Hackerangriffe werden zum Versicherungsfall

Ein Bewerbungsschreiben, per E-Mail geschickt, im Anhang ein Lebenslauf. Rolf Drescher hieß der Absender, er bewarb sich um eine Stelle auf dem Forellenhof, einem kleinen Hotel im Rothaargebirge. Nichts Besonderes also und so klickte Hotelier Mirco Laaser arglos auf den Anhang, um mehr über den Bewerber zu erfahren. Es passierte ein Desaster. Mit einem Schlag waren alle Dateien auf Laasers Bürorechnern verschlüsselt und damit nicht mehr zu öffnen: Buchungen, Kassenbücher, alles. Das Unternehmen war lahmgelegt.

Der Familienbetrieb war einem Hackerangriff zum Opfer gefallen. Kein Einzelfall. Jedes zweite Unternehmen wurde 2016 Ziel eines digitalen Angriffs. Die Cyber-Gangster stehlen Betriebsgeheimnisse und sensible Kundendaten, legen digital vernetzte Anlagen und Maschinen und damit die Produktion lahm oder sie verlangen - wie im Fall des Forellenhofs - Lösegeld für zuvor gekaperte und gesperrte Datenspeicher. Laut einer Studie der Unternehmensberatung PwC liegt der wirtschaftliche Schaden im Durchschnitt bei 80.000 Euro, in manchen Fällen aber auch bei 500.000 Euro.

Jeder dritte Mittelständler wurde schon geschädigt

Waren es bis vor kurzem noch die großen Unternehmen, die ins Visier der Hacker gerieten, so geht es jetzt auch dem Mittelstand an den Kragen. Bereits gut jedes vierte Unternehmen in diesem Segment (28 Prozent) hat finanzielle oder materielle Schäden durch Cyber-Angriffe erlitten. Das geht aus einer repräsentativen Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hervor. Das liege auch am mangelnden Sicherheitsbewusstsein, kritisiert GDV-Präsident Alexander Erdland. Während große Unternehmen ihren Aufwand für die IT-Sicherheit enorm gesteigert hätten, würden sich viele kleine Unternehmen noch auf Virenscanner und die Firewall verlassen. "Einbrecher fühlen sich ja auch durch offene Fenster eingeladen", so Erdland.

Die Forsa-Umfrage kommt zu dem Ergebnis, dass Mittelständlern das Risiko eines Cyberangriffs zwar bewusst ist. Nur 36 Prozent der Befragten gehen aber davon aus, dass auch ihr eigenes Unternehmen gefährdet sein könnte. Linus Neumann, Hacker und Berater für IT-Sicherheit, kann darüber nur lachen. "Wir wissen gar nicht, wie angreifbar wir sind", warnt Neumann. Man könne nur versuchen, es den Angreifern möglichste schwer zu machen, so dass sich der Aufwand nicht mehr lohne. Das aber sei ein sich ständig wandelnder Prozess. "IT-Sicherheit ist kein Zustand, sondern Cybersecurity ist ein Wettlauf." 

Feuer-, Wasser- und Cyberschutz

Ein Wettlauf, den die Unternehmen allerdings nie werden gewinnen können. "Hundertprozentige Sicherheit lässt sich nicht erreichen", urteilt Neumann. Müssen die Unternehmen also mit einem sogenannten Restrisiko leben? Ja und nein. In jedem Fall werden sie einen Preis zahlen müssen. Und sei es für eine entsprechende Versicherung. In den USA sind Cyberpolicen bereits an der Tagesordnung. Die jährlichen Beitragseinnahmen in dieser Sparte liegen bei rund 2,8 Milliarden Dollar.

In Deutschland, Österreich und der Schweiz wurden im vergangenen Jahr rund 100.000 Euro Prämien für Cyberversicherungen gezahlt. Die Unternehmensberatung KPMG sieht voraus, dass sich diese Summe in den nächsten 20 Jahren auf knapp 20 Milliarden Euro steigern wird. Dreiviertel aller mittelständischen Betriebe würden dann eine Cyberversicherung abgeschlossen haben, 78 Prozent der Policen würden standardisiert sein.

