Beiträge

Cyber-Schäden nehmen weiter zu, zeigt die Untersuchung eines Versicherers. Auch die damit verbundenen Kosten steigen. Welche Ursachen diese Entwicklung treiben.

Cyber-Schadensfälle haben im letzten Jahr weiter zugenommen, was insbesondere auf die wachsende Anzahl an Datenschutzverletzungen zurückzuführen ist. Laut dem aktuellen Cyber Risk Outlook von Allianz Commercial ist die Häufigkeit großer Cyber-Schadensfälle, die einen Wert von über einer Million Euro erreichen, im ersten Halbjahr 2024 um 14 Prozent gestiegen. Gleichzeitig stiegen die Schadenshöhen um 17 Prozent.

Datenschutzverletzungen sind der Hauptgrund für diesen Anstieg: Zwei Drittel aller gemeldeten Schäden stehen in direktem Zusammenhang mit Verstößen gegen Datenschutzvorgaben. Diese Entwicklung zeigt, wie sensibel Unternehmen auf Datenverluste reagieren müssen und dass Cyber-Risiken eine stetig wachsende Herausforderung darstellen.

Trotz der Zunahme schwerer Fälle wird erwartet, dass sich die Gesamtzahl der Cyber-Schadensfälle im Jahr 2024 stabilisiert. Dennoch bleibt der finanzielle und organisatorische Schaden, den Cyberangriffe verursachen, enorm. Unternehmen sind daher gut beraten, ihre IT-Sicherheit und Datenschutzmaßnahmen kontinuierlich zu überprüfen und anzupassen.

Künstliche Intelligenz (KI) könnte die Finanzberatung revolutionieren, besonders in einer Zeit, in der nur ein Drittel der Deutschen ihr eigenes Finanzwissen als „gut“ oder „sehr gut“ einschätzt. Die Ergebnisse der repräsentativen Umfrage „TeamBank-Liquiditätsbarometer“ zeigen jedoch, dass lediglich 36 Prozent der Bundesbürgerinnen und Bundesbürger dem Einsatz von KI-gestützten Beratungsangeboten in Bereichen wie Geldanlage, Kredit oder Altersvorsorge offen gegenüberstehen.

Besonders aufgeschlossen gegenüber KI-Beratung sind Besserverdienende mit einem Haushaltsnettoeinkommen von über 4.000 Euro monatlich. In dieser Gruppe können sich 53 Prozent vorstellen, KI zur Finanzberatung zu nutzen. Zum Vergleich: Bei einem Einkommen von unter 2.000 Euro liegt die Akzeptanz nur bei rund 30 Prozent. Auch das Alter spielt eine entscheidende Rolle: Während fast die Hälfte der 18- bis 49-Jährigen KI-gestützte Finanzberatung in Betracht zieht, sind es bei den 50- bis 79-Jährigen lediglich ein Viertel. Geschlechterunterschiede zeigen sich ebenfalls, denn 42 Prozent der Männer, aber nur 30 Prozent der Frauen, sind für den Einsatz von KI offen.

Trotz dieser potenziellen Vorteile gibt es erhebliche Bedenken. Skeptiker bemängeln vor allem die mangelnde Transparenz der Entscheidungen (86 Prozent) und ein höheres Vertrauen in Menschen gegenüber Maschinen (82 Prozent). Ebenso viele bezweifeln, dass ihre Fragen von der KI umfassend beantwortet werden können. 60 Prozent der Befragten lehnen die Technologie sogar grundsätzlich ab, da sie Arbeitsplatzverluste befürchten.

Dennoch sprechen auch viele Argumente für den Einsatz von KI in der Finanzberatung. Die Möglichkeit, rund um die Uhr verfügbar zu sein, wird von 81 Prozent der Befragten als klarer Vorteil angesehen. Zudem erwarten drei von vier Befragten eine objektivere und unabhängigere Beratung durch KI. 71 Prozent der Aufgeschlossenen schätzen, dass die Technologie sie weniger zu Handlungen drängt, und 67 Prozent halten es sogar für möglich, dass die KI in einigen Bereichen dem Menschen überlegen ist.

