Beiträge

Der deutsche Mittelstand ist überzeugt von seiner IT-Sicherheit, doch eine Umfrage im Auftrag des GDV zeigt klare Sicherheitslücken. Trotz Selbstbewusstsein vernachlässigen viele Unternehmen grundlegende Maßnahmen, was sie anfällig für Cyberangriffe macht.

Kleine und mittlere Unternehmen (KMU) überschätzen die Sicherheit ihrer IT-Systeme, wie eine Forsa-Umfrage im Auftrag des GDV zeigt. Jörg Asmussen, Hauptgeschäftsführer des GDV, betont, dass “80 Prozent der befragten Entscheider ihr Unternehmen als ausreichend geschützt ansehen.” Jedoch enthüllt dieselbe Umfrage erhebliche Sicherheitslücken: “Einige Unternehmen erlauben sogar simple Passwörter wie ‚1234‘, andere vernachlässigen Software-Updates oder sichern ihre Daten unzureichend”, kritisiert Asmussen. “Letztendlich erfüllen lediglich 22 Prozent der Unternehmen grundlegende technische Sicherheitsstandards.”

Die organisatorische IT-Sicherheit der Unternehmen steht nicht besser da: Die Hälfte der Mittelständler ist unvorbereitet auf die Folgen eines Hackerangriffs. Lediglich ein Drittel sensibilisiert und schult die Belegschaft für den Umgang mit IT-Risiken.

“Viele Unternehmen glauben, besser geschützt zu sein, als sie es tatsächlich sind”, so Asmussen. Diese Selbstüberschätzung führt dazu, dass das Risiko erfolgreicher Angriffe unterschätzt wird. “Nur noch 29 Prozent der Entscheider halten das Risiko eines Hackerangriffs für hoch, fünf Prozentpunkte weniger als im Vorjahr”, sagt Asmussen.

“Die Bedrohung aus dem Netz wird oft heruntergespielt oder ignoriert, obwohl fast jedes fünfte Unternehmen bereits Opfer eines erfolgreichen Cyberangriffs war”, so Asmussen. “Angesichts der Gefahren muss IT-Sicherheit in jedem Unternehmen als Chefsache gelten, da eine Cyberattacke die wirtschaftliche Existenz in kürzester Zeit vernichten kann.” Cyberversicherungen könnten das Restrisiko absichern, allerdings setzen diese in der Regel ein gewisses Maß an IT-Sicherheit voraus.

Wer ein Unternehmen ins Leben ruft, hat alle Hände voll zu tun – und vernachlässigt mitunter Risiken. Besonders oft ist das bei Cyberrisiken der Fall.

Die Gründerstudie der öffentlichen Versicherer in Deutschland zeigt, dass viele Gründer das Risiko von Cyberangriffen in der Anfangsphase unterschätzen. Lediglich 13 Prozent haben eine Cyberversicherung abgeschlossen. Im Gegensatz dazu stufen 67 Prozent der etablierten Unternehmen Hacker- und Virenangriffe als mittleres bis hohes Risiko ein. Prävention ist hierbei ein wichtiger Faktor zur Abwehr von wirtschaftlichen Schäden. Es ist auch von großer Bedeutung, das Versicherungsportfolio regelmäßig zu aktualisieren, da 18 Prozent der etablierten KMU ihr Portfolio länger als zwei Jahre und bis zu fünf Jahre, und sogar 23 Prozent länger als fünf Jahre nicht aktualisiert haben.

Im Schadensfall wünschen sich sowohl Jungunternehmen als auch etablierte Unternehmen eine schnelle Reaktion ihres Versicherers. Eine Betreuung durch eine feste Ansprechperson ist hierbei von hoher Bedeutung, insbesondere für Jungunternehmer. Unterstützung in unmittelbarer Nähe ist zudem für 89 Prozent der Gründer sowie 72 Prozent der Entscheider etablierter Unternehmen von großer Bedeutung.