Ein Glücksfall für die Branche

Die Versicherungswirtschaft entwickelt derzeit Musterverträge und Musterbedingungen, um ins Massengeschäft einsteigen zu können. Für kleine und mittlere Betriebe rechnet man mit Jahresprämien zwischen 500 und 800 Euro. Für die Branche sind die Hackerangriffe ein wirtschaftlicher Glücksfall. Wie aus dem Nichts hat sich ein neues Geschäftsfeld aufgetan. Die Cyberversicherung könnte so etwas wie die Feuerversicherung des 21. Jahrhunderts werden. Inklusive einer Haftpflichtkomponente.

Der Industrieversicherer HDI beispielsweise bietet mit "Cyber +" schon jetzt eine Police gegen Schäden an, die das Unternehmen selbst als Opfer von Computer-Kriminalität erleidet und gegen Schäden, für die es von Kunden oder Dritten haftbar gemacht wird. Gezahlt wird bei Betriebsunterbrechungen, außerdem werden die Kosten für die Wiederherstellung der Daten übernommen. Sogenannte IT-Forensiker, also speziell geschulte Experten, analysieren den Schaden vor Ort und sichern gerichtsfeste Beweise.

Rechnung getragen wird unter anderem auch den persönlichen Verantwortlichkeiten von Unternehmensleitern für IT-Sicherheit. Man habe einen sehr weitgehenden Straf-Rechtsschutz- und einen gesonderten Managerhaftpflicht-Baustein aufgenommen, heißt es von Seiten des HDI.

Risikofaktor Mensch

Selbstverständlich werden die Versicherungen Bedingungen stellen. Wer würde schon ein Unternehmen gegen Feuerschäden versichern, in dessen Werkshallen geraucht werden darf. Die Versicherer werden alle Risikofaktoren auf den Prüfstand stellen, von der Qualität der Firewall angefangen bis zum Risikoverhalten der Mitarbeiter. Dürfen sie private Geräte ins Firmennetz einbinden? Wie verhalten sie sich in den sozialen Medien? Welche digitalen Berechtigungen haben sie in ihren Firmen und wie viel Schaden könnten sie damit anrichten?

Jeder Mitarbeiter dürfe nur mit den notwendigsten digitalen Berechtigungen ausgestattet werden, fordert Robert Reinermann, Geschäftsführer der VdS Schadenverhütung GmbH. Für jede Stelle in einem Unternehmen müsse ein entsprechendes Profil erstellt und angewendet werden. Schulungen in IT-Sicherheit müssten so selbstverständlich werden, wie Schulungen im Brandschutz.

Fünf Millionen Euro nach London?

Viele Menschen bewegen sich nach wie vor zu sorglos in der digitalen Welt. Vorsicht und eine gehörige Portion Skepsis müssen selbstverständlich werden. Wie wichtig das ist, hat auch Verbands-Präsident Alexander Erdland erfahren dürfen, der bis 2016 Vorstandsvorsitzrender des Finanzdienstleisters Wüstenrot & Württembergische war. Sein Finanzvorstand habe einmal per E-Mail eine "vertrauensvoll gemachte Anweisung" erhalten, in der dieser aufgefordert wurde, "mal schnell fünf Millionen Euro auf ein Konto in London zu überweisen". In der Mail hieß es, der Vorstandsvorsitzende habe einen "Deal gemacht" und wenn das Geld nicht innerhalb von zehn Minuten überwiesen werde, sei "der Deal erledigt".

Pech für den Hacker, dass der Chef und sein Finanzvorstand beide in Stuttgart saßen. "Glücklicherweise lagen unsere Zimmer nebeneinander, da konnten wir den Wahrheitsgehalt der E-Mail schnell aufklären", berichtet Erdland. "Wer weiß, was in einem großen Konzern passiert wäre."