In den vergangenen Jahren hat sich durch den starken Fokus auf den Onlinehandel auch das Kundenverhalten in Bezug auf den dazu passenden Versicherungsschutz gewandelt. Wer per Versandhandel ein Produkt kauft, dem wird häufig auch eine sogenannte integrierte Versicherung oder „Embedded Insurance“ mit angeboten. Doch hier gilt es genau hinzusehen, denn die Policen haben auch ihre Tücken.

Beim Kauf eines Laptops oder einer Waschmaschine gleich die passende Versicherung dazu? Das bieten immer mehr Online-Versandhändler an. Und das mit wachsendem Erfolg. Inzwischen würden mit 92 Prozent nahezu alle Kunden die Möglichkeit zur Ergänzung einer Zusatzversicherung während des Online-Kaufs aktiv bemerken. Mehr als die Hälfte von ihnen hat bereits von dieser Gelegenheit Gebrauch gemacht. Das zeigt eine Umfrage des Rostocker InsurTechs hepster.

Allerdings hängt der Abschluss von Zusatzversicherungen vom Produkt ab. An erster Stelle stehen Smartphones und Handys, bei denen jeder fünfte Kunde direkt beim Kauf eine passende Versicherung erworben hat. Ebenso zeigen sich Laptop, Notebook und (E-)Bikes als beliebte Optionen, wobei hier 15 Prozent der Teilnehmer entsprechende Zusatzversicherungen abgeschlossen haben. Klassische Reiseversicherungen sowie Kameraversicherungen wurden von jeweils 12 Prozent der Befragten in Anspruch genommen.

Das Interesse an einem Versicherungsschutz ist auch vom Wert des Produktes abhängig. Ab einem Kaufpreis von 500 Euro legen knapp 55 Prozent Wert auf eine Versicherung. Weitere 41 Prozent ziehen dies ab 1.000 Euro in Betracht.

Tarife mit Tücken

Es ist kein Geheimnis, dass viele Verbraucherinnen und Verbraucher eine solche Versicherung abschließen, ohne sich vorher die Vertragsbedingungen genau durchzulesen. Das ist aber ein Fehler. Verbraucherverbände warnen, dass gerade derartige Verträge mitunter tückische Ausschlüsse haben.

Ein Beispiel: Ein großer Versandhändler bewirbt einen Tarif, bei dem kein Leistungsanspruch besteht, wenn beim Verschütten von Flüssigkeit grobe Fahrlässigkeit im Spiel war. Als grob fahrlässig kann schon gewertet werden, wenn man die Kaffeetasse neben dem Smartphone abstellt, diese umkippt und das Gerät beschädigt wird. Für genau solche Fälle erhofft man sich aber Schutz.

Viele Tarife sehen zudem hohe Selbstbeteiligungen bei Reparaturen vor. Und versichert ist oft nur der Zeitwert eines Gerätes. Keineswegs erhält man folglich den Kaufpreis bei einem Schaden, da gerade elektrische Geräte wie Laptops oder Smartphones schnell an Wert verlieren. Außerdem lassen viele Verträge offen, ob der Versicherungsnehmer bei einem Totalschaden einen Geldersatz erhält – oder nur ein gebrauchtes Ersatzgerät. Schäden durch Abnutzung und Verschleiß sind grundsätzlich ausgeschlossen.

Zudem sollte beachtet werden, dass Käufer auch Anrechte gegenüber einem Händler haben, wenn ein Gerät zeitig kaputt geht. Gemeint ist hiermit nicht die -oft freiwillig- angebotene Garantie, sondern die sogenannte Gewährleistung. Volle zwei Jahre haftet der Verkäufer für den ordnungsgemäßen Zustand der verkauften Sache, wobei nach sechs Monaten der Käufer in der Pflicht ist nachzuweisen, dass der Mangel bereits beim Kauf bestanden hat. Weil aber viele „Embedded Insurance“-Tarife, wie der Name schon sagt, von ausländischen Versicherern bereitgestellt werden, beinhalten sie oft Deckungen, für die deutsche Verbraucher bereits über das EU-Recht und das Bürgerliche Gesetzbuch abgesichert sind (§§ 437, 438 BGB), ohne dafür extra zahlen zu müssen.

Ob sich solche integrierten Zusatzversicherungen lohnen, darüber gehen folglich die Meinungen auseinander – zumal sie oft auch recht teuer sind. Auf jeden Fall sollten zunächst andere Risiken abgesichert werden, etwa existentielle wie die Berufsunfähigkeit. Grundsätzlich aber gilt: Vorher den Vertrag lesen, was in welchem Umfang überhaupt versichert ist.

Die Digitalisierung hält im Versicherungsgeschäft Einzug. Doch im Schadenfall wünscht sich die Mehrheit einen menschlichen Ansprechpartner. Insbesondere ältere Menschen sind gegenüber der digitalen Schadenabwicklung skeptisch.

Wenn es auf der Straße gekracht hat oder die Kinder den Fußball in die Fensterscheibe kicken, sind viele froh, eine Versicherung zu haben. Das Versicherungsgeschäft, das noch vor kurzem durch Vor-Ort-Beratung und den Vertreterbesuch zu Hause geprägt war, läuft zunehmend digital ab. 4 von 10 Versicherten (40 Prozent) würden die gesamte Abwicklung von der Meldung bis zur Auszahlung gerne komplett digital erledigen. Der Wunsch ist quer durch die meisten Altersgruppen ähnlich weit verbreitet (16 bis 29 Jahre: 44 Prozent, 30 bis 49 Jahre: 48 Prozent, 50 bis 64 Jahre: 44 Prozent), nur die Älteren ab 65 sind mit 27 Prozent etwas zurückhaltender.

Vor allem Ältere sind dabei skeptisch, wenn der Schaden vollständig automatisiert abgewickelt wird, zum Beispiel durch eine softwarebasierte Prüfung oder mit Hilfe von KI-Chatbots. Während fast drei Viertel (72 Prozent) der Älteren ab 65 eine automatische Abwicklung beunruhigend finden, sind es bei den 50- bis 64-Jährigen 59 Prozent, bei den 30- bis 49-Jährigen 49 Prozent und bei den Jüngeren von 16 bis 29 Jahre nur 44 Prozent. Über alle Altersgruppen hinweg finden 58 Prozent diese Vorstellung beunruhigend. Zwei Drittel (66 Prozent) wünschen sich einen menschlichen Ansprechpartner wie ihren Versicherungsvermittler, der die komplette Schadensabwicklung für sie übernimmt – unabhängig vom Weg, auf dem er kontaktiert wird. Der Wunsch ist bei den Älteren ab 65 am weitesten verbreitet (74 Prozent), aber auch bei den Jüngeren von 16 bis 29 sind es mit 63 Prozent eine Mehrheit.

Über die Studie:
Zu diesen Ergebnissen kommt eine Befragung von 1.002 Personen ab 16 Jahren in Deutschland im Auftrag des Digitalverbands Bitkom.

Im Cyber-Bereich steigen die Schadenaufwendungen so stark, dass die Versicherer in die Verlustzone rutschen.

Aktuelle Auswertungen des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zeigen einen wachsenden Markt für Cyberversicherungen. Ende 2021 besaßen knapp 243.000 Kunden eine Cyberversicherung – ein Viertel mehr als ein Jahr zuvor. Ähnlich stark legten die Vertragszahlen auch im ersten Halbjahr 2022 zu, so der Verband.

Dem gegenüber stehen aber zunehmende Cyber-Angriffe und höhere Schadenaufwendungen für die Versicherer. So nahm die Anzahl der versicherten Hackerangriffe um 56 Prozent zu und liegt nun bei 3.700 Schäden. Die Leistungen, die die Versicherer für die Cyberschäden erbrachten, beziffert der Verband auf 137 Millionen Euro. Im Vergleich zum Vorjahr verdreifachte sich dieser Wert nahezu.

Der GDV drängt darauf, dass insbesondere Kleinstunternehmen die vom Verband empfohlenen Sicherheitsmaßnahmen zur Schadenverhütung sorgfältiger umsetzten. Dazu zählen u.a.:

  • Verwendung komplexer Passwörter
  • Verschlüsselung von Mobilgeräten
  • Firewall für das Firmen-Server
  • Einrichtung und sparsame Verwendung von IT-Adminzugängen

Die Datenschutzgrundverordnung (DSGVO) schreibt Unternehmen strenge Regeln vor, wie die Daten von Kundinnen und Kunden vor dem Zugriff Dritter geschützt werden müssen. Wichtig: Diese Regeln gelten auch im Homeoffice. Doch hier zeigen sich viele Mitarbeiter eher nachlässig.

Die Coronakrise dauert nun etwa ein Jahr: mit Konsequenzen auch für viele Beschäftigte. Rund 30 Prozent der Arbeitnehmerinnen und Arbeitnehmer arbeitet derzeit im Homeoffice, so zeigte jüngst eine Studie des ifo-Institutes. Vor allem größere Firmen bieten den Wechsel des Arbeitsplatzes in die eigenen vier Wände an.

Doch Homeoffice birgt auch Gefahren: vor allem mit Blick auf den Datenschutz. Fest steht: Wer zuhause arbeitet, muss sensible Kundendaten mit der gleichen Sorgfalt schützen wie im Büro auch. Der heimische Arbeitsplatz birgt hier zahlreiche Risiken.

Zunächst gilt es, Arbeit und Privates nicht zu mischen – auch, weil dies das Abgreifen sensibler Daten erleichtert. Es sollte für Berufliches ausschließlich Hard- und Software genutzt werden, die der Arbeitgeber zur Verfügung gestellt hat. Wichtig ist hierbei, auf einen VPN-Zugang zu achten. Das steht für „Virtual Private Network“ und bedeutet stark vereinfacht, dass die Netzverbindung für Unbefugte nicht einsehbar ist. Tabu ist es jedenfalls, sensible Kundendaten auf privaten Festplatten und Sticks zu sichern.

Ab und zu ist man darauf angewiesen, Dokumente und Formulare auszudrucken. Auch hier gibt es No-Gos. Wer diese Papiere einfach im Hausmüll entsorgt, riskiert, dass sie in die falschen Hände geraten. Ein Aktenvernichter kann hier Abhilfe schaffen – oder die Unterlagen später mit auf Arbeit nehmen. Natürlich sollten wichtige Informationen und Dokumente in einem verschließbaren Schrank aufbewahrt werden.

Videokonferenzen oder berufliche Online-Meetings sollten darüber hinaus nicht auf dem Balkon oder der Terrasse stattfinden. Auch hier riskiert man, dass dritte Personen mitlauschen.

Als selbstverständlich sollte gelten, dass man nicht jeden Mailanhang einfach so öffnet: selbst, wenn die Mail scheinbar ein berufliches Anliegen hat. IT-Sicherheitsdienstleister berichten, dass Mailanhänge – und die darin versteckte Schadsoftware – noch immer häufigstes Einfallstor für Datendiebstahl und Hackerangriffe sind. Die Angreifer gehen dabei raffiniert vor: Sie verwenden sogar Adressen, die jenen des Arbeitgebers ähneln. Entsprechende Infos finden die Hacker leicht auf der Firmenwebseite. Oft seien Mitarbeiter in den Spam-Mails vermeintlich aufgefordert worden, Familien- und Krankenurlaub einzutragen. Die Kriminellen spielen hier bewusst mit der Angst und Unwissenheit der Menschen im Zuge der Corona-Krise.

Wer bereits Opfer eines erfolgreichen Hackerangriffes wurde, sollte sich von den Übeltätern nicht erpressen lassen. Sind Zugänge gesperrt oder ist der Rechner verseucht, verlangen Hacker häufig, dass Geld überwiesen wird – etwa in Form von Bitcoins. Und sie versprechen, die Daten wieder freizugeben, wenn die Geldzahlung einging. Das stimmt natürlich in der Regel nicht. Deshalb: auf keinen Fall auf die Forderungen eingehen, etwa aus falscher Scham! Sondern den Arbeitgeber umgehend informieren. Dann können gemeinsam Maßnahmen ergriffen werden, um den Schaden zu beseitigen. Vor den finanziellen Folgen von Hacker-Attacken können sich Firmen mit einer Cyberversicherung schützen.

Über 35 Millionen Euro Bußgeld musste H&M wegen Datenschutzverstößen zahlen, berichtet das DSGVO-Portal. Wieviel Bußgelder insgesamt verhangen wurden und welche Verstöße besonders häufig waren.

Die Umsetzungsfrist zur europäischen Datenschutzgrundverordnung (EU-DSGVO) endete 2018. Seitdem ist die DSGVO auch in Deutschland in Kraft. Die Webseite ‚DSGVO-Portal‘ fragte bei den Aufsichtsbehörden an, welche Bußgelder im 2020 verhangen worden sind und welche Verstöße den Behörden gemeldet wurden.

Den Ergebnissen zufolge, wurden 283 Bußgelder verhängt. Insgesamt wurden dabei 48,1 Mio. Euro gezahlt. Das DSGVO-Portal verzeichnet damit im Vergleich zum Vorjahr einen Anstieg um etwa 50 Prozent. Zum Jahresende 2019 wurden noch 187 Bußgeldverfahren registriert.

Das bisher höchste in Deutschland verhängte Bußgeld musste das Bekleidungsunternehmen H&M zahlen. Der Grund: Im Service-Center spionierte das Unternehmen die eigenen Mitarbeiter aus. Die Hamburger Datenschutzbehörde verhängte deshalb ein Bußgeld in Höhe von 35,5 Mio. Euro.

Ganz ähnlich bei dem Elektronikhändler notebooksbilliger.de AG: Der Landesbeauftragte für Datenschutz in Niedersachsen verhängte 10,4 Mio. Euro Bußgeld, weil Mitarbeiter ohne ihr Wissen videoüberwacht wurden. Das dritthöchste Bußgeld aufgrund von DSGVO-Verstößen musste die AOK Baden-Württemberg mit 1,24 Mio. Euro zahlen. Die Kasse verwendete Daten von Gewinnspielteilnehmern für Werbezwecke.

Doch das Gros der Bußgeldverfahren richtet sich gegen kleine- und mittelständische Unternehmen (KMU) sowie natürliche Personen, warnt das DSGVO-Portal. Die verhängten Bußgelder bewegen sich im drei- bis vierstelligen Euro-Bereich.

Laut Auswertung sind folgende Verstöße besonders häufig:

  • Verletzungen gegen die Auskunfts- und Informationspflichten (Art. 12 bis 15 DSGVO),
  • unrechtmäßige Verarbeitung personenbezogener Daten (Art. 5 und 6 DSGVO),
  • fehlende oder unzureichende Schutzmaßnahmen für die Datenverarbeitung (Art. 32 DSGVO)

Die Corona-Maßnahmen in Deutschland werden wieder verschärft. Eine Folge: Der ohnehin boomende Onlinehandel wird in der Weihnachtszeit zunehmen. Doch damit steigen auch die Chancen für Cyber-Kriminelle. Ein Experte benennt die fünf häufigsten Betrugsmuster beim Online-Shopping.

Mit dem erneuten Lockdown wird ein Großteil des Weihnachtsgeschäfts auf den Onlinehandel entfallen. Doch damit erhöhen sich auch für Betrüger die Chancen. Auf welche Warnsignale geachtet werden sollte und wie man sich vor Kriminellen im Web schützt, hat Daniel Markuson, Experte for digitale Privatsphäre bei NordVPN, zusammengestellt. Das Unternehmen bietet u.a. Verschlüsselungsdienste an.

Die häufigsten Betrugs-Methoden im Internet

  1. Information von der Bank
    
Betrüger fälschen E-Mails von Banken und behaupten darin, dass der Kauf, den die Opfer getätigt haben, nicht bearbeitet werden konnte. Gewillt, die Bezahlung endgültig abzuschließen, klicken die Opfer auf den Link und geben ihre Bankdaten auf einer gefälschten Bankwebseite ein, die exakt so aussieht wie das Original. Auf diese Weise geben die Opfer ihre gesamten Bankdaten an die Betrüger weiter.
  2. „Ihre Bestellung wurde abgebrochen“
    
Diese Betrügereien können so weit gehen, dass dabei behauptet wird: „Entschuldigen Sie, die Bestellung ist nicht mehr auf Lager. Ihre Bestellung wurde abgebrochen. Um eine Rückerstattung zu beantragen, klicken Sie bitte hier.“ Sobald das Opfer auf den Link klickt, wird es gebeten, die Daten der Kreditkarte einzugeben, auf die die Rückerstattung überwiesen werden soll – was damit endet, dass das Bankkonto geleert wird.
  3. Ähnlich aussehende Seiten
    
Amazoŋ.com, eday.com, googIe.comv – den meisten Nutzern fallen die Abweichungen der Adresszeile nicht auf, solange das Design der Webseite echt aussieht. Sie führen die Zahlungen für ihre Produkte im Einkaufswagen durch, und am Ende werden sie dann ausgeraubt.
  4. Erneuern Sie für die getätigten Einkäufe Ihre Mitgliedschaft
    
Sobald man seine Einkäufe beendet hat, senden Betrüger eine E-Mail und behaupten, dass die Amazon Prime Mitgliedschaft abgelaufen ist und man deshalb keinen Rabatt erhalten könne. Damit die Produkte also geliefert werden können, muss man die Mitgliedschaft erneuern. Am Ende wird das Opfer dazu verleitet, seine Bankdaten preiszugeben.
  5. Gefälschte Rechnungen
    
Wenn die Leute mehr Überweisungen als normalerweise tätigen, kann es schnell passieren, dass man gefälschte Rechnungen bezahlt. Diese Art von Betrug nennt man Authorised Push Payment (APP). Die Opfer können die Bezahlung nicht rückgängig machen, sobald sie merken, dass sie reingelegt wurden.

Die Coronakrise hat in Deutschland für einen Digitalisierungsschub gesorgt: Schnell wurden Homeoffice-Arbeitsplätze eingerichtet und digitale Geschäftsprozesse gefördert, Videokonferenzen ersetzten das Gespräch vor Ort. Unternehmen versuchten durch das Nutzen neuer digitaler Wege, die eh verheerenden wirtschaftlichen Auswirkungen abzumildern. Was aus der Not geboren wurde, offenbarte hierbei auch Chancen: Eine neue Arbeitskultur verspricht auch für die Zukunft mehr Flexibilität. Aber durch die größte Work-from-home Situation der Geschichte entstehen auch existenzbedrohende Gefahren für Unternehmen.

Denn kriminelle Hacker schlafen nicht, sondern versuchen, die neue Situation für sich auszunutzen. Sind doch die Heimsysteme oft weniger sicher als die oft gut und professionell gewarteten Systeme der Firmen. Insbesondere die Cloudnutzung oder die Nutzung nicht geprüfter Apps oder Plattformen birgt eine hohe Gefahr. Auch sind Mitarbeiter zuhause anfälliger für Fehlverhalten wie das Öffnen schädlicher Mails. Und gerade die Angst vor Corona machen sich Angreifer zunutze.

