden passieren? Schwachstellen deutscher Unternehmen
Eintrittspforte Mitarbeiter
Zu wenig Budget für Cybersicherheit
Ausreichende Absicherung ist das A und O
Wie Sie sich vor einem Cyberangriff schützen können
Maßnahmenkatalog: Das 101 der Cybersicherheit
IT-Grundschutz
Regelmäßige Updates
Regelmäßige Datensicherung
Sichere Passwortverwaltung
Zugriffsrechte definieren
Mitarbeiter schulen
Cyber-Notfallplan aufstellen
Cyber-Versicherung abschließen
Die Cyber-Versicherung: Wenn der Angriff doch passiert
So hilft eine Cyber-Versicherung
Cyber-Versicherungen oftmals noch sehr teuer
Cyber-Versicherung – mehr Unternehmen sollten sich versichern
Unwissen auch im Bereich Versicherungskosten
Fazit