Für die Mehrheit der Befragten (69 Prozent) ist es wichtig bis sehr wichtig, dass Versicherer nachhaltig agieren. Regionaler Verantwortung wird dabei von 40 Prozent der Jungunternehmen und 45 Prozent der etablierten Unternehmen als der wichtigste Nachhaltigkeitsfaktor genannt. Zusammenfassend kann gesagt werden, dass eine professionelle Beratung bei Versicherungen insbesondere für Jungunternehmen wichtig ist, um ein umfassendes und aktuelles Versicherungsportfolio zu erhalten, das auch die Risiken von Cyberangriffen berücksichtigt.

Deutsche Unternehmen befürchten zunehmende Cyberattacken. Bei welchen Delikten die Risikowahrnehmung besonders hoch ist.

Deutsche Unternehmen befürchten eine weitere Zunahme von Cyberangriffen. Das geht aus der KPMG-Studie “e-Crime 2022” hervor. Demnach schätzen 91 Prozent der Befragten das Risiko für deutsche Unternehmen, Opfer einer Cyberattacke zu werden, als hoch oder sehr hoch ein. Damit wuchs dieser Wert im Vergleich zu den Vorgängerjahren nochmals an (2017: 88 Prozent, 2019: 92 Prozent).

Wird allerdings nach der Risikoeinschätzung für das eigene Unternehmen gefragt, fallen die Werte deutlich niedriger aus: So schätzten 2017 88 Prozent der Teilnehmer die Cyber-Risikolage für deutsche Unternehmen als hoch oder sehr hoch ein. Doch nur 48 Prozent kamen für das eigene Unternehmen bzw. Arbeitgeber zu dieser Risikoeinschätzung. Auch 2022 besteht diese Lücke. Aber: Sie wird kleiner. Denn 2022 kamen immerhin 61 Prozent der Befragten zu dem Schluss, dass auch das eigene Unternehmen einer hohen oder sehr hohen Cyber-Gefahr ausgesetzt ist.

Furcht vor Cyber-Erpressung nimmt besonders stark zu

Bei der delikt-spezifischen Risikowahrnehmung lässt sich feststellen, dass die Furcht, Opfer von digitaler Erpressung zu werden, besonders stark zugenommen hat. Noch 2017 war dieses Risiko mit 49 Prozent der Nennungen noch das am wenigsten als hoch oder sehr hoch eingeschätzte Risiko. 2022 geben aber 82 Prozent der befragten Unternehmen an, dieses Risiko für hoch oder sehr hoch zu halten. Als mögliche Ursache wird in der KPMG-Studie ‚prominente Ransomware-Fälle‘ wie REvil, DarkSide oder Hive verwiesen. Erpressungsfälle sind 2022 jedenfalls das in der Wahrnehmung am stärksten gewachsene Cyber-Risiko. Wie die delikt-spezifischen Risiken wahrgenommen wurden und wie sich dieser Wert im Vergleich zur Vorgänger-Erhebung (2019) entwickelte, zeigt folgende Liste:

  • Computerbetrug 93 Prozent; Zunahme: + 5 Prozentpunkte
  • Datendiebstahl 90 Prozent; Zunahme: + 2 Prozentpunkte
  • Erpressung 82 Prozent; Zunahme: + 12 Prozentpunkte
  • Verletzung von Geschäftsgeheimnissen 72 Prozent; Zunahme: keine; seit 2017 unverändert
  • Computersabotage 69 Prozent; Zunahme + 5 Prozentpunkte
  • Verletzung von Urheberrechten 65 Prozent; Veränderung: – 6 Prozentpunkte
  • Manipulation von Konto- und Finanzdaten 52 Prozent; Zunahme: + 1 Prozentpunkt

Über die Studie:
Das Sozialforschungsinstitut Kantar befragte zwischen Februar bis Mai 2021 und November 2021 bis Februar 2022 Mitarbeitende von 1.000 repräsentativ nach Branche und Umsatz ausgewählten Unternehmen zu ihren Erfahrungen im Feld der Computerkriminalität.

Angesichts des Ukraine-Krieges warnt Volker Wissing (FDP), Bundesminister für Verkehr und digitale Infrastruktur, vor Cyberangriffen. Nicht von ungefähr: Eine der teuersten Schadsoftware-Attacken der letzten Jahre richtete sich gegen die Ukraine: Und schädigte auch deutsche Firmen.

Die Welt schaut auf die Ukraine, wo ein blutiger und grausamer Krieg tobt. Davon sind direkt oder indirekt auch deutsche Unternehmen betroffen, die vielfach mit Spenden und Unterstützung den ukrainischen Menschen helfen wollen. Und zum Beispiel mit dem Ausfall von Lieferketten zu kämpfen haben.

Eine Gefahr, die dabei übersehen werden könnte, sind Cyber-Attacken auch auf die deutsche Wirtschaft. Aufgrund drohender Hackerangriffe “sind wir mit allen relevanten Stellen in Deutschland in Kontakt, um insbesondere die Betreiber kritischer Infrastruktur zu begleiten und vorzubereiten, falls es zu entsprechenden Cyberangriffen kommt”, sagte der zuständige Bundesminister Volker Wissing (FDP) in einem Interview mit der “Welt am Sonntag”.

Dass dies kein unrealistisches Szenario ist, zeigt das Jahr 2016. Damals breitete sich in Windeseile der Erpressungstrojaner “Petya” bzw. -später- “notPetya” in der ganzen Welt aus. Ziel waren auch ursprünglich ukrainische Unternehmen und Behörden, wo der Virus zuerst nachgewiesen werden konnte. Aber auch Firmen, die mit diesen kooperierten. Zu den deutschen Unternehmen, die geschädigt wurden, zählte unter anderem die Beiersdorf AG, bekannt durch die Marke Nivea. Ihr entstand ein Millionenschaden. Der US-Pharmariese Merck erlitt sogar einen Schaden von 1,4 Milliarden US-Dollar.

Die Petya-Attacken zeigen auch, wie die -oft hochprofessionell agierenden Hacker- dabei vorgehen. Und das Einfallstor ist hierbei ein sehr traditionelles gewesen: die E-Mail. Gezielt wurden Personalabteilungen angeschrieben, wobei sich die Schadsoftware als Bewerbungsschreiben tarnte. Diese waren zusätzlich als pdf-Datei getarnt. Klickte man die Datei an, so entpackte der Computer ein Programm, der alle wichtigen Daten auf dem Rechner verschlüsselte und unzugänglich machte. Zur Wiederherstellung der Dateien sollten die Betroffenen ein Lösegeld in Bitcoins zahlen. Es war nicht der einzige Angriff dieser Art: viele ähnliche Programme folgten.

Entsprechend gilt es, sich gegen solche Attacken zu wappnen. Expertinnen und Experten bieten hier auch kleinen und mittelständischen Firmen Unterstützung an: ein Ansprechpartner können Versicherer mit Cyber-Policen sein. Sie unterstützen oft auch präventive Maßnahmen: Denn es gilt, die Mitarbeiter zu schulen, einen Notfallplan bereitzuhalten und Ansprechpartner zu kennen, wenn doch einmal eine derartige Attacke Erfolg hat. Petya konnte selbst große Firmen für Wochen lahmlegen. Das bedeutet, dass in solch einem Fall Produkte nicht hergestellt, Kunden nicht beliefert und Kontakte nicht gepflegt werden konnten. Kam es zu Lieferverzögerungen, waren oft auch Schadensersatz-Forderungen die Folge.

Schützen können sich Unternehmen mit einer Cyberversicherung. Hierbei lohnt ein Blick in die Bedingungswerke. Strittig ist zum Beispiel, ob derartige Attacken in heutigen Zeiten als kriegerischer Akt gewertet werden können: Diese sind in der Regel vom Versicherungsschutz ausgenommen. In Deutschland folgt die Rechtsprechung noch einer engen Auslegung des Begriffes, wonach “kriegerischer Akt” an physische Gewalt gekoppelt ist. Aber die Versicherer versuchen, derartige Kostenrisiken zunehmend durch Klauseln auszuschließen.

Welche Unternehmen sollten eine IT-Versicherung abschließen und welche eine Cyber-Police? Wie sich IT- und Cyber-Risiken unterscheiden.

Das vielleicht Wichtigste vorweg: Unternehmen, die eine IT-Versicherung abgeschlossen haben, sind deswegen nicht vor den finanziellen Folgen eines Cyberangriffs geschützt.

Beide Begriffe entstammen zwar dem gleichen Themenfeld, bezeichnen aber unterschiedliche Risiken. Um den tatsächlich notwendigen und sinnvollen Versicherungsschutz einzukaufen, ist eine Risikoanalyse unverzichtbar.

Im Folgenden sollen wesentliche Unterschiede zwischen IT- und Cyber-Risiken dargelegt werden. Im Nachschlagewerk ‚VersicherungsAlphabet’ wird auf die Unterteilung der Leistungszusage nach Eigenschäden, Drittschäden und weiteren Leistungsbestandteilen, wie zum Beispiel dem Krisenmanagement, hingewiesen.

Demnach sind unter Cyber-Risiken mögliche Schäden für Unternehmen an der eigenen IT zu verstehen. Die können beispielsweise Angriffe auf elektronische Daten oder informationsverarbeitende Systeme ausgelöst werden. Aber auch Datenschutzverletzungen zählen dazu. Da die Systeme des versicherten Unternehmens betroffen sind, spricht man von Eigenschäden.

Unter IT-Risiken ergeben sich hingegen oft im Zusammenhang mit der Erbringung von IT-Dienstleistungen. Gemeint sind Fehler oder Nachlässigkeiten, die Haftpflichtansprüche Dritter (Drittschäden) begründen. Das können zum Beispiel Programmierfehler sein. Diese Risiken sollten Unternehmen mit einer IT-Haftpflichtversicherung absichern.

Die Coronakrise hat in Deutschland für einen Digitalisierungsschub gesorgt: Schnell wurden Homeoffice-Arbeitsplätze eingerichtet und digitale Geschäftsprozesse gefördert, Videokonferenzen ersetzten das Gespräch vor Ort. Unternehmen versuchten durch das Nutzen neuer digitaler Wege, die eh verheerenden wirtschaftlichen Auswirkungen abzumildern. Was aus der Not geboren wurde, offenbarte hierbei auch Chancen: Eine neue Arbeitskultur verspricht auch für die Zukunft mehr Flexibilität. Aber durch die größte Work-from-home Situation der Geschichte entstehen auch existenzbedrohende Gefahren für Unternehmen.

Denn kriminelle Hacker schlafen nicht, sondern versuchen, die neue Situation für sich auszunutzen. Sind doch die Heimsysteme oft weniger sicher als die oft gut und professionell gewarteten Systeme der Firmen. Insbesondere die Cloudnutzung oder die Nutzung nicht geprüfter Apps oder Plattformen birgt eine hohe Gefahr. Auch sind Mitarbeiter zuhause anfälliger für Fehlverhalten wie das Öffnen schädlicher Mails. Und gerade die Angst vor Corona machen sich Angreifer zunutze.

Kriminelle spekulieren geschickt auf menschliche Schwächen

Das zeigte nun auch die Studie eines Unternehmens, das sich auf Sicherheitstechnik spezialisiert hat: Fehlende Abstimmungswege oder mangelnde Kommunikations- und Austauschmöglichkeiten schaffen neue Gefahren. So nutzten Cyberkriminelle ganz gezielt die Angst vor Corona, indem sie zu Beginn der Coronakrise beispielsweise gefälschte Anträge für Kurzarbeit oder gefälschte Corona- Warnungen per E-Mail versendeten. Im Anhang oder hinter Links verbarg sich aber kein behördliches Schreiben, sondern Schadsoftware wurde auf die Rechner geladen. Hierdurch drangen Angreifer in die Betriebssysteme ein.

Zum Teil dienten die Angriffe der Erpressung: Durch so genannten Ransomware (“Ransom” = “Lösegeld”) wurden Daten des Unternehmens wie Kunden- und Geschäftsdaten verschlüsselt, um sie nur gegen Zahlung eines oft hohen Lösegeldes wieder freizugeben. Die EU-Strafbehörde Europool betrachtet Ransomware mittlerweile als größte Bedrohung durch Cyberkriminalität, da oft Lösegeldforderungen in Millionenhöhe erhoben werden. Auch handeln kriminelle Hacker mittlerweile mit den schädlichen Programmen und verkaufen sie an andere Kriminelle.

Es sind aber auch Fälle bekannt, bei denen Kriminelle tatsächlich durch Missbrauch von Unternehmensdaten versuchten, sich Hilfs- und Fördergelder der Coronakrise im Namen eines Unternehmens zu ergaunern: Hierzu dient das Auslesen der Daten nach Eindringen in die Betriebssysteme. Auch Phishing- Attacken sind eine Bedrohung: Die Angreifer versuchen, empfindliche Daten wie Zugangsdaten und Passwörter zum Schaden der Opfer “abzufischen”. Und Denial-of-Service (DoS)-Angriffe zerstören die Verfügbarkeit von Daten, Diensten und Systemen oder von ganzen Netzen oft komplett.

Cyberangriffe können existenzbedrohend sein

Die Folgen derartiger Angriffe sind oft verheerend: Lieferketten werden unterbrochen, Teile können nicht an- und Waren nicht ausgeliefert werden. Verträge werden nicht eingehalten. Oft gehen wichtige Daten – selbst bei Zahlung eines Lösegelds – unwiederbringlich verloren. Zum Teil muss bis zur Behebung des Schadens der Betrieb ruhen, obwohl Rechnungen beglichen, Mitarbeiter bezahlt werden müssen. Für kleine und mittlere Unternehmen (KMU) werden solche Szenarien schnell existenzbedrohend.

Die neue Gefahr ist im Bewusstsein der Unternehmen auch angekommen: Laut der Studie eines großen Versicherers unter kleinen und mittleren Unternehmen hat die Angst vor Cyberattacken mittlerweile die Angst vor anderen Risiken – zum Beispiel menschliches Versagen im eigenen Unternehmen oder Einbruch – abgelöst. Und dennoch verfügen viele Unternehmen noch nicht über genügend Versicherungsschutz: Erst dreizehn Prozent der Unternehmen in der besagten Studie gaben an, bereits eine Cyberversicherung abgeschlossen zu haben.

Guter Rat ist nötig

Eine gute Cyberversicherung muss verschiedenes leisten können. Betriebsunterbrechungen durch einen Cyberangriff sollten abgedeckt sein. Auch sollten Folgen eines Kreditkarten- und Kontenmissbrauchs durch den Versicherungsschutz bedacht werden. Und die Versicherung sollte auch Leistungen enthalten, um vor Identitätsdiebstahl zu schützen oder um die Reputation beim Kunden wiederherzustellen. Unternehmen ohne Versicherungsschutz vor Cybergefahren sollten sich also dringend und Rat suchend an Experten wenden – gerade in Zeiten von Homeoffice durch Corona.

Wenn Industriebetriebe längere Zeit von einer Betriebsunterbrechung betroffen sind, kann das im Zweifel die Existenz bedrohen. Und je mehr die weltweite Vernetzung zunimmt, desto mehr steigt auch die Wahrscheinlichkeit eines solches Ereignisses: Da reicht schon ein Angriff auf die IT-Technik einer Firma. Anlass für den Versicherer-Dachverband, gerade kleine und mittlere Betriebe für das Thema zu sensibilisieren.

