Wie sich Mittelständler gegen Cyber-Angriffe absichern

Versicherung gegen Cyber-Risiken

Unternehmen aus dem Mittelstand sind oft nur mangelhaft gegen Cyber-Angriffe und Internetrisiken geschützt. Dabei gibt es Mittel und Wege, die aus Cyber-Angriffen resultierenden IT-Schäden besser abzusichern – etwa durch eine spezielle IT-Versicherung.

Ein funktionierendes IT-Schutzkonzept muss zweistufig angelegt sein: Vorsorge und Absicherung von Schäden.

Vodafone, Adobe, Sky: Drei internationale Firmen standen zuletzt wegen Datenverlust in den Schlagzeilen. Selbst dem Laien ist schnell klar: Zusätzlich zu den monetären Kosten ist auch der Ruf lädiert. Was jedoch bedeutet es für den deutschen Mittelstand, dass es nicht einmal die globalen Big Player verstehen, sich zu schützen? Gibt es Mittel gegen die Gefahr aus dem Netz?

Zunächst sollte unterschieden werden zwischen präventiven Maßnahmen, um einen Vorfall zu vermeiden, und solchen, die im Schadenfall greifen. Die Wahl geeigneter Vorsorgemaßnahmen hängt von individuellen Faktoren ab: etwa der Branche oder der Nutzung von Kreditkartendaten. Deshalb braucht es maßgeschneiderte Lösungen. Nehmen wir etwa Bezahlkartensysteme: Diese sind ein beliebtes Ziel von Angreifern, denn erbeutete Kreditkartendaten lassen sich relativ problemlos in bares Geld umwandeln. Dabei sind nicht alle Branchen von dieser Gefahr gleichermaßen betroffen. Das produzierende Gewerbe arbeitet vor allem auf Rechnung – dort fallen kaum Bezahlkartendaten an. Einzelhandel, Gastronomie, Hotellerie und Onlineshops hingegen sind attraktive Ziele.

Die Lehre, die Mittelständler aus der Häufung von Datenvorfällen bei Großunternehmen ziehen können: Ganz ausschließen lässt sich ein Schadenfall nie. Selbst durch ein engmaschiges IT-Sicherheitssystem können Angreifer eindringen, selbst vermeintlich sichere Systeme können durch technische Fehler lahmgelegt werden. Und die Schäden, die aus technischen Ausfällen oder kriminellen Angriffen resultieren, sind enorm. Man bedenke die Kosten, die einem Unternehmen allein durch die gesetzlichen Informationspflichten nach einem Cyberangriff entstehen. Bei zwei Millionen Kundendaten kostet bereits das Porto für die Benachrichtigung mehr als eine Million Euro. Ohne Versicherung steht somit ein kleines Unternehmen schnell vor dem Bankrott.

Versicherer haftet für Schäden

Ein funktionierendes Schutzkonzept muss deshalb zweistufig angelegt sein: Vorsorge und Absicherung von Schäden. Letzteres bietet der Spezialversicherer Hiscox, der mit Cyber-Sicherheitsexperten zusammenarbeitet, um Know-how zu bündeln. Jeder Versicherte erhält auf Wunsch Unterstützung bei der Prüfung des eigenen IT-Systems. Sollte sich dann ein Schadenfall ereignen, sichert der Versicherer alle bezifferbaren Schäden ab – vom direkten Vermögensschaden (Eigenschäden wie Umsatzverlust – Drittschäden wie Schadenersatz von Daten-/Kreditkarteninhabern) bis hin zu den Kosten für PR-Maßnahmen –, um den Ruf wiederherzustellen.

Das mag nur ein schwacher Trost sein, denn ein Schadenfall verursacht trotz Versicherung enormen Aufwand. Doch was wäre die Alternative? Auf das Internet verzichten? Deswegen ist kein Unternehmen vor Cyberrisiken gefeit. Zwar unterscheiden sich der Gefährdungsgrad und die potentielle Schadensumme, doch kommt niemand umhin, sich mit dem Problem zu befassen. Viele kleine und mittlere Unternehmen, so scheint es, handeln nach dem Sankt-Florians-Prinzip: Mag es jemand anders treffen, nur hoffentlich nicht uns.



Beispielrechnung eines typischen Cyberschadenfalles
Ein Unternehmen mittlerer Größe aus dem Bereich Onlinevertrieb wurde Opfer eines Datendiebstahls durch Hacker. Über mehrere Monate konnten sich Eindringlinge rechtswidrigen Zugang zu dem eigentlich streng gesicherten onlinebasierten Abrechnungssystem für Bezahlkarten verschaffen, dem Payment Processing Tool. Während dieser Zeit konnten die Hacker rund zwei Millionen Kundendaten kopieren und unrechtmäßig nutzen. Das Schadenausmaß ist sowohl finanziell als auch für die Reputation immens.

Der Spezialversicherer Hiscox deckte die bislang entstandenen Kosten wie folgt:

  • Diverse forensische Arbeiten: 150.000 Euro
  • Rechtsberatung und Rechtsbeistand: 525.000 Euro
  • Gesetzliche Informationspflichten: 2.170.000 Euro
  • Media- und PR-Arbeiten: 253.000 Euro
  • Geltend gemachter Vermögens-
  • schaden der Payment Card Industry: 2.000.000 Euro
  • Gesamtkosten: 5.098.000 Euro

Quelle: Hiscox

Bildquelle: © iStockphoto/yogysic

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok