Dass jedes Unternehmen bei einem Ausfall seiner IT unmittelbar zum Stillstand kommt, ist traurige Realität, ebenso, dass der Verlust von Daten nicht nur zu Verzögerungen führt, sondern die Existenz konkret bedroht. Auch dass bei kurzen Lieferzeiten der Ausfall eines Chemiehändlers rasch die Arbeitsfähigkeit der Kunden bedroht, ist eine gefährliche Realität.

Gezielte Angriffe auf bekannte Organisation erfolgen zunehmend mittels Bots, die im Netz Angriffsobjekte suchen, wahllos vorgehen und praktisch jeden treffen können. Ein aktueller Cyberangriff auf einen großen Chemikalienhändler zeigt die Gefahren aus dieser Richtung auf. Wie können insbesondere Mittelständler die Gefahrenabwehr organisieren?

Der weitere Text macht den Leser nicht zu einem IT- oder Cyberexperten, ermöglicht aber die konstruktiv-kritische Prüfung der aktuellen Schutzmaßnahmen, um darauf aufbauend Schwachstellen zu beseitigen. Dazu gehört eine Versicherung für den Fall der Fälle.

Voraussetzungen für den Abschluss einer Cyberversicherung

Die Mindestsicherheitsvorkehrungen, welche von den Versicherern verlangt werden, sind sowohl abhängig vom Umsatz des Unternehmens als auch der gewünschten Versicherungssumme. Bis zu einem Jahresumsatz von 10 Mio. EUR sind zumindest Antivirenprogramme mit aktuellen Virendatenbanken, regelmäßige Datensicherung auf Datenträgern oder separierten Systemen und Firewalls an allen Übergängen in das Internet für stationäre IT-Systeme zu gewährleisten. Im Einzelfall erfolgt die Abstimmung der Sicherheitsvorkehrungen zwischen den eigenen IT-Spezialisten und dem Versicherer.

Aktuell beträgt der Beitrag für ein Unternehmen mit einem Umsatz von 2,5 Mio. EUR und einer Absicherung gegen Eigenschäden, Betriebsunterbrechungen, Erpressung sowie einer Cyberhaftpflicht und einer vereinbarten Selbstbeteiligung von 500 EUR jährlich rund 1.000 EUR. Darüber hinaus fordern Versicherer weitere Sicherheitsstandards wie:

• Rasches Einspielen von Updates und Sicherheits-Patches. Betriebssysteme oder Programme fordern häufig dazu auf, ein Update einzuspielen.
• Sparsame Nutzung und Einrichtung von IT-Administratorenzugängen. Wer einen Computer einrichtet, sollte ein Administratorprofil mit gesondertem Kennwort anlegen und dieses Profil nur benutzen, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden.
• Einrichtung individueller Mitarbeiterzugänge. Jeder Mitarbeiter sollte ein eigenes Benutzerkonto mit eigenem Passwort besitzen. Darüber definieren Administratoren, welche Berechtigungen bestehen und welche nicht. Bei einem Angriff kann über einzelne Nutzer-Accounts besser nachvollzogen werden, wie der Eindringling in das Netzwerk gelangte.
• Erzwingen komplexer Passwörter. Mindeststandards sollten eine bestimmte Passwortlänge und die Verwendung eines Sonderzeichens und einer Zahl vorschreiben.
• Sicherung von Mobilgeräten. Nicht auszuschließen ist, dass ein Laptop im Zug vergessen oder das Smartphone aus der Tasche gestohlen wird. Wenn diese Geräte ungeschützt sind, können Diebe Passwörter oder sensible Firmendaten abfischen. Deshalb sollten mobile Datenträger vollverschlüsselt und mithilfe eines Passworts geschützt sein. Daten auf Laptops oder Handys sollten aus der Ferne gelöscht werden können.
• Verhinderung der Manipulation von Sicherungskopien. Die Datensicherung sollte physisch getrennt vom Server aufbewahrt werden.
• Von Zeit zu Zeit sollte geprüft werden, ob mithilfe der Sicherheitskopien die Daten tatsächlich wiederhergestellt werden können

Leistungen einer Cyberversicherung

Versichert sind Eigenschäden (insbesondere die Beschädigung, Zerstörung, Blockierung, Veränderung oder der Missbrauch der IT-Systeme, Programme oder elektronischen Daten infolge eines Hacker-Einbruchs) sowie Haftpflichtansprüche (Drittschäden), die aus dem Missbrauch der Daten entstehen, die im Betrieb gespeichert waren. Die Haftpflicht deckt u. a. Schäden für die Folgen aufgrund von Verstößen gegen die Cybersicherheit, den Datenschutz sowie gegen Datenvertraulichkeitserklärungen und Geheimhaltungspflichten.

