Unterschätzen mittelständische Unternehmen die Gefahr durch Cyberkriminalität? Das legt eine Studie der Beratungsgesellschaft PwC nahe, von der heute die Deutsche Presse-Agentur berichtet. Laut der Untersuchung wurde jedes zehnte mittelständische Unternehmen 2014 mindestens einmal Opfer einer Attacke aus dem Internet. Im Schnitt entstand ein Schaden von 80.000 Euro.

Anzeige

Nur jedes fünfte Unternehmen gegen Cyber-Risiken abgesichert

„Viele Mittelständler haben den Ernst der Lage noch nicht erkannt und verfügen weder über ausreichende technische Sicherheitsmaßnahmen, noch einen angemessenen Versicherungsschutz“, sagte Peter Bartels, Vorstandsmitglied und Leiter des Bereichs Familienunternehmen und Mittelstand von PwC, der Deutschen Presse-Agentur. Denn bisher sei nur jedes fünfte Unternehmen gegen Cyber-Risiken abgesichert. Das Bewusstsein für die Gefahren müsse sich noch deutlich steigern, zumal auch die regulatorischen Vorschriften sich verschärfen würden.

Als Beispiel nannte Bartels das IT-Sicherheitsgesetz, welches zum 25.07.2015 in Kraft getreten ist und den Unternehmen vorschreibt, sich besser gegen Hackerangriffe zu schützen. Das Gesetz zielt vor allem auf solche Branchen, bei denen ein Angriff auf die Infrastruktur schwere Folgen haben kann. Das sind Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Zwar sind die Bestimmungen aktuell noch sehr abstrakt formuliert, aber bis zum Juni 2017 sollen die Branchen eigene Rechtsverordnungen erhalten. Auch Mindeststandards für die IT-Sicherheit sollen umgesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist für die Absegnung der einzelnen Standards verantwortlich, auch das BKA soll erweiterte Kompetenzen erhalten.

Unternehmen nicht ausreichend vorbereitet

Bisher verfüge nur ein relativ kleiner Teil der mittelständischen Unternehmen über gute Standards zur Informationssicherheit, heißt es in der Studie. Bedenklich ist dies auch deshalb, weil ein Cyber-Delikt das Image einer Firma stark beschädigen kann, etwa wenn sensible Nutzerdaten geklaut werden. Im Zweifel steht sogar die Existenz des Unternehmens auf dem Spiel.

Dass von den Gefahren nicht nur große Firmen betroffen sind, hatte Dr. Jan Schlüter, Leiter Finanzchef PRO bei der Finanzchef24 GmbH, in einem Gastbeitrag für Versicherungsbote deutlich gemacht. „Schon ein einziger digitaler Arbeitsprozess wie ein Online-Bezahlsystem bietet eine Angriffsfläche für Cyberkriminelle“, so Schlüter. „So kann für einen Gastronomen durch den Diebstahl von Kreditkartendaten seiner Kunden ein immenser finanzieller Schaden entstehen“.

Hacker-Attacken erfordern komplexe Lösungen

Beim Diebstahl wichtiger Kundeninformationen muss eine ganze Kette an Maßnahmen in Gang gebracht werden. Das Unternehmen ist laut Paragraph 42a des Bundesdatenschutzgesetz (BDSG) verpflichtet, sämtliche von dem Verlust der personenbezogenen Daten Betroffenen darüber zu informieren. Außerdem muss die Firma Passwörter oder Benutzerkonten sperren und weitere notwendige Sofortmaßnahmen ergreifen – etwa IT-Forensiker engagieren, die soweit möglich, Daten wiederherstellen. Um das Vertrauen der Kunden zurückzugewinnen, kann sogar die Einstellung eines Krisenmanagers erforderlich werden.

Anzeige

Cyber-Versicherungen sind auf dem deutschen Markt noch nicht lange etabliert und der Deckungsumfang kann von Anbieter zu Anbieter stark variieren. Vereinzelt sind die Policen auch unter anderem Namen geläufig, etwa Hacker-Versicherung. In der Regel enthalten sie einen Haftpflicht-Baustein, so dass sie einspringen, wenn Dritten durch das eigene Computernetzwerk Schaden entstehen, etwa wenn Waren aufgrund von IT-Ausfällen nicht rechtzeitig geliefert werden. Für Vermittler bedeutet diese Sparte eine ganz neue Herausforderung: Einerseits bietet sie enorme Marktchancen. Andererseits brauchen auch die Versicherungsfachleute Know-how, welche Prozesse bei Hacker-Angriffen geschädigt werden und welche Kosten hierbei entstehen können.

Anzeige