Datenschutz-Grundverordnung

Höhere Schäden durch Cyberangriffe

Deshalb zieht das Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) höhere Schäden bei Cyberangriffen nach sich.

Rücken eines Hackers vor diversen PCs

Studien verzeichnen eine Zunahme von Cyberangriffen.

Die Datenschutz-Grundverordnung war in den letzten Monaten das bestimmende Thema, wenn es um die Verarbeitung von Kundendaten ging. Dabei standen regelmäßig die fehlende Einwilligung von Kunden beim Newsletter-Versand, unvollständige Datenschutzerklärungen und die schwindelerregende Höhe der möglichen Geldbußen im Vordergrund. Dies macht jedoch nur einen kleinen Teil der Risiken aus, mit denen Unternehmen sich jetzt auseinandersetzen müssen.

So hat unlängst die AIG, ein Versicherer im Cyberbereich, ihren Hintergrundbericht zu Schäden durch Cyberangriffe veröffentlicht, der ein düsteres Bild zeichnet. Besonders durch die DSGVO, die am 25. Mai dieses Jahres endgültig in Kraft getreten ist, hat sich das Ausmaß der Schäden drastisch verändert. Bei genauerer Betrachtung der Studie wird deutlich, dass besonders die neuen Formen der Cyberattacken zusammen mit den Regelungen der DSGVO zu einem massiven Anstieg von Versicherungsfällen im Bereich der Cyberversicherung führen werden.

Die Zunahme von Angriffen durch sogenannte Ransomware, die auf Erpressung durch die Blockierung von Nutzerdaten basiert, sind eine Bedrohung von zweierlei Ausmaß. Zunächst entsteht ein nicht unbeträchtlicher Schaden durch die Zwangsverschlüsselung von Daten oder durch das Lahmlegen der IT im Falle einer Blockierung des Netzwerks – im schlimmsten Fall steht die Existenz des Unternehmens auf dem Spiel.

Weiter kommt hinzu, dass im Zuge der DSGVO auch noch neue Meldepflichten (innerhalb von 72 Stunden), eine ausführliche Protokollierung des Angriffs und der betroffenen personenbezogenen Daten sowie ein drohender Schaden durch hohe Bußgelder beachtet werden müssen. Kommt es hier zu Versäumnissen kann das nicht nur die Reputation gefährden, sondern auch den Boden für Schadensersatzklagen mit ungewissem Ausgang bereiten. Dass diese Erwartungen keineswegs als Schreckensszenarien abgetan werden sollten, zeigen die Entwicklungen, wie man sie nach der Einführung einer Meldepflicht bei Sicherheitsverletzungen in vielen Staaten der USA 2002 beobachten konnte: Dort ging fast jeder öffentlich gewordene Cyberangriff mit Sammelklagen einher. Zwar sind wir in Deutschland in der Rechtsprechung weit von den amerikanischen Verhältnissen entfernt, jedoch bergen für mittelständische Unternehmen meist auch schon einzelne Klagen ein enormes finanzielles Risiko.

Mittelständler müssen vorsorgen

Klar ist: Jedes Unternehmen, dass sich in der digitalisierten Welt bewegt steht dem stetig steigendem Risiko gegenüber, Opfer einer Cyberattacke zu werden. Die Investition in umfassende IT-Sicherheitsmaßnahmen ist daher elementar, auch wenn es nie 100 prozentige Sicherheit geben kann. Fatal: Selbst ungezielte Attacken aus dem Netz führen im Extremfall zum Ausfall der gesamten IT-Infrastruktur mit katastrophalen finanziellen Folgen für die Unternehmen.

Um dieses Risiko einzudämmen, kann der Abschluss einer Versicherung gegen Cyberattacken sinnvoll sein. Kommt es zu einem Angriff und einer einhergehenden Unterbrechung des Geschäftsbetriebs, zahlt die Versicherung nicht nur eine vereinbarte Entschädigung für den Umsatzausfall, sondern bietet auch Notfall-Serviceleistungen an. So können die Auswirkungen von Datenschutzverletzungen und der durch die neue DSGVO verschärfte Haftungssituation begrenzt werden.