Der Leistungsumfang einer „Cyber-Risk-Versicherung“ erstreckt sich primär auf Kosten, die aufgrund einer Attacke entstehen und auf Vermögensschäden, die durch das eigene Handeln/Verschulden Dritten zugefügt werden. Darunter können z.B. Kosten für IT-Forensik, Informationskosten, Kosten für Krisenmanagement und PR-Beratung, Kreditüberwachungsdienstleistungen, Betriebsunterbrechungsschäden, Rechtsberatung, Vertragsstrafen (PCI), Lösegeldzahlungen, Wiederherstellungskosten und Sicherheitsverbesserungen fallen.

Aufbau der Cyberversicherung

Versicherungskonzepte sind modular aufgebaut und auf die Anforderung des Versicherungsnehmers abgestimmt. Bei der folgenden Aufstellung werden durchschnittliche Kosten mittelständischer Chemiehändler aufgeführt:

Dateneigenschäden

Grundbaustein für die Datenforensik, Wiederherstellung und die weiteren Cyberschäden. Ein Mitarbeiter öffnet den Anhang einer E-Mail, welcher einen Verschlüsselungstrojaner beinhaltet. Die Daten auf den Systemen werden somit unlesbar gemacht. Die Kosten für die IT-Forensik sowie die Entfernung der Schadsoftware und Installation neuer Sicherheitssoftware betragen 25.000 EUR.

Betriebsunterbrechung

Greift bei Stillstand oder Ertrags­ausfall des Betriebs durch einen Hackerangriff. Das Unternehmen wird mit einer Denial-of-Service (DoS)-Attacke angegriffen. Die Plattform und damit verbundene Dienste sind zwei Tage für Geschäftspartner nicht erreichbar. Die Kosten für Anmietung zusätzlicher Serverkapazitäten sowie für die Betriebsunterbrechung und Wiederherstellung der ursprünglichen Homepage belaufen sich auf ca. 70.000 EUR.

Erpressung

Ein Zugriff auf den Computer ist unmöglich, weil Hacker diesen bis zur Zahlung einer Geldsumme gesperrt haben. Ein Hacker verschafft sich Zugriff auf die IT-Systeme und verschlüsselt wichtige Kundendaten. Später kommt eine E-Mail mit der Forderung, den Betrag in Höhe von 28.000 EUR in Form von Bitcoins zu zahlen. Beim Umgang mit den Erpressern unterstützt die Versicherung auch.

Vertrauensschaden

Wenn Mitarbeiter/Dritte z. B. Unterschlagung von Geld oder Erschleichung von Zahlungen im Betrieb durchführen. Ein Mitarbeiter hat Zugang zu Konten des Chemiehändlers. Dies nutzt er, um sich Beträge auf sein Privatkonto zu überweisen. Der über ein Jahr entstandene Schaden beträgt insgesamt 30.000 EUR.

Cyberhaftpflicht

Wenn z.B. versehentlich Viren an Kunden oder Dritte weitergegeben werden.
Ein Chemiehändler stellt seinen Kunden kostenlose Dienstleistungs-/Produktinformationen zum Download zur Verfügung. Eine Datei zum Download ist infiziert. Die IT-Systeme mehrerer Kunden werden infiziert. Der entstandene Gesamtschaden beläuft sich auf 28.000 EUR.

Cyberversicherungen sollten außerdem die folgenden Leistungen beinhalten:

• Soforthilfe durch eine 24-Stunden-Hotline ohne Anrechnung auf die Versicherungssumme und auf den Selbstbehalt
• Mitversicherung aller Unternehmensdaten, aller Arten von Cyber­angriffen (z.B. DoS, DDoS) und aller Arten von Cybereinbrüchen (z.B. Golden-Tickets, Zero-Day-Lücken)
• Vertragsstrafen bei Verletzung von Geheimhaltungspflichten und Datenvertraulichkeitserklärungen
• Mitversicherung aller Arten von Schadsoftware-Infektionen (Viren, Würmer, Trojaner), von Bedien­fehlern sowie von gezielten und ungezielten Angriffen
• Verstöße bei Marken- und Urheberrechten durch Werbung und Marketing
• Kosten für Sicherheitsanalyse und Sicherungsverbesserungen nach einem Schadenfall
• Absicherung aller IT-Systeme, Programme und Daten (auch auf mobilen Geräten)
• Straf- und Ordnungswidrigkeiten-Rechtsschutz bei Cyberverstößen
• Abwehrkosten in Bezug auf behördliche Verfahren
• Bei internationalen Aktivitäten: weltweiter Versicherungsschutz ohne Einschränkungen für die USA

Zusätzliche Leistungen

Gute Cyberversicherer bieten darüber hinaus weitere Leistungen, und viele Versicherer stellen kostenlose Trainings- und Präventionsmaßnahmen zu Daten- und Cybersicherheit zur Verfügung.

Autoren