Der Schutz gegen die zunehmende Cyber-Kriminalität umfasst viel mehr als nur eine gute Sicherheitssoftware. Darauf machten Vertreter des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) mit Blick auf kleine und mittlere Unternehmen (KMU) in einem Pressegespräch anlässlich ihrer "Cyber Security Konferenz" aufmerksam.

Risikobewusstsein ist unterentwickelt

Es vergehe kein Tag ohne Opfer, mahnte Präsident Dr. Alexander Erdland. "Immer mehr Daten werden digital genutzt, ob Patientendaten in der Arztpraxis oder Kundendaten in Logistikunternehmen oder Hotels. Doch das Risikobewusstsein für Sicherheit ist unterentwickelt."

Dabei sei dies eine Kernaufgabe guter Unternehmensführung. Ein Sicherheits-Nihilismus sei ein "katastrophaler Fehler", warnte Dr. Erdland. Eine aktuelle forsa-Umfrage, die der Verband in Auftrag gegeben hatte, zeigt das Dilemma. So gaben 80 % der KMU an, ausreichend gegen Cyber-Kriminalität gewappnet zu sein. Tatsächlich aber verbieten im Firmennetzwerk nur 56 % der Firmen private Geräte und nur 63 % verschlüsseln sensible Daten. Es sieht auch gerade einmal jedes dritte Unternehmen das Risiko, Opfer von Cyberkriminalität zu werden.

Dies sei ein "gefährlicher Irrglauben", sagte Dr. Erdland. „Die Kriminellen wissen, wie sie auch vermeintlich uninteressante Daten zu Geld machen – nämlich indem sie einfach die Daten sperren und Lösegeld kassieren.“

Für einen solchen Angriff sei kein Betrieb zu klein. 28 % der Unternehmen haben laut forsa-Umfrage bereits finanzielle oder materielle Schäden durch Cyber-Angriffe erlitten.

Den Hackern leicht macht es der Umstand, dass die KMU zwar in der Regel auf eine technische Ausstattung zur Hackerabwehr setzen, sie aber ihre Mitarbeiter nicht darin schulen, wie Risiken zu identifizieren sind. Ein "Quick-Check für Cyber-Security" der VdS Schadenverhütung GmbH, einer unabhängigen Prüfinstitution mit dem Schwerpunkt Unternehmenssicherheit, zeigt die Schwachstellen. 2000 Unternehmen haben hier eine Selbsteinschätzung vorgenommen.

Der Mensch ist das größte Sicherheitsproblem

Wie VdS-Geschäftsführer Dr. Robert Reinermann erläuterte, ist "der Mensch das größte Sicherheitsproblem". Das Risiko komme nicht immer von einem Hacker, es könne auch der Mitarbeiter nebenan unbedacht oder getäuscht eine infizierte E-Mail öffnen oder einen gefährlichen Link anklicken.

Beim Check hatte nur die Hälfte der Unternehmen bestätigt, dass interne und externe Mitarbeiter die Regeln zur Informationssicherheit kennen. In 45 % der Unternehmen ist nicht eindeutig festgelegt, wer für die IT-Sicherheit zuständig ist; es gibt auch keine Budgets für die Aufgaben. Noch brisanter ist die Situation, wenn es um die Frage geht, was von wem zu tun ist, wenn der Notfall eintritt. Zwei von drei Unternehmen haben hierfür keine Richtlinien festgelegt. Dabei, so Dr. Reinermann, sollte die Informationssicherheit "durch den Inhaber getrieben sein".

Nach Angaben des IT-Branchenverbandes Bitkom sind 69 % der Industrieunternehmen bereits Opfer von Datendiebstahl, Wirtschaftsspionage oder Sabotage geworden. Es ist auch geschehen, dass Hacker Kinderpornografie auf einem Rechner platzierten, um den Nutzer zu diskreditieren.

Die Folgen der Angriffe sind gravierend. Sie reichen von Produktionsausfällen über Kundenflucht bis zur Insolvenz. Jedes zehnte produzierende Industrie­unternehmen lässt sich mittlerweile gegen Hackerangriffe und andere IT-Risiken versichern.

Ratschläge zur Vermeidung von Schäden

Die Versicherungswirtschaft will künftig auch KMU eine Cyber-Assekuranzpolice anbieten. Dabei geht es, wie Thomas Pache, Sprecher der GDV-Arbeitsgruppe Cybersicherheit, erklärte, um Unterstützung im Schadensfall. So werden unter anderem die Kosten für Forensiker übernommen, die bei der Ursachenfindung entstehen – beispielsweise bei Diebstahl oder missbräuchlicher Veröffentlichung von Daten. Die Versicherung zahlt einen Tagessatz, wenn es zu Betriebsunterbrechungen kommt. Damit können laufende Kosten beglichen und der Gewinnaufall minimiert werden.

Es ist ein Rahmen, den die GDV mit ihren Musterbedingungen für die Versicherung von Freiberuflern und KMU vorgelegt hat. Die Versicherer werden diesen mit eigenen, konkreten Angeboten füllen. Versicherungsschutz und Schadensvermeidung sollen dabei Hand in Hand gehen.

Quelle: GDV "Cyber Security Konferenz"
Check für Cyber-Security: www.vds-quick-check.de