Das Cyberrisiko Ransomware zählt zu den gefährlichsten Bedrohungen für Unternehmen. Im jährlich erscheinenden Allianz Risk Barometer belegt das Risiko „Cyber Incidents“ bereits im vierten Jahr in Folge den ersten Platz – in diesem Jahr mit 38% (2024: 36%). Ransomware ist als einer der bedeutendsten Treiber des Risikos „Cyber Incidents“ im Risk Barometer explizit genannt. Bedenkt man zusätzlich, dass auf Platz 2 das Risiko „Betriebsunterbrechung“ rangiert und die gefährlichste Folge einer Ransomwareattacke der Betriebsstillstand ist, wird das Ausmaß dieses Risikos noch deutlicher.
Worum geht es beim Risiko Ransomware? Ransomware ist eine besondere Form einer Schadsoftware. Der englische Begriff Ransom bedeutet Lösegeld. Mit einer Ransomware ist es also möglich, betroffene Unternehmen zu erpressen und Lösegeld zu verlangen. Dazu wird mit der Schadsoftware, die über eine technische Schwachstelle (zum Beispiel veraltete Software) oder durch eine Täuschung von Mitarbeitern (zum Beispiel Phishing oder Social Engineering) ins IT-System des Opfers eingeschmuggelt wurde, der Datenbestand des angegriffenen Unternehmens verschlüsselt. Ohne einen Schlüssel zum Entschlüsseln der Daten ist ein Zugriff auf die Daten nicht mehr möglich. Vorher ziehen die Hacker als Faustpfand in der Regel noch eine Kopie aller Daten. Das Netzwerk des Opfers ist damit vollständig blockiert. Der Hacker hinterlässt eine Ransom-Note, in der ein Link zum Darknet hinterlegt ist, um vom Hacker die Zahlungsdetails für eine Zahlung in einer Kryptowährung zu erhalten. Nach erfolgter Zahlung wird der Schlüssel bereitgestellt und „versprochen“, die gestohlenen Daten nicht zu veröffentlichen.
Aufgrund der Digitalisierung und Globalisierung ist jedes Unternehmen auf seine IT angewiesen. Funktioniert diese nicht mehr, stellt das von einer Sekunde auf die andere den schwersten und unmittelbarsten Eingriff in den Geschäftsbetrieb dar, den man sich vorstellen kann. Die Hacker sind meistens Ransomware-Gangs, die professionell organisiert im Ausland sitzen und dort nicht zu belangen sind. Das Internet und die globale Onlinevernetzung machen es möglich.
Risikomanagement und Risikosteuerung
Nun ist das Risikomanagement des Unternehmens gefragt. Wie geht man mit dem Risiko Ransomware um? Grundsätzlich gibt es in einem Risikomanagementsystem verschiedene Elemente. Zur Steuerung eines Risikos gibt es grundsätzlich fünf Maßnahmen: Akzeptanz, Kompensation, Vermeidung, Verringerung und Abwälzung.
Risiko akzeptieren
Das Risiko Ransomware zu akzeptieren scheidet aus, da das Risiko einfach zu präsent und zu gefährlich ist. Abwarten, bis es passiert, wird mit hoher Wahrscheinlichkeit zu einer Beendigung des Betriebs und damit zu einer Betriebsaufgabe führen, sollte sich das Risiko verwirklichen. Ein aktuelles Beispiel ist die durch einen Hackerangriff verursachte Insolvenz des deutschen Traditionsbetriebs Fasana. Der Batterienhersteller Varta, dessen Produktion nach einer Cyberattacke wochenlang stillstand, konnte nur durch die Übernahme durch Porsche vor der Pleite gerettet werden.
Risiko kompensieren
Bei der Kompensation des Risikos muss das Unternehmen geeignete Ausgleichsmaßnahmen treffen. Das betrifft im Regelfall finanzielle Maßnahmen. Konkret würde das bedeuten, das Geld für den potentiellen Betriebsausfall und die Kosten der Unternehmensrettung (Krisenmanagement, IT-Forensik, IT-Wiederherstellung, Rechtsberatung, Krisenkommunikation) in voller Höhe beiseitezulegen. In Anbetracht einer oftmals siebenstelligen Schadenshöhe ist das für viele Unternehmen nicht möglich – und auch nicht das effizienteste Mittel.
Risiko vermeiden
Das Risiko Ransomware zu vermeiden würde bedeuten, sich diesem gar nicht erst auszusetzen. Möglich wäre dies allerdings nur, wenn der Betrieb vollständig offline, also ohne jegliche Verbindung zum Internet, laufen könnte. Das ist heutzutage für 99,9% der Unternehmen nicht möglich und damit ebenso keine geeignete Steuerungsmaßnahme.
Risiko verringern
Die Risikoverringerung soll die Wahrscheinlichkeit eines Risikoeintritts mindern bzw. das Ausmaß eines möglichen Schadens eindämmen. Für ein Risiko, das derzeit nicht abstellbar ist und mit der Nutzung des Internets unmittelbar für jeden vorhanden ist, ist dies ein sinnvoller Ansatz. Wenn das Risiko nicht vermeidbar ist, dann muss man so viel wie möglich dafür tun, es zu verringern. Die Stichworte sind hier IT-Sicherheit und Cyberresilienz. Die IT-Sicherheit muss so hoch sein, dass es jedem Hacker zumindest schwergemacht wird, ein Netzwerk zu erobern. Eine hundertprozentige Sicherheit wird es zwar nie geben. Aber man kann effektive Barrieren in einem Netzwerk errichten (Netzwerksegmentierung, Firewalls, Berechtigungskonzepte) und ein Netzwerk ganzheitlich überwachen (zum Beispiel mit „Managed-Detection-&-Response“-Tools), so dass ein Eindringling erstens nicht weit kommt und zweitens schnell wieder ausgesperrt bzw. isoliert werden kann. Dabei darf die Basishygiene nicht vergessen werden: Passwörter härten und regelmäßig rotieren (Passwortmanagement), Multi-Faktor-Authentifizierung, Back-up-Konzepte und Patchmanagement, dazu Mitarbeiter schulen und vorbereiten („Awareness-&-Phishing“-Training), all diese Vorkehrungen sind präventiv und bilden ein erstes Maßnahmenbündel, das sich dazu eignet, Cyberresilienz zu erzeugen.
Da es jedoch keine vollständige Sicherheit gibt, muss ein Unternehmen gleichermaßen reaktionsfähig sein – Stichwort Incident Response. Im Falle eines Angriffs müssen sofort im Vorfeld geplante und geübte Gegenmaßnahmen ergriffen werden – das Unternehmen muss in den Krisenmodus gehen. Es braucht interne oder externe Spezialisten aus dem Bereich Krisenmanagement (Krisenstabsleitung), IT-Security (IT-Forensik, IT-Wiederherstellung, IT-Überwachung), Krisenkommunikation und eine spezialisierte Rechtsberatung für die unterschiedlichen Themen Datenschutz, Strafrecht, Cybercompliance, Schutz von Geschäftsgeheimnissen, IT-Vertragsrecht, Haftung und Regress sowie Presserecht. Man sieht: Risikoverringerung ist auf vielen Ebenen wichtig – und möglich. Kann oder soll dieses umfassende Fachwissen im Unternehmen nicht vorgehalten werden, empfiehlt es sich dringend, die externen Experten in ruhigen Zeiten auszuwählen und ihren Einsatz für den Ernstfall zu üben.
Risiko abwälzen
Unter Abwälzung eines Risikos oder auch einem Risikotransfer ist die Übertragung des Risikos auf einen Dritten, meist ein Versicherungsunternehmen, zu verstehen. Die Cyberversicherung gibt es nun seit über zehn Jahren im deutschen Markt, und sie hat sich für den Schutz von Unternehmen etabliert.
Eine Cyberversicherung hat die Besonderheit, dass sie sowohl die eigenen Schäden („Betriebsunterbrechung“) als auch die Schäden bei Dritten abdeckt („Haftpflichtrisiko“). Dazu übernimmt die Cyberversicherung auch die Kosten der Rettung und Wiederherstellung sowie von Lösegeldzahlungen. Idealerweise verfügt der Versicherer über ein Netzwerk von Dienstleistern, die der Versicherungsnehmer auf Kosten seiner Versicherung in Anspruch nehmen kann („Assistance-Leistungen“). Dieses Element ist in seiner Bedeutung nicht zu unterschätzen: Denn oftmals kennen die betroffenen Unternehmen die notwendigen Spezialisten nicht. Und zudem müssen diese auch verfügbar sein. Beide Punkte werden durch eine Cyberversicherung abgedeckt.
Da ein Versicherer nicht jedes Risiko eines potentiellen Versicherungsnehmers akzeptieren will, sind die Anforderungen an die IT-Sicherheit für den Abschluss einer Cyberversicherung nicht zu unterschätzen. Die genannten Präventionsmaßnahmen sind daher nicht nur im eigenen Interesse erforderlich, sondern helfen auch dabei, einen Partner für die finanzielle Absicherung des verbleibenden Risikos zu finden.
Auch die Risikoabwälzung ist damit eine sinnvolle Steuerungsmaßnahme. Gerade im Zusammenspiel mit der Verringerung des Risikos ist es diese Kombination von Maßnahmen, die dem Risiko Ransomware effektiv begegnet.
Persönliche Haftung der Organe
Da eine Ransomwareattacke lebensbedrohend für jedes Unternehmen sein kann, zumindest aber die Auswirkungen lange spürbar sind, wird schnell nach Verantwortlichen gesucht – und damit stellt sich die Frage nach der Haftung der Unternehmensleitung. Der GmbH-Geschäftsführer hat in Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden, die Vorstände einer Aktiengesellschaft die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Dazu gehört es, Risiken zu erkennen und ihnen zu begegnen. Nehmen Unternehmensleitungen diese Pflicht nicht ernst genug, kann dies zu einer persönlichen Haftung führen. Dieses Risiko erhöht sich durch die NIS-2-Richtlinie (Network and Information Security Directive 2, EU 2022/2555) noch einmal deutlich. Ist ein Unternehmen von der Richtlinie betroffen, müssen Leitungsorgane zwingend Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen und überwachen. Dies gilt für alle Mitglieder des Leitungsorgans und unabhängig von ihrer Ausbildung – in die Pflicht genommen wird nicht nur der CIO. Hiervon kann auch die neue schwarz-rote Bundesregierung mit ihrem für den Herbst 2025 angekündigten NIS-2-Umsetzungsgesetz nicht abweichen, da es sich bei diesen Pflichten um einen europäischen Mindeststandard handelt.
Die finanziellen und rechtlichen Risiken für Unternehmen und Unternehmensführer haben sich zudem durch eine vielbeachtete Grundsatzentscheidung des Bundesgerichtshofs aus dem November 2024 (Az.: VI ZR 10/24) erhöht. In ihr wurden die Schadensersatzhürden für Kunden gesenkt, die nach einem Cyberangriff ihre vertraulichen Daten frei im Internet wiederfanden. Gerade für B2C-tätige Unternehmen können orchestrierte Massenschadensersatzklagen zu einem existentiellen Risiko werden. Um sich einer solchen Inanspruchnahme zu entziehen, müssen Unternehmen in Zukunft Nachweise dafür erbringen, dass sie ausreichende technische und organisatorische Maßnahmen getroffen haben, um personenbezogene Daten von Mitarbeitern und Kunden zu schützen.
Fazit
Es bedarf eines Risikomanagements und einer entsprechenden Risikosteuerung, um das Unternehmen sinnvoll zu schützen. Wie oben ausgeführt, ist gerade im Bereich der Prävention eine Menge zu tun, insbesondere, wenn das Thema IT-Sicherheit bisher nicht ganz oben auf der Agenda der Unternehmensleitung stand. Das Ganze gilt umso mehr, wenn gesetzliche Vorgaben gerade für besonders kritische Branchen (IT-)Compliancepflichten für die Unternehmensleitung begründen. Gesellschafter und Aktionäre – im schlimmsten Fall auch die Insolvenzverwalter – werden nach schweren Cyber Incidents genau hinsehen, warum es das Unternehmen gegebenenfalls in dieser Härte getroffen hat. Unternehmensleitungen haben es aber in der Hand, es nicht so weit kommen zu lassen.