Kriminelle spekulieren geschickt auf menschliche Schwächen

Das zeigte nun auch die Studie eines Unternehmens, das sich auf Sicherheitstechnik spezialisiert hat: Fehlende Abstimmungswege oder mangelnde Kommunikations- und Austauschmöglichkeiten schaffen neue Gefahren. So nutzten Cyberkriminelle ganz gezielt die Angst vor Corona, indem sie zu Beginn der Coronakrise beispielsweise gefälschte Anträge für Kurzarbeit oder gefälschte Corona- Warnungen per E-Mail versendeten. Im Anhang oder hinter Links verbarg sich aber kein behördliches Schreiben, sondern Schadsoftware wurde auf die Rechner geladen. Hierdurch drangen Angreifer in die Betriebssysteme ein.

Zum Teil dienten die Angriffe der Erpressung: Durch so genannten Ransomware („Ransom“ = „Lösegeld“) wurden Daten des Unternehmens wie Kunden- und Geschäftsdaten verschlüsselt, um sie nur gegen Zahlung eines oft hohen Lösegeldes wieder freizugeben. Die EU-Strafbehörde Europool betrachtet Ransomware mittlerweile als größte Bedrohung durch Cyberkriminalität, da oft Lösegeldforderungen in Millionenhöhe erhoben werden. Auch handeln kriminelle Hacker mittlerweile mit den schädlichen Programmen und verkaufen sie an andere Kriminelle.

Es sind aber auch Fälle bekannt, bei denen Kriminelle tatsächlich durch Missbrauch von Unternehmensdaten versuchten, sich Hilfs- und Fördergelder der Coronakrise im Namen eines Unternehmens zu ergaunern: Hierzu dient das Auslesen der Daten nach Eindringen in die Betriebssysteme. Auch Phishing- Attacken sind eine Bedrohung: Die Angreifer versuchen, empfindliche Daten wie Zugangsdaten und Passwörter zum Schaden der Opfer „abzufischen“. Und Denial-of-Service (DoS)-Angriffe zerstören die Verfügbarkeit von Daten, Diensten und Systemen oder von ganzen Netzen oft komplett.

Cyberangriffe können existenzbedrohend sein

Die Folgen derartiger Angriffe sind oft verheerend: Lieferketten werden unterbrochen, Teile können nicht an- und Waren nicht ausgeliefert werden. Verträge werden nicht eingehalten. Oft gehen wichtige Daten – selbst bei Zahlung eines Lösegelds – unwiederbringlich verloren. Zum Teil muss bis zur Behebung des Schadens der Betrieb ruhen, obwohl Rechnungen beglichen, Mitarbeiter bezahlt werden müssen. Für kleine und mittlere Unternehmen (KMU) werden solche Szenarien schnell existenzbedrohend.

Die neue Gefahr ist im Bewusstsein der Unternehmen auch angekommen: Laut der Studie eines großen Versicherers unter kleinen und mittleren Unternehmen hat die Angst vor Cyberattacken mittlerweile die Angst vor anderen Risiken – zum Beispiel menschliches Versagen im eigenen Unternehmen oder Einbruch – abgelöst. Und dennoch verfügen viele Unternehmen noch nicht über genügend Versicherungsschutz: Erst dreizehn Prozent der Unternehmen in der besagten Studie gaben an, bereits eine Cyberversicherung abgeschlossen zu haben.

Guter Rat ist nötig

Eine gute Cyberversicherung muss verschiedenes leisten können. Betriebsunterbrechungen durch einen Cyberangriff sollten abgedeckt sein. Auch sollten Folgen eines Kreditkarten- und Kontenmissbrauchs durch den Versicherungsschutz bedacht werden. Und die Versicherung sollte auch Leistungen enthalten, um vor Identitätsdiebstahl zu schützen oder um die Reputation beim Kunden wiederherzustellen. Unternehmen ohne Versicherungsschutz vor Cybergefahren sollten sich also dringend und Rat suchend an Experten wenden – gerade in Zeiten von Homeoffice durch Corona.

In vielen Büros und Firmen kommen sie noch immer zum Einsatz: die guten alten Faxgeräte. Damit kann man schnell Dokumente von A nach B übermitteln, so dass sie zum Beispiel auch im Versicherungsvertrieb noch längst nicht aussortiert wurden. Dass es hierfür aber gute Gründe gibt, zeigt ein aktuelles Urteil des Oberverwaltungsgerichtes (OVG) Lüneburg. Demnach ist es tabu, sensible Daten per Fax weiterzuleiten, wenn es der Betroffene nicht will (Beschluss vom 22.07.2020, Az.: 11 LA 104/19).

Datenschutz mangelhaft

Der Grund, weshalb das Faxgerät nicht für das Versenden sensibler Daten verwendet werden darf: Diese Art der Übermittlung bietet nur einen mangelhaften bis gar keinen Datenschutz. Und das kann schnell zu ernsten Problemen führen, wie auch der verhandelte Rechtsstreit erahnen lässt.

Geklagt hatte vor dem Verwaltungsgericht ein Sprengstoffhändler. Die Fahrten mit der explosiven Fracht muss eine Behörde genehmigen und entsprechende Sperrvermerke ausstellen: stark vereinfacht vertrauliche Erklärungen, wann ein Sprengstoff wohin transportiert wird. Diese unterliegen der Geheimhaltung: Zwar kommt Sprengstoff zum Beispiel beim Berg- und Tunnelbau noch oft zum Einsatz. Aber auch Kriminelle und Terroristen hätten ein Interesse daran, die LKW zu kapern. So enthielten die Faxe sicherheitsrelevante Daten: etwa Fahrzeug-Identifikationsnummer und Spedition der Transporte.

Die zuständige Behörde hat wiederholt die Fahrgenehmigungen einfach per Fax an den Unternehmer geschickt, obwohl er sich dies verbat und einer Übersendung per Fax widersprochen hatte. Er klagte sowohl vor dem Verwaltungsgericht Osnabrück (VG) als auch vor dem Oberverwaltungsgericht Lüneburg (OVG). Beide Gerichte gaben dem Händler Recht: Die Behörde darf die Faxe nicht versenden, weil dies das einzuhaltende Schutzniveau verletze. Das Urteil ist rechtskräftig, eine Berufung der Behörde wurde nicht gestattet.

Fax wie Postkarte

Die Richter verwiesen darauf, dass das Versenden eines Faxes eben keine Datensicherheit garantiere: zumindest, wenn es unverschlüsselt erfolge. Der Datenschutzbeauftragte des Landes Nordrhein-Westfalen hatte diese Informationsweitergabe bereits mit dem Versenden einer Postkarte verglichen. Nicht nur sei der Telefaxverkehr wie ein Telefongespräch abhörbar. Auch Rufumleitungen und Fehler in der Zahlenfolge der Adresse könnten dazu führen, dass ein Fax in unbefugte Hände gerate.

Offen ist bisher, ob und in welchem Umfang das Urteil auch auf andere Branchen übertragen werden kann: Schließlich betrifft der Sprengstoff-Export auch die innere Sicherheit der Bundesrepublik. Welches Schutzniveau bei Informationen einzuhalten sei, „richtet sich nach der Sensibilität und Bedeutung der zu übermittelnden Daten, den potentiellen Gefahren bei der Faxübermittlung, dem Grad der Schutzbedürftigkeit des Betroffenen und dem mit den Sicherungsmaßnahmen verbundenen Aufwand“, führt das Gericht aus.

Dennoch ist sehr wahrscheinlich, dass das Faxgerät künftig überall dort ausgedient haben dürfte, wo die Sicherheit der Daten wichtig ist. Das würde auch den Versicherungs-Bereich betreffen. Schließlich sind individuelle Daten zu Gesundheit, Vermögen oder zu Wertgegenständen in der Wohnung höchst sensibel: und sprichwörtlich explosiv, wenn sie in die falschen Hände geraten.