Risiko Cyberangriff – das Schicksal in die eigene Hand nehmen

Von Gulnara Kalmbach und Imane El Karouia-Tizi

Beitrag als PDF (Download)

Cyberangriffe – ein nicht zu unterschätzendes Risiko
Die Geschäftsprozesse eines Unternehmens werden heute zunehmend digitalisiert. Die Mitarbeiter können von überall im Firmennetzwerk auf das Unternehmenswissen zugreifen. Diese Vernetzung stellt jedoch auch eine Zugriffserleichterung dar und bietet Hackern, die sich Zugriff auf die IT-Systeme der Unternehmen verschaffen können, die Möglichkeit, theoretisch jederzeit und von jedem Ort Schaden im Unternehmen anzurichten. Die Ausspähung oder der Diebstahl kundensensibler und unternehmensinterner Daten sowie deren missbräuchliche Verwendung oder gar die Außerbetriebsetzung der IT-Infrastruktur mittels Verschlüsselung bergen ein erhebliches Schadenspotential.
Der rasante Anstieg von Cyberkriminalität in den vergangenen Jahren macht deutlich, dass Unternehmen in der digitalen Welt einer wachsenden Gefahr ausgesetzt sind. Ein Blick auf die Zahlen verdeutlicht die Brisanz. Laut einer Studie zur Wirtschaftskriminalität von PwC aus dem

Jahr 2018 berichtet fast jedes zweite Unternehmen (46%) über mindestens einen Fall. Gegenüber einer vergleichbaren Befragung aus dem Jahr 2016 ist dies ein Anstieg von etwa 12 Prozentpunkten. Deutlich zugenommen haben vor allem Computerbetrug (21%), Computersabotage und Datenveränderung (13%) sowie das Ausspähen und Abfangen von Daten (14%). Prekär und reputationsschädigend wird die Lage insbesondere dann, wenn persönliche Daten von Verbrauchern betroffen sind:

  • Im Jahr 2013 wurde die US-Handelskette Target Opfer eines Hackerangriffs. Die Täter entwendeten 40 Millionen Kreditkartensätze von Kunden. Der US-Handelskette fiel der Angriff selbst nicht auf, erst als Zahlungsdienstleister aufgrund erhöhter verdächtiger Transaktionen sie darüber informierten.
  • Im Jahr 2015 fiel die Lufthansa Hackern zum Opfer. Die Täter hatten sich gezielt Zugang zu den Bonusmeilenkonten der Kunden verschafft und versucht, auf diesem Weg Prämien zu erwerben.
  • Dieses Jahr wurde auch die Hotelkette MGM-Resorts zur Zielscheibe von Hackern. Die Täter verschafften sich Zugriff auf Daten von 10,6 Millionen Hotelgästen – darunter Namen und Passnummern – und veröffentlichten diese im Internet.

Aber nicht nur Unternehmen, sondern auch die öffentliche Verwaltung und sogar Krankenhäuser wurden Opfer von Cyberattacken, in denen beispielsweise Server und Datenbanken verschlüsselt wurden und nicht mehr im Zugriff ihrer Betreiber waren. Die jüngsten Ereignisse in Frankfurt am Main zeigen, wie einfach es Hackern gelingen kann, illegal in die IT-Systeme einzudringen. Im Dezember 2019 wurde eine E-Mail mit der Schadsoftware „Emotet“ an einen Mitarbeiter des Bürgeramtes in Frankfurt am Main verschickt. In diesem Fall hatten die Sicherheitssysteme zwar Alarm geschlagen, dennoch waren die IT-Systeme vorübergehend nicht betriebsfähig. Dies führte zu erheblichen Einschränkungen, die Ämter blieben vorerst geschlossen, Mitarbeiter waren nicht erreichbar, und das Internetportal war offline.
Diese beispielhaften Cyberangriffe zeigen, dass die IT-Sicherheit eines Unternehmens und dessen Handlungsfähigkeit, auf mögliche Angriffe zu reagieren, kontinuierlich auf den Prüfstand gestellt werden müssen. Hierzu sollten Unternehmen ihre Risikolandschaft hinsichtlich der Cyberrisiken analysieren und geeignete präventive Maßnahmen ergreifen sowie Versicherungsschutz abschließen.

Präventive Maßnahmen gegen einen Cyberangriff sind unabdingbar
Um bei einem Cyberangriff unmittelbar handeln und den entstehenden Schaden begrenzen zu können, bedarf es präventiver und reaktiver Maßnahmen, die innerhalb eines Unternehmens etabliert sein müssen. Unternehmen sollten über einen im Vorfeld entwickelten umfassenden Reaktionsplan verfügen. Ein solcher Plan definiert alle nötigen Handlungsabläufe und legt die Verantwortlichkeiten zuständiger Personen fest.
Darüber hinaus müssen Mitarbeiter kontinuierlich sensibilisiert und entsprechend geschult werden, um das Risiko eines erfolgreichen Cyberangriffs einzudämmen. Die Risiken eines Cyberangriffs können durch eine umfassende IT-Sicherheitsstrategie minimiert werden, die kontinuierlich auf den neusten Stand gebracht wird. Unternehmen sollten sicherstellen, dass regelmäßige Back-ups ausgeführt werden, so dass ein erfolgreicher Cyberangriff nicht zu einem erheblichen oder gar vollständigen Datenverlust führt.
Um im Ernstfall die richtigen Handlungsmaßnahmen ergreifen zu können, sind zudem Übungen in Form eines simulierten Cyberangriffs von Vorteil. Inszenierte Vorfälle decken mögliche Reaktionsdefizite und Handlungslücken auf, die im Anschluss angegangen und geschlossen werden können.

Versicherungsschutz zur Schadenskompensation dringend zu empfehlen
Laut dem Bundeslagebild des Bundeskriminalamts aus dem Jahr 2018 bezifferten die betroffenen Unternehmen den verursachten Schaden aus einem Cyberangriff allein für den Bereich Computerbetrug auf 60,7 Millionen Euro. Nach Angaben des Versicherers HDI entstehen der deutschen Wirtschaft aus Cyberangriffen Einbußen von rund 50 Milliarden Euro im Jahr. Da der den Schaden verursachende Hacker in der Regel nur schwer oder nicht ausfindig gemacht und damit nicht zu einer Haftung herangezogen werden kann, bietet es sich an, eine sogenannte Cyberversicherung abzuschließen. Eine Cyberversicherung kann neben dem Ausgleich des finanziellen Schadens, der durch den Hackerangriff entstanden ist, auch bei der Wiederherstellung der IT-Infrastruktur unterstützen.

Welche Risiken sind versicherbar?
Die versicherbaren Schäden lassen sich in die Kategorien Eigenschaden, bestehend aus den Kosten für die Wiederherstellung des IT-Betriebs, Betriebsunterbrechungsschaden und gegebenenfalls Übernahme weiterer Kosten für Serviceleistungen sowie Drittschäden unterteilen:

  • Eigenschäden

– Wiederherstellungskosten: Wiederherstellen von Daten und Software sowie Entfernung von Schadsoftware.
– Betriebsunterbrechungsschaden: Erstattung des Unterbrechungsschadens sowie Schadensminderungskosten zur Begrenzung des Betriebsunterbrechungsschadens. Der Betriebsunterbrechungsschaden wird in einer Cyberversicherung üblicherweise durch eine sogenannte Tagespauschale abgedeckt, die für die Anzahl der Ausfalltage gezahlt wird. Die Tagespauschale wird aus dem tagesanteiligen Betriebsgewinn zuzüglich der tagesanteiligen Jahreskosten ermittelt.
– Mehrkosten: Überstunden und Wochenendarbeit der Mitarbeiter aufgrund einer Beeinträchtigung der Leistungserstellung.

  • Kosten für Serviceleistungen

– Krisenmanagement sowie Reputationsmaßnahmen: ­Hilfe eines Krisenkommunikationsberaters und PR-Maßnahmen sowie die Benachrichtigung von Betroffenen und Datenschutzbehörden.
– Forensik und Schadenfeststellungskosten: Ermittlung der Ursache und des Umfangs des Schadens, Beweissicherung sowie Dokumentation der Ermittlungsergebnisse.
– Schwachstellenanalyse: Systemverbesserungen zur Schließung der Sicherheitslücke.
– Rechtsschutz bei behördlichen Verfahren: Kosten der anwaltschaftlichen Vertretung.

  • Drittschäden

– Schadensersatzansprüche von Dritten: Kunden verlangen Schadensersatz wegen Verletzungen der Vertraulichkeit von Kundendaten.
– Ausbleibende Lieferung: Kunden können ihre Klienten nicht mit entsprechenden Produkten oder Dienstleistungen bedienen.
Neben der Schadensregulierung bieten Cyberversicherungen auch präventive Maßnahmen an, beispielsweise in Form von Onlineschulungen für Mitarbeiter oder in Form eines individuell gestalteten Reaktionsplans.

Welche Risiken sind nicht versicherbar?
Neben den versicherten Schäden können bei einem Cyber­angriff auch Risiken auftreten, die von der Cyberversicherung nicht abgedeckt werden. Hierzu zählen:

  • Kündigungen des Vertragsverhältnisses durch Bestandskunden als Folge des Cyberangriffs.
  • Potentielle Neukunden weichen auf andere Anbieter aus.
  • Aufwand für den Wiederaufbau eines neuen Kundenstamms.

Diese Risiken können somit erhebliche finanzielle Schäden nach sich ziehen. Letztlich entstehen diese Schäden durch die Beeinträchtigung der Reputation des Unternehmens. Reputationsschäden können jedoch über den Abschluss einer gesonderten Police oder in Form einer Zusatzdeckung ­(Cyberreputationsdeckung) adressiert werden.

Wie berechnen sich Deckungssumme und Versicherungsprämie?
Cyberversicherungen bieten insbesondere für kleine und mittlere Unternehmen Basisversicherungen mit vordefinierten Leistungen an, die durch optionale Deckungselemente erweitert werden können. Dabei wird eine Deckungssumme von beispielsweise 100.000 Euro als Mindestdeckung vorgegeben, die in definierten Stufen abhängig vom Versicherer etwa auf bis zu 1 Million Euro erhöht werden kann. Höhere Deckungssummen und abweichende Versicherungsleistungen bedürfen einer individuellen Abstimmung mit dem Versicherer und sind an den Bedürfnissen und dem Risikoprofil des Unternehmens auszurichten. Faktoren, die in die Vertragsgestaltung einfließen, sind beispielsweise die Qualität der IT-Sicherheit innerhalb des Unternehmens, die Geschäftsbranche oder die Unternehmensgröße.
Die an den Versicherer zu zahlende Versicherungsprämie hängt von verschiedenen Faktoren ab. Neben der Vertragslaufzeit und der Zahlungsweise sind dies vornehmlich Art und Umfang der Deckung (versicherte Leistungen und Versicherungssumme), der Jahresumsatz als Maßstab für die geschäftliche Aktivität des Unternehmens sowie der Selbstbehalt. Für eine Versicherungssumme zwischen 5 Millionen Euro und 100 Millionen Euro kann man je nach Ausprägung der übrigen Parameter mit einer fünf- bis siebenstelligen jährlichen Versicherungsprämie rechnen.
Die Versicherer erstellen für die Prämienanpassung im jährlichen Turnus einen Fragebogen, in dem die Unternehmen Umsatzänderungen erfassen müssen. Auf Verlangen des Versicherers ist ein Nachweis durch den Jahresabschluss und sonstige Belege zu erbringen.

Ausblick – ist die gesetzliche Pflichtversicherung für Cyberangriffe eine mögliche Lösung?
Cyberkriminalität stellt bereits jetzt eine große Bedrohung für die deutsche Wirtschaft dar, und die Anzahl der Cyberattacken wird mit steigendem Digitalisierungsgrad weiter zunehmen. Die Täter bzw. Auftraggeber ausfindig zu machen gestaltet sich oft schwierig, und selbst wenn diese ausfindig gemacht werden, kann man ihrer kaum habhaft werden.
Cyberattacken gerade im Zusammenhang mit vermuteter Wirtschaftsspionage zeigen, wie schwierig es ist, die Akteure hinter einem Cyberangriff zu identifizieren. Die erfolglose Spurensuche führt letztlich dazu, dass Ansprüche nicht realisiert werden können. Verantwortlich ist dabei unter anderem die Lokalität der Täter. Wirtschaftsspionage und Konkurrenz­ausspähung werden oft aus dem Ausland ­gesteuert. Im Hinblick auf die Realisierung von Ansprüchen sind das Fassen der Täter und deren Haftung für den angerichteten Schaden nahezu unmöglich.
Ein bedarfsgerechter Versicherungsschutz ist daher der einzig mögliche Ausweg für Unternehmen, finanzielle Schäden im Fall einer Cyberattacke zu kompensieren. Folgerichtig denkt die Bundesregierung über eine gesetzliche Pflichtversicherung gegen Cyberkriminalität nach.

gulnara.kalmbach@pwc.com

imane.el.karouia-tizi@pwc.com

Aktuelle Beiträge