Aktuell bieten auf dem deutschen Markt etwa 20 Versicherer Cyberversicherungen an. Der Vergleich der verschiedenen Versicherungen ist dabei nicht immer einfach, denn diese variieren mitunter stark. Zudem sind die Policen häufig in Modulen aufgebaut sind, sodass es umso wichtiger ist, die Angebote der Versicherer auf die individuelle Unternehmensstruktur hin zu prüfen, z.B. bei Cyberdirekt, um so das optimale Angebot zu ermitteln. Folgende Bausteine können Unternehmen über eine Cyberversicherung abdecken lassen:

  • Service-Leistungen im Cybernotfall: Kommt es zu einer Cyberattacke sollten betroffene Unternehmen keine Zeit verlieren. Viele Cyberversicherer verfügen hierfür über eine Hotline die 365 Tage im Jahr rund um die Uhr für 24 Stunden erreichbar ist und so im Notfall sofort Hilfe bieten kann.
  • Krisenkommunikation: Die Gefahr von Reputationsschäden ist im Falle eines Datenverlustes immens. Das Problem: Durch die verschärfte Meldepflicht, steigt die Gefahr, dass der Vorfall und der Verlust von sensiblen Daten an die Öffentlichkeit gelangen kann. Hier können von der Versicherung bereitgestellte Kommunikationsexperten beraten und mit professionellen Stellungnahmen Imageschäden abwenden. Zudem kann der Einsatz eines Callcenters sinnvoll werden, um Kunden nach einem bekannt gewordenen Cyberangriff zu informieren sowie besorgte Nachfragen von eben jenen entgegenzunehmen und aufzufangen, da viele Mittelständler typischerweise die Last der plötzlichen Anfragen nur schwer abfedern können.
  • Rechtsberatung durch IT- und Datenschutzexperten: Nach Inkrafttreten der DSGVO sind Unternehmen nun verpflichtet Datenschutzbehörden und Betroffene zu informieren, wenn es zu einer Datenschutzverletzung kommt. Kommen sie dieser Pflicht nicht nach, drohen empfindliche Bußgelder (vier Prozent des Jahresumsatzes bzw. 20 Mio. Euro). Damit Unternehmen hier rechtlich abgesichert sind, können Cyberversicherung Anwälte stellen, die im IT- und Datenschutzrecht spezialisiert sind.
  • Absicherung von verschärften Haftungsrisiken: Kommt es zu einem Verlust oder Diebstahl von Daten Dritter, können Unternehmen seit der DSGVO deutlich schneller haftbar gemacht werden als bisher. Denn Kunden können bei einem Missbrauch auf Grund der Verletzung von Persönlichkeitsrechten Schadenersatz einfordern. Eine Cyberversicherung kann hier in zweifacher Hinsicht helfen: Zum einen entschädigt sie die betroffenen Kunden und übernimmt zum anderen die Kosten zur Abwehr unberechtigter Forderungen an das Unternehmen.
  • Wiederherstellung von IT-Systemen: Eine Versicherung kann betroffene Unternehmen speziell geschulte Experten besonders schnell zur Seite stellen, die das Ausmaß einer Cyberattacke umgehend analysieren. Denn nur bei einer genauen Ursachenforschung und schnellem handeln kann das wirkliche Ausmaß des Schadens abgeschätzt und mögliche Folgeschäden verhindert werden. Die IT-Experten leiten dann umgehend alle notwendigen Maßnahmen zur Schadensbegrenzung ein.
  • IT-Forensik: Der Einsatz von IT-Forensikern ist oft kostenintensiv und viele Unternehmen schrecken davor zurück. Doch der Einsatz lohnt sich, da diese oftmals verloren geglaubte Daten zurückgewinnen und wiederherstellen können. In vielen Versicherungen ist diese Leistung ebenfalls abgedeckt. Darüber hinaus können IT-Forensiker Beweise sichern, die im Falle einer Anklage auch vor Gericht bestand haben, was seit der Beweislastumkehr der DSGVO ein nicht unwesentlicher Aspekt ist.
  • Betriebsunterbrechung: Nach einem Cyberangriff helfen die gestellten IT-Experten nicht nur Systeme und Netzwerke schnellstmöglich wieder nutzbar machen zu machen, sondern im Falle eines Betriebsausfalls springt ebenfalls die Versicherung ein und zahlt einen individuell vereinbarten Tagessatz, um diese kritische Phase zu überbrücken. Damit werden die Opfer für den entgangenen betrieblichen Gewinn entschädigt und können zudem den Geschäftsbetrieb aufrechterhalten.

* Der Autor Hanno Pingsmann ist Geschäftsführer und Gründer von Cyberdirekt.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok