Absicherung gegen Cyber-Risiken wird für Mittelständler essenziell

Quelle: Hiscox

Angriffe aus dem Netz richten sich längst nicht mehr nur gegen internationale Großkonzerne, sondern treffen immer häufiger auch kleine und mittelständische Unternehmen. Um gegen Cyber-Attacken und ihre teils existenzbedrohenden Folgen gewappnet zu sein, kommt Cyber-Policen als zweite Linie der Verteidigung eine immer wichtigere Rolle zu. Ein Gastbeitrag von Ole Sieverding, Underwriting Manager Cyber bei Hiscox.

Im digitalen Zeitalter stehen Unternehmen nicht mehr nur den klassischen Gewerberisiken wie Personen- oder Sachschäden gegenüber. Durch die zunehmende Digitalisierung der Betriebsprozesse werden Unternehmen angreifbarer: Cyber-Kriminelle schicken Trojaner per Mail und blockieren auf diesem Wege den Zugang zu wichtigen Informationen oder bringen die vernetzte Produktionsanlage zum Erliegen. Neben Großkonzernen sind auch kleine und mittelständische Unternehmen interessante Ziele für Angreifer aus dem Netz. Zum einen verfügen auch sie oftmals über lukrative Daten oder Fachkenntnisse. Gleichzeitig sind sie oft nur unzureichend gegen Cyber-Gefahren geschützt und Kriminelle können mit sehr geringem Aufwand in das System eines Unternehmens eindringen. Laut Hiscox Cyber Readiness Report 2018 zählen 77 Prozent der deutschen Unternehmen zu den sogenannten Cyber-Anfängern, die nicht über die notwendige Strategie, Ressourcen, Technologien und Prozesse verfügen, um sich ausreichend zu schützen und bei einem Angriff adäquat zu reagieren. Ein Hacker-Angriff kann dann schnell aus dem Ruder laufen, wenn sensible Daten und existentielles Fachwissen des Unternehmens abgegriffen werden.

Cyber-Attacken können bis zum Systemausfall führen

Das Beispiel der fiktiven HAK Messtechnik AG zeigt, wie schnell eine Cyber-Attacke Ausmaße annehmen kann, die die hauseigene IT nicht mehr allein stemmen kann. Der weltweit führende Hersteller für optische Messtechnik erhält eine Warnung von seinem Internetprovider, dass verdächtige Verbindungen entdeckt wurden. Diese wurden Laptops der Geschäftsleitung, der Personal- sowie der Entwicklungsabteilung zugeordnet, weswegen die IT einen APT-Angriff (Advanced Persistent Threat) vermutet. APT sind zielgerichtete Cyber-Attacken, bei denen sich die Angreifer auf ein System dauerhaften Zugriff verschaffen und diesen ausbauen, um so viele Informationen wie möglich zu stehlen. Welche Daten bereits abgegriffen wurden, wie groß das Ausmaß des Schadens ist und ob auch Vertriebler und Zulieferer über das Firmennetz betroffen sind, kann die IT nicht bestimmen und auch bei der Datenrettung und Wiederherstellung der Systeme stößt sie an ihre Grenzen. Datenverlust oder der vollständige Ausfall der IT-Systeme stehen auf dem Spiel. Ein Einfallstor zu ermitteln, parallel den Zugriff der Kriminellen zu minimieren und die Daten unveränderbar zu sichern, ist eine komplexe und zeitintensive Aufgabe, die Profis übernehmen müssen.

Umfangreiche Präventions- und Assistance-Leistungen

Der Fall verdeutlicht, wie vielschichtig eine Cyber-Attacke ist und welche komplexen Entscheidungen getroffen werden müssen, um einen Eindringling ohne noch größeren Schaden wieder aus einem System zu bekommen. Selbst wenn ein Mittelständler über eine IT-Abteilung verfügt, ist diese in der Regel nicht auf solche Extremsituationen vorbereitet. Da technische Schutzmaßnahmen keine völlige Sicherheit bieten, holen sich immer mehr mittelständische Unternehmen Unterstützung in Form einer Cyber-Versicherung. Eine entsprechende Police stellt die sofortige und unbürokratische Hilfe durch IT-Krisenexperten im Ernstfall sicher und der Schaden wird so schnell wie möglich gemeinschaftlich eingedämmt. Neben der Koordination des Krisenmanagements vor Ort unterstützt das Krisenteam auch die hauseigene IT bei der Aufklärung und analysiert das gehackte System. Der IT-Support ist darauf spezialisiert, Beweise zu sichern, Eindringlinge so schnell wie möglich zu isolieren und die IT des betroffenen Unternehmens vollständig zu bereinigen. Cyber-Versicherungen leisten jedoch nicht nur im Ernstfall professionelle Hilfe, sondern unterstützen mit vielfältigen Präventions- und Assistance-Leistungen. Dazu zählt etwa die Erstellung eines Cyber-Krisenplans, der Verantwortlichkeiten und Prozesse für den möglichen Ernstfall festhält, um im Schadenfall wertvolle Zeit zu sparen. Zudem können Mitarbeiter in kostenlosen Cyber-Trainings gegenüber Cyber-Gefahren sensibilisiert werden, denn der Faktor Mensch zählt immer noch zu den häufigsten Einfallstoren für Cyber-Kriminelle.

Gut vorbereitet ist das Risiko bereits geringer, Opfer einer Attacke zu werden. Sollte es dennoch zu einem Zwischenfall kommen, können Betriebe im Rahmen der Versicherung auch weitere Dienstleistungen in Anspruch nehmen: Bei Bedarf unterstützen Datenschutzanwälte oder PR-Berater, falls gegen Datenschutzvorschriften verstoßen wurde oder das öffentliche Image des Unternehmens durch die Cyber-Attacke Schaden nehmen könnte. Um die Chancen der Digitalisierung für die eigene Wettbewerbsfähigkeit zu nutzen, müssen sich deutsche Mittelständler aktiv mit dem Thema Cyber auseinandersetzen und ihre Verteidigung sauber aufsetzen. Eine Cyber-Versicherung wird zum festen Bestandteil einer soliden Cyber-Strategie, um im Fall der Fälle optimal vorbereitet zu sein und starke Partner an seiner Seite zu wissen.