17.11.2017 Vorbereitet für den Ernstfall

Mit Krisenplan und Abwehrstrategie gegen Cyber-Angriffe

Von: Guido Piech

Attacken auf IT-Infrastrukturen nehmen in allen Bereichen zu. Von Ole Sieverding, Experte beim IT-Versicherer Hiscox Deutschland, wollten wir wissen, wie man sich gegen Cyber-Angriffe am besten zur Wehr setzt.

Ole Sieverding, Experte beim IT-Versicherer Hiscox Deutschland

Ole Sieverding, Experte beim IT-Versicherer Hiscox Deutschland: „Neben dem Ausgleich der finanziellen Schäden zählen die Assistance-Leistungen zu den wichtigsten Bausteinen einer Cyber-Police.“

ITM: Herr Sieverding, was macht Mittelständler zu begehrten Zielen von Hackern?
Ole Sieverding: Für Cyber-Kriminelle ist zunächst jedes Unternehmen interessant, das digital arbeitet und somit potentiell „erreichbar” ist. Es gibt Hacker, die sich auf Großkonzerne spezialisiert haben und die einen großen Fang machen wollen, aber genauso Kriminelle, die mit einem großen Netz viele kleine Fische angeln. Auch Mittelständler haben lukrative Kundendaten oder Betriebsgeheimnisse und geben in der Regel ein leichteres Ziel ab.

ITM: Wie lässt sich bestmöglich vorbeugen?
Sieverding: Unternehmer müssen einschätzen, in welchem Maße ihre Betrieb digitalisiert sind, und müssen sich ihrer individuellen Risikosituation bewusst werden. Das tun sie, indem sie ihre „Kronjuwelen“ definieren. Sie müssen bewerten, was passiert, wenn diese Daten oder Prozesse nicht mehr verfügbar sind oder öffentlich werden. Davon leitet sich meist der größtmögliche Schaden ab. Das kann bei einem Hersteller der Stillstand der Produktionsstraße sein, bei einem Onlineshop der Verlust oder die Nichterreichbarkeit der Website oder bei einem Callcenter oder einer Rechtsanwaltskanzlei die Veröffentlichung der Kundendatenbank.

Technische Sicherheitsvorkehrungen wie Firewalls und automatische Backups für die Daten sind unerlässlich, zudem muss das System regelmäßig gewartet werden. Genauso wichtig ist es aber auch, die Mitarbeiter zu schulen, denn sie sind auch nach unserer Erfahrung das größte Einfallstor für Cyber-Kriminelle.

ITM: Was sollte man als Erstes tun, wenn man merkt, dass das eigene Unternehmen gehackt wurde?
Sieverding: Dann hat man als Unternehmer hoffentlich seinen Krisenplan parat und eine klare Strategie vor Augen. Ansonsten ist es schon zu spät, um erst noch Prozesse festzulegen. Generell ist es wichtig, Ruhe zu bewahren und einen Experten einzuschalten. Im Fall einer Cyber-Krise sollte sich das Unternehmen sofort an einen Krisendienstleister wenden. Wenn der Betrieb eine gute Cyber-Versicherung abgeschlossen hat, ist ein mit der Versicherung kooperierender IT-Krisendienstleister die erste Anlaufstelle. Diese Experten kümmern sich direkt und schnell um die Aufklärung, Begrenzung und Behebung des Schadens.

ITM: Was leistet eine Cyber-Versicherung im Schadensfall?
Sieverding:
Eine Cyber-Police setzt sich aus einer Cyber-Eigenschadenversicherung und einer Cyber-Haftpflichtversicherung zusammen. Sie deckt also die Kosten, die einem versicherten Unternehmen selbst durch einen Cyber-Schaden entstehen. Das sind z.B. Kosten zur Identifikation und Beweissicherung des Vorfalls im Rahmen der IT-Forensik, zur Information der jeweiligen Dateninhaber oder für die Wiederherstellung der Daten. Sofern vereinbart, werden auch Kosten einer Betriebsunterbrechung erstattet, die durch einen Hacker-Angriff oder eine Denial-of-Service-Attacke verursacht wurden.

Der Haftpflichtschutz umfasst Schadenersatzansprüche von Dritten, die aus einem Hacker-Angriff, Datenverlust oder einer Datenrechtsverletzung resultieren können, wenn z.B. also sensible Kundendaten gestohlen und somit Persönlichkeitsrechte verletzt werden. Oder wenn versehentlich ein Computer-Virus an einen Kunden verbreitet wird.

Auch wehrt die Cyber-Haftpflichtversicherung unberechtigte Ansprüche ab und bietet damit einen passiven Rechtsschutz. Neben dem Ausgleich der finanziellen Schäden zählen aber die Assistance-Leistungen zu den wichtigsten Bausteinen einer Cyber-Police. So sollte der Versicherungsnehmer zunächst mit einer durchgängig geschalteten Krisen-Hotline zu IT-Experten, die sich um den unmittelbaren Schaden kümmern, unterstützt werden. Solche Spezialisten können im Fall der Fälle viel besser die IT-Forensik übernehmen und klären, was genau passiert ist und wo die Sicherheitslücke war.

Außerdem sollten die Assistance-Leistungen die Unterstützung durch PR-Krisenberater und Rechtsberatung für den Fall beinhalten, dass der Ruf des betroffenen Unternehmens durch die Cyber-Attacke in Gefahr ist. Auch kostenfreie Cyber-Trainings und ein Krisenplan, der in Zusammenarbeit mit dem Versicherungsnehmer für den Ernstfall erstellt wird, sind wichtige Services, die dazu beitragen, das Cyber-Risiko präventiv zu reduzieren.

„Unternehmen müssen sich selbst intensiver mit dem Datenschutz auseinandersetzen, Sicherheitsmaßnahmen ergreifen und vorab Prozesse definieren, sonst drohen im Ernstfall hohe Strafen und Bußgeldforderungen.“
Ole Sieverding, Hiscox Deutschland

ITM: Welche Schadensszenarien sind durch Cyber-Policen abgedeckt?
Sieverding:
Einerseits sind klassische Hacker-Angriffe durch Schadprogramme wie Viren gedeckt, die das Unternehmensnetzwerk lahmlegen können. Andererseits gibt es aber auch Datenmissbrauchsfälle und damit verbundene Benachrichtigungspflichten, die mit der neuen EU-Datenschutzgrundverordnung verschärft werden. Auch diese Fälle sind durch eine Cyber-Police gedeckt.

ITM: Wie wird der Schaden im Fall einer Cyber-Attacke abgewickelt?
Sieverding:
Ab dem Zeitpunkt der Schadenmeldung beim Cyber-Krisendienstleister stehen wir in engem Austausch mit dem Versicherungsnehmer. Persönlicher Kontakt und echte Krisenexpertise gehen dann Hand in Hand. Wir arbeiten gemeinsam daran, den Schaden durch kurze Reaktionszeiten und klare Prozesse so klein wie möglich zu halten – im Sinne des Versicherungsnehmers genauso wie auch in unserem.

ITM: Welche nachweislichen Pflichten hat der Versicherungsnehmer, damit er im Fall einer Cyber-Attacke den Schaden vom Versicherer ausbezahlt bekommt?
Sieverding:
Wir prüfen den Versicherungsnehmer und seine IT-Sicherheit im Vorfeld. So muss ein Unternehmen beispielsweise mindestens einen aktuellen Virenschutz, Firewalls, ein Rechtekonzept und eine Datensicherung implementiert haben, um eine Versicherung bei uns erwerben zu können. Eine ordentliche IT-Sicherheit und gewisse Mindeststandards sind also die Grundvoraussetzung für den Abschluss einer Cyber-Versicherung.

Wir wissen, dass Schadenfälle eigentlich immer durch eine Aneinanderreihung von unglücklichen Zufällen entstehen. Deshalb verzichten wir bei unserer Cyber-Versicherung auf technische Obliegenheiten. Dazu zählen beispielsweise eine Stand-der-Technik-Klausel oder die Pflicht zur täglichen Datensicherung und zum unmittelbaren Einspielen von Sicherheits-Updates. Wir wollen uns im Fall der Fälle nicht mit nicht eingehaltenen oder nicht umgesetzen Obliegenheiten herausreden, sondern stehen für den Schaden ein.

ITM: Worauf sollte ein Kunde beim Abschluss einer Cyber-Versicherung achten?
Sieverding:
Drei Punkte sollten Versicherungsnehmer immer genau prüfen: Erfahrung, Zusatzleistungen und klare Bedingungen. Die Erfahrung ist in dieser jungen Sparte so wichtig, weil die Bedrohungslage extrem dynamisch ist und der Versicherer seine Services und Leistungen daher stetig daran weiterentwickeln sollte. Gleiches gilt für das Handling im Schadenfall.

Daneben sind die Zusatzleistungen essentiell. Was bietet das Produkt über die klassische Versicherungsleistung hinaus? Besonders hervorzuheben sind hier der direkte Zugang zu kompetenten IT-Krisenexperten in der Cyber-Krise sowie präventive Maßnahmen, wie die Erstellung eines Cyber-Krisenplans oder die Sensiblisierung der Mitarbeiter durch Online-Schulungen.

Wie bei allen Verträgen ist zu guter Letzt aber auch das Kleingedruckte Pflichtlektüre. Welche Leistungen, aber auch welche Ausschlüsse und vor allem Obliegenheiten sind in dem Vertragswerk vereinbart?

ITM: Was ändert sich für Unternehmen, wenn die EU-Datenschutz-Grundverordnung im Mai 2018 endgültig in Kraft tritt?
Sieverding:
Die Verordnung zeigt, dass sich Gesetzgeber und Behörden dem Thema Datenschutz angenommen haben und ihren Fokus darauf verstärken. Der europaweite Standard für die Informationspflichten von Unternehmen bei Datenrechtsverletzungen schafft transparente Regelungen. Unternehmen müssen sich selbst intensiver mit dem Datenschutz auseinandersetzen, Sicherheitsmaßnahmen ergreifen und vorab Prozesse definieren, sonst drohen im Ernstfall hohe Strafen und Bußgeldforderungen.

Bildquelle: Hiscox

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH