Cyber-Risiken richtig managen

Wer zur Zielscheibe wird, hat dabei nichts mit der Unternehmensgröße oder Profession zu tun. Cyber-Kriminelle fokussieren sich längst nicht mehr nur auf Großkonzerne oder bestimmte Branchen. Die überwiegende Mehrheit der Cyber-Kriminellen versucht, mit einem Minimum an Aufwand maximalen Schaden anzurichten bzw. für sich einen entsprechenden Gewinn zu erzielen. Das Erfolgsrezept geht auf, wie breit angelegte Attacken gezeigt haben. Der Kryptotrojaner „WannaCry“ breitete sich innerhalb weniger Stunden weltweit aus und legte hunderttausende Systeme lahm. Aktuell zielt eine Malware namens „Emotet“ in einer großen Angriffswelle auf Firmen ab – und macht dabei keinen Unterschied, ob die Empänger Anwälte, Steuerberater, Ärzte oder z.B. Apotheker sind. Schadsoftware unterscheidet nicht zwischen Weltkonzern und regional tätiger Firma, sondern verschlüsselt gleichermaßen alle Daten und fordert Lösegeld von jedem, der nicht aufgepasst hat.

Eine gut aufgestellte IT-Infrastruktur ist die Basis für Cyber-Sicherheit. Kein IT-System kann aber zu 100 Prozent sicher sein. Es ist wie beim Auto: Trotz ABS, ESP, Airbags, Anschnallpflicht und Spurhalte-Assistent passieren noch schlimme Unfälle, allerdings deutlich weniger als ohne diese Sicherheitsmaßnahmen. Technische Sicherheitsvorkehrungen sind aber nur ein Bestandteil einer umfassenden IT-Sicherheitsstrategie. Darüber hinaus sind organisatorische Maßnahmen wie die Sensiblisierung der Mitarbeiter für Cyber-Gefahren wichtige Elemente.

Cyber-Schäden werden nicht immer von kriminellen Angreifern verursacht. Die Rolle eines unachtsamen Mitarbeiters als leichtes Opfer und damit einfaches Einfallstor wird noch oft verkannt. Bei jedem fünften Unternehmen, das in Deutschland im vergangenen Jahr betroffen war, wurde der Schaden durch die eigenen Mitarbeiter zumindest begünstigt. Dennoch konzentrieren sich die meisten Firmen bei der Cyber-Sicherheit zu stark allein auf die IT-Systeme und vernachlässigen dabei beispielsweise die Sensiblisierung ihrer Mitarbeiter für genau diese Cyber-Gefahren.

Trotz aller Vorsichtsmaßnahmen empfiehlt sich eine Cyber-Versicherung als zweite Linie der Verteidigung. Neben der Absicherung möglicher Schäden sind gerade für kleinere Unternehmungen, die nicht über eigene IT-Expertise verfügen, besonders die Service-Leistungen im Rahmen einer Cyber-Versicherung wertvoll.

Im Schadenfall benötigen die meisten Unternehmen unmittelbare Unterstützung, um den Schaden zu beherrschen. Beim Abschluss einer Cyber-Versicherung sollte der Versicherungsnehmer deshalb besonders darauf achten, welche Assistance-Leistungen die Deckung umfasst. Hiscox unterstützt seine Versicherungskunden im Rahmen des Cyber-Schutzes mit einer durchgehend geschalteten Cyber-Krisenhotline, bei der sie im Krisenfall, aber auch schon im Verdachtsfall, sofort Hilfe bekommen. IT-Experten des Partnerunternehmens HiSolutions helfen – telefonisch oder bei Bedarf auch in der Kanzlei vor Ort und fungieren damit quasi wie eine ausgelagerte IT-Krisenabteilung. Die IT-Experten unterstützen bei der Abwehr von Angriffen, übernehmen die IT-Forensik, um die Sicherheitslücke schnellstmöglich ausfindig zu machen, und stellen die Daten und Systeme wieder her. Bei Bedarf verstärken auch Datenschutzanwälte und PR-Berater das Team, um bei Datenschutzvorfällen zu unterstützen und die Krisenkommunikation zu übernehmen, damit eine Cyber-Attacke nicht zulasten des guten Rufes geht. Von diesen Zusatzleistungen profitieren vor allem kleine und mittlere Unternehmen, die eine solche Expertise nicht im Haus haben.

Die Police selbst besteht aus einer Cyber-Eigenschadenversicherung und einer Cyber-Haftpflichtversicherung. Die Eigenschadenversicherung deckt Kosten, die der geschädigten Kanzlei selbst aus einer Cyber-Attacke entstehen. Dazu zählen die Kosten für die Arbeit der IT-Krisenexperten, aber beispielsweise auch für die Information der betroffenen Mandanten und Dateninhaber. Das ist etwa der Fall, wenn sensible Klientendaten gestohlen und damit Persönlichkeitsrechte verletzt wurden. Die Cyber-Haftpflichtversicherung bezieht sich auf Schadenersatzansprüche von Dritten, die z. B. aus einer Datenrechtsverletzung oder der Weitergabe eines Virus entstehen.

Darüber hinaus erhalten Versicherungskunden bei Hiscox umfangreiche Service-Leistungen wie kostenfreie Cyber-Trainings für alle Mitarbeiter, die für Cyber-Gefahren sensibilisieren. Darin werden so wichtige Themen wie E-Mail-Sicherheit, sichere Passwörter oder der Umgang mit externen Datenträgern behandelt. Ein weiteres wichtiges Element im Rahmen der Assistance-Leistungen ist der Cyber-Krisenplan mit ersten Handlungsanweisungen. In ihm sind die Verantwortlichkeiten für den Ernstfall niedergeschrieben.

Gut geschützt? Mit dieser Frage sollte sich jedes Unternehmen auseinandersetzen. Ist das Computer-System lahmgelegt, sind wichtige Informationen nicht mehr zugänglich oder sensible Daten gestohlen, tickt die Uhr. Schnelles und vor allem richtiges Handeln ist gefragt, um größeren Schaden abzuwenden, Kunden, viel Geld und die gute Reputation zu schützen. Jede Firma muss sich über die eigene Cyber-Risikostrategie Gedanken machen: Das beginnt mit einer gut aufgestellten und sicheren IT-Infrastruktur, geht über klare Verantwortlichkeiten, holt auch den möglicherweise unachtsamen Mitarbeiter durch Sensibilisierungsmaßnahmen ab und beleuchtet die Möglichkeit einer adäquaten Absicherung des Restrisikos.