Cyber-Risiken
Cybercrime, also durchs Internet oder Netzwerke begangene Straftaten, sind längst fester, bedauerlicher Bestandteil unserer Gesellschaft geworden. Das Bundeskriminalamt veröffentlichte in seinem Bericht zur Bundeslage fast 65.000 Fälle schon in 2013 – und das sind nur die Fälle, die auch zur Anzeige gebracht wurden. Die Spielarten der Cyberkriminalität sind inzwischen sehr vielseitig und reichen vom Datendiebstahl bis hin zur digitalen Erpressung.
Die Medien berichten inzwischen regelmäßig von Fällen, bei denen große Konzerne gehackt wurden – aber auch kleine und mittelständische Firmen sind beliebte Ziele für Angriffe, da Datenmaterial hier im Regelfall schlechter oder gar nicht geschützt ist. Die finanziellen Folgen eines solchen Angriffs können schnell in die Tausende gehen.
Es bedarf heute auch keiner besonderen Finesse im Umgang mit dem Computer oder ausgefeilte Programmierkenntnisse, um als Täter aktiv zu werden. Auch Sie selbst könnten theoretisch innerhalb von 24 Stunden eine cyberkriminelle Laufbahn starten. Die nötigen Tools und Anleitungen sind in einschlägigen Foren schnell gefunden und heruntergeladen. Selbst auf Plattformen wie Youtube finden Sie beispielsweise Anleitungen zum Versand von Mailbomben.
Der einfache Zugang zu benötigtem Equipment und Informationen lässt erwarten, dass die Zahl der Täter von Jahr zu Jahr steigen wird. Hierbei steht dann nicht unbedingt das Ziel im Vordergrund, sich zu bereichern. Unlängst berichteten die Medien von einem entlassenen Auszubildenden einer Bank, der als Akt der Rache eine Mailbombe an seine ehemalige Filiale schickte und damit die Server für mehrere Tage lahmlegte. Auch der Anteil ideologischer Hacker erlebt einen gewaltigen Zulauf, ebenso wächst die Gruppe der „Script Kiddies“, die aus jugendlicher Dummheit heraus mit ihren Kenntnissen Schaden anrichten.
Wichtig ist: Grundsätzlich könnte jeder zum Täter werden. Grundsätzlich kann jeder Betrieb betroffen und geschädigt werden und ggf. auch als „unfreiwilliger Helfer“ schadenersatzpflichtig gemacht werden, wenn Dritte dadurch geschädigt werden, dass man bei Ihnen an deren Daten kam. Die finanziellen Folgen, die Ihnen aus einer Cyberattacke direkt oder indirekt entstehen können, sollten Sie keinesfalls unterschätzen.
Die Rechtsprechung vertritt in dieser Sache aber einen klaren Standpunkt: Wer z.B. durch unzureichende Sicherung seines Datenbestandes eine Schädigung eines Dritten begünstigt, ist Mitschuldiger (siehe hierzu auch das IT-Sicherheitsgesetz, die EU-Datenschutz-Grundverordnung und § 202a ff. StGB)!
Möchten Sie Ihr Unternehmen ernsthaft vor den finanziellen Folgen von Cyber-Risiken schützen, müssen sowohl Eigen- wie auch Fremdschäden abgesichert werden. DIe Versicherungswirtschaft hat entsprechend reagiert und passende Tarife entwickelt.
Schadenbeispiele aus der Praxis
Beispiel:
Ein Callcenter wickelt u.a. für eine Direktbank die Kunden-, Telefon- und Mail-Hotline ab (First-Level). Ein Kunde der Bank startet aus Ärger über eine Anlageempfehlung eine Mailbombe, die aber natürlich beim Callcenter „einschlägt“ und die E-Mail-Kommunikation dort lahmlegt. Es vergehen zwei Tage, in denen keinerlei Mails beantwortet werden können. Es entstehen Kosten für die Untersuchung und Überstunden der Belegschaft zur Aufarbeitung des Rückstands.
Beispiel:
Ein mittelständischer Versand für Outdoor- und Military-Zubehör betreibt auch einen erfolgreichen Onlineshop, dessen Anteil am Gesamtumsatz über die Jahre auf 70 % anstieg. Bedingt durech das Sortiment machen ein paar studentische Aktivisten aus dem „linken Lager“ das Unternehmen als „Naziversand“ aus und starten über ein Bot-Net eine DDos-Attacke, bei der der Shop tausende von Malen immer und immer wieder angefragt wird, bis der Server kapituliert. Da die Attacke über eine komplette Woche fortgesetzt wird, ist der Shop erst nach einigen technischen Änderungen wieder erreichbar. Die entstandenen Kosten: Technische Optimierung, Untersuchung, entgangener Umsatz für eine Woche, Imageschaden wegen Nichterreichbarkeit etc.
Beispiel:
Die Kundendatenbank eines Autohauses wird gehackt. Dabei erbeuten die Täter u.a. sämtliche gespeicherten Kreditkartendaten der Kunden. Dme Autohaus entstehen Kosten für Forensik, technische Optimierung, Schadenersatzforderungen der betroffenen Banken etc.
Beispiel:
Ein Auszubildender einer Werbeagentur nutzt seine Mittagspause dazu, im Betrieb einen Film herunterzuladen. Diesen legt er auf dem Firmenserver ab, wo ihn sich auch zwei Kollegen kopieren. Die Datei war mit einem Virus versehen, der beim Aufruf des Films die Computer befällt und sich über das Firmennetzwerk verbreitet. Der Virus löscht eine ganze Reihe von Dateien unwiederbringlich. Die Arbeit, die in diese Kundenaufträge investiert wurde, ist verloren – trotz angeordneter Überstunden können nicht alle Abgabetermine eingehalten werden. Es entstehen Kosten für Forensik, technische Optimierungen und Schadenersatzforderungen der Kunden. Zudem wandern Kunden ab und das Image der Firma hat schweren Schaden genommen.
Beispiel:
Hackern gelingt es, Zugriff auf die Patientendaten eines Allgemeinmediziners zu erlangen. Nachdem die Datenbank erfolgreich kopiert wurde, schreiben sie den Praxisinhaber per Mail an und drohen mit der Veröffentlichung der Anamnesen – natürlich mit dem Vermerk, woher die Daten stammen. Gegen Zahlung einer gewissen Geldsumme via Western Union könne er die Veröffentlichung verhindern.
Nähere Infos
Der Leistungsumfang einer Cyber-Risk-Versicherung erstreckt sich primär auf Kosten, die Ihrem Haus nach einer Attacke entstehen und auf Vermögensschäden, die durch Ihren „Beitrag“ Dritten zugefügt werden. Je nach Versicherer, Tarif und Umfang werden folgende Kosten erstattet:
Da der Gesetzgeber seit dem 01.07.2010 für Vorstandsmitglieder von Aktiengesellschaften einen persönlichen Pflicht-Selbstbehalt von 10 %, max. das 1,5-fache des Jahresbruttobezugs vorsieht, ist eine zusätzliche D&O-Selbstbehaltversicherung zu empfehlen.
Ähnlich wie bei der D&O-Versicherung schützt die Eigenschadenversicherung eine Firma vor den Vermögensschäden durch Handlungen und Entscheidungen ihrer Mitarbeiter. Der versicherte Personenkreis ist hier jedoch nicht die Führungsetage, sondern der größere Teil der Mitarbeiter, die eher als Erfüllungsgehilfe tätig sind (inkl. Aushilfen und Praktikanten). Auch hier können größere Schäden verursacht werden: falsch weitergegebene Rabatte an Kunden, ein vergessenes Komma bei einer Bestellung, oder einer Zeitarbeitsfirma wird vergessen mitzuteilen, dass keine Arbeiter mehr benötigt werden. Die Eigenschadenversicherung ist eine interessante neue Form des Firmenschutzes.
Presse-Infos
Informieren Sie sich auch in einem Artikel der Frankfurter Allgemeinen Zeitung:
Eine Versicherung gegen Hacker-Angriffe
Visuelle Infos
Wie Big Data & Industrie 4.0 die Schadenszenarien in der Industrie beeinflussen