Es ist ein krasses, aber keineswegs seltenes Beispiel, das der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) in seinem aktuellen Magazin wählt, um für die Gefahren einer Betriebsunterbrechung zu sensibilisieren. Ein Presswerk, das Autoteile fertigt, wurde demnach 2016 Opfer mehrerer Unwetterereignisse: unter anderem von Überschwemmungen durch Winterstürme. Einen halben Tag konnte das Unternehmen gar nicht produzieren, bis der Betrieb teilweise wieder aufgenommen wurde. Doch durch das Wasser und Dreck waren auch Maschinen beschädigt und es dauerte mehrere Wochen, bis der Originalzustand wieder hergestellt wurde. In Summe musste der Betrieb mit 17.000 Mitarbeitern einen Schaden von mehr als 100 Millionen Euro beklagen.

Derartige Betriebsausfälle sind heute leider keine Seltenheit mehr: Und suchen auch deutlich kleinere Firmen heim. Grund ist die zunehmende Vernetzung der Welt, oder wie es der GDV nennt: “Dominoeffekt dank Digitalisierung”. In einer zunehmend vernetzten Welt werden auch Lieferketten und Produktionsprozesse vernetzter und digitaler, was die Störanfälligkeit erhöht. Schon ein Angriff auf die IT einer Firma oder eines Zulieferers kann dann die Produktion für mehrere Tage stilllegen. Oder, wenn ein LKW mit wichtigen Bauteilen die Grenzkontrolle nicht passieren darf, weil er die falschen Dokumente dabei hat. “Sowohl die Häufigkeit von Betriebsunterbrechungen nimmt zu als auch die Schadenshöhe”, sagt Michael Busch, Leiter der GDV-Kommission Sachversicherungen Firmengeschäft.

Das hat auch Auswirkungen auf den Versicherungsschutz von Gewerbebetrieben, der sich auf die wandelnden Bedürfnisse einstellen muss. Noch im Jahr 1998 seien drei Viertel der Versicherungsbeiträge in klassische Feuerindustrie- oder Feuer-Betriebsunterbrechungs-Policen geflossen, die vor allem der Absicherung von Brandrisiken dienten. Diese machen heute nur noch vier von zehn Verträgen aus. Stattdessen boomen Extended-Coverage-Versicherungen und All-Risk-Verträge, berichtet der GDV. Also Verträge, die eine Art Gesamtpaket gegen eine Vielzahl von möglichen Betriebsstörungen und Ausfallgründen beinhalten. Auch die Schadenssummen stiegen in den letzten Jahren stark an. Gaben die deutschen Industrieversicherer 2010 noch rund 1,96 Milliarden Euro zur Regulierung von Schäden aus, waren es 2016 bereits knapp 2,8 Milliarden Euro.

Hier sollten Gewerbebetriebe ihren Versicherungsschutz checken, ob er für die neuen Anforderungen einer vernetzten Welt ausreichend Deckung bietet. Das beinhaltet vor allem auch Cyberrisiken. Die Schäden dort werden heute von Rückversicherern weltweit bereits auf 600 Milliarden Dollar geschätzt, doch nur ein Prozent aller Betriebe verfügt über eine Cyberversicherung oder einen entsprechenden Baustein. Hier sei daran erinnert, dass Erpressersoftware wie “Wannacry” sogar große Firmen wie Renault oder die Deutsche Bahn schädigen konnte. Bei der Deutschen Bahn zum Beispiel wurden rund 450 Rechner infiziert und führten unter anderem zum Ausfall von Anzeigetafeln und einer regionalen Leitstelle. Und in Berlin fielen mehrere Wochen Fahrkartenautomaten aus. Der Schaden ging ebenfalls in die Millionen. Weil die Tarife auf den jeweiligen Betrieb und dessen Risiken abgestimmt sein müssen, empfiehlt sich ein Beratungsgespräch mit einem qualifizierten Experten.

Laut einer aktuellen Studie sind mittelständische Firmen unzureichend gegen Cyberrisiken abgesichert. Nur jedes fünfte Unternehmen besitzt beispielsweise eine Cyberversicherung – obwohl jedes zehnte im Jahr 2014 von einer Hacker-Attacke betroffen war.

Mittelständische Unternehmen werden immer häufiger Ziel von sogenannten Hacker-Attacken, bei denen zum Beispiel Kriminelle sensible Nutzerdaten stehlen. Dies ist das Ergebnis einer Studie der Unternehmensberatung PwC, von der heute die Deutsche Presse-Agentur berichtet. Laut der Befragung von 400 Unternehmen war jedes zehnte im Jahr 2014 von einer Hacker-Attacke betroffen, dabei entstand ein durchschnittlicher Schaden von 80.000 Euro.

IT-Gesetz schreibt Maßnahmen gegen Hacker vor

Problematisch ist die fehlende Absicherung auch deshalb, weil der Gesetzgeber strengere Richtlinien gegen Online-Kriminalität einfordert. Seit dem 25.07.2015 ist das sogenannte IT-Sicherheitsgesetz in Kraft. Es schreibt Unternehmen aus wichtigen Branchen wie der Telekommunikation, der Energieversorgung oder dem Finanz- und Versicherungswesen vor, dass sie sich im ausreichenden Maße gegen Hacker-Angriffe sichern sollen. Zwar sind die Grundsätze des Gesetzes aktuell sehr allgemein formuliert – aber bis 2017 soll jede Branche eine eigene Rechtsverordnung haben. Da heißt es für Unternehmen: vorbereitet sein!

Warum ein solches Gesetz wichtig ist, zeigt ein Blick auf mögliche Auswirkungen von Internet-Kriminalität. Wenn beispielsweise einem Hotelbesitzer die Kreditkartendaten seiner Kunden geklaut werden, muss der Betroffene eine ganze Kette von Maßnahmen anstoßen, um den Schaden aus der Welt zu schaffen. Er muss alle Betroffenen laut Bundesdatenschutzgesetz über den Klau informieren, die Firma muss Passwörter und Konten sperren, möglicherweise einen Forensiker zur Datenrettung engagieren. Und damit das Vertrauen der Kunden wieder hergestellt werden kann, ist unter Umständen sogar ein PR-Stratege erforderlich, der das Image der Firma aufpoliert. Selbst bei kleinen Firmen ist da schnell eine fünfstellige Summe weg – laut PwC kann der Schaden für einen einzigen Hacker-Angriff bis zu 500.000 Euro betragen!

Cyberversicherung schützt vor den finanziellen Folgen

Eine noch recht junge Sparte, die Schäden aus Online-Kriminalität für mittelständische Firmen auffängt, ist die gewerbliche Cyberversicherung. Mittlerweile haben nahezu alle wichtigen Anbieter eine entsprechende Police im Portfolio. Kleine Unternehmen mit einem Umsatz von weniger als 500.000 Euro im Jahr profitieren von Baustein- und Kombi-Lösungen, bei den mehrere Absicherungen miteinander kombiniert werden können. Aber nur jedes fünfte Unternehmen in Deutschland ist überhaupt in Besitz einer entsprechenden Police. Hier herrscht noch Aufklärungsbedarf.

Obligatorisch sollte ein Haftpflicht-Baustein sein, so dass die Versicherung einspringt, wenn Dritten durch das eigene Computernetzwerk Schäden entstehen. Das ist etwa der Fall, wenn Waren aufgrund von IT-Ausfällen nicht rechtzeitig geliefert werden. In manchen Policen sind auch Eigenschäden mitversichert – Zum Beispiel, wenn Geschäftsgeheimnisse öffentlich werden und daraus ein Schaden resultiert. EINE Betriebsunterbrechungs-Versicherung springt hingegen ein, wenn aufgrund einer geschädigten Software etwa eines Lieferanten die eigene Produktion stillsteht. Ein Beratungsgespräch mit einem Experten schafft Klarheit.