Cyber-Risiken wachsen mit der Umsetzung der Digitalisierung im Unternehmen. Ihre Bedeutung wird noch immer unterschätzt – obwohl nach Erhebungen von Versicherern wie der Allianz das Cyberrisiko längst die größte Bedrohung für Unternehmen darstellt. Nicht immer steckt dahinter ausdrückliche Cyberkriminalität. Ein IT-Ausfall oder Fehler aufgrund mangelhafter Soft- und Hardware, fehlender Updates und Verschlüsselungen haben ebenfalls Konsequenzen für den Umsatz, und sie können entlang der gesamten Wertschöpfungskette auftreten. Nicht zu unterschätzen ist auch der menschliche Faktor, also fehlende Schulungen und Aufmerksamkeit. Vorsorgemaßnahmen sind für Unternehmen aller Größenordnungen unverzichtbar – für kleine Firmen und Gründer ebenso wie für etablierte Konzerne und Unternehmen.
Was sind Cyberrisiken? Problemstellung und Definition
Was passiert bei einem Cyberangriff, und was ist eine Cyberattacke? Wenn von Cyberrisiken die Rede ist, handelt es sich um einen Sammelbegriff, der verschiedene Arten von Risiken oder Störungen umfasst – sie alle gehören zu Unternehmensrisiken. Kommt es zu einem Eindringen Unbefugter in den eigenen Datenbestand, kann das auf sehr unterschiedliche Weise erfolgen.
Gängige Arten von Cyberrisiken für Unternehmen
Wenn Kriminelle in die Systeme von Unternehmen eindringen, möchten sie das betroffene Unternehmen schädigen. Finanziell, um das Vertrauen in die Firma zu erschüttern und Teils auch um selbst an Geld zu kommen, entwickeln sie mitunter komplexes Programme und Abläufe. Diese können unbemerkt im Hintergrund systemkritische Daten abgreifen oder die Geschäftstätigkeit komplett lahmlegen.
Malware und Ransomware
Als Malware oder Schadsoftware bezeichnet werden alle Programme, die den Datenbestand oder die Prozesse im Unternehmen kompromittieren. Handelt es sich um sogenannte Ransomware, werden wichtige Daten in “Geiselhaft” genommen und nur gegen die Zahlung einer gefroderten Summe wieder freigegeben. Es ist nicht sicher, ob die Daten anschließend wieder übergeben werden oder beispielsweise an Wettbewerber verkauft werden.
Phishing und Social Engineering
Mit cleveren Strategien bringen Kriminelle Mitarbeiter dazu, die gewünschten Informationen herauszugeben, ohne, dass dies den Mitarbeitern bewusst ist. Mails oder Chats werden Emotionen wie Vertrauen oder Neugier angesprochen – und so klicken die Empfänger auf die Mail, die den echten Benachrichtigungen der Bank so täuschend ähnlich sehen, oder öffnen eine vermeintlich seriöse Warnung des IT-Providers. Damit wird eine Schadsoftware heruntergeladen und aktiviert, die die eigenen oder Kundendaten abfischt.
Datenlecks und Hacking
Problematisch sind auch Datenlecks,in denen Daten nach außen dringen oder Unbefugte einen Hackerangriff auf Firmen vornehmen. Hacker schätzen es, solche Lecks aufzuspüren und zu nutzen, und liefern sich mit großen Software-Anbietern regelmäßig ein Rennen, bis neu entdeckte Datenlecks mit einem Patch oder einem Update geschlossen werden. Eine unterschätzte Quelle von Datenlecks sind intelligente Geräte im Smart Home. Durch die Vernetzung ermöglichen sie den Einstieg in den Laptop oder PC.
Technisches Versagen
Fällt im innerbetrieblichen System ein maßgebliches Element aus, etwa durch einen Stromausfall oder einen IT-Schaden, kann dies Schwächen in anderen Komponenten offenlegen. Cyberkriminelle stoßen meist durch Zufall auf diese Situationen – doch auch eigene Mitarbeiter können in Versuchung kommen.
Menschliches Versagen
In bester Absicht können die Mitarbeitenden der Schadsoftware Tür und Tor öffnen. Das ist der Fall, wenn in einem digitalisierten Umfeld keine Schulungen zu allgemeinen und spezifischen Cyberrisiken durchgeführt werden und die Beschäftigten nicht wissen, wie sie mit Schutzprogrammen umgehen.
Statistiken und Zahlen zur Häufigkeit und Auswirkungen von Cyberangriffen auf Unternehmen
Allein in der Bundesrepublik stiegen die belegten Fälle von Cyberkriminalität zwischen 2007 und 2023 exponentiell. Lagen die erfassten Straftaten im Jahr 2007 noch bei rund 34.000 Fällen, waren es 2023 nach Angaben des BKA schon mehr als 134.400 Cyberangriffe auf Unternehmen. Dabei ist Deutschland im internationalen Vergleich noch ein kleines Licht – der Blick auf die Cyberkriminalität in Indien und den USA lässt erkennen, was die Zukunft bereit hält. In den beiden Staaten gehen die Fallmeldungen inzwischen in die Millionen. Geschädigt werden Privatpersonen und Unternehmen – oft in existenzbedrohendem Ausmaß.
Bekannte Beispiele von Cyberangriffen und deren finanzielle sowie imagebezogene Schäden
Wird die Datensicherheit eines Unternehmens ernsthaft kompromittiert, hat das Folgen – für die Finanzen und das Image. Bei den größten Cyberattacken der vergangenen zehn Jahre trifft das auf jeden Fall zu.
Unbenommen die Nummer Eins ist noch immer der Datenklau bei Yahoo im Jahr 2014. Mehr als 500 Millionen Nutzerdatensätze erbeuteten Hacker nach ersten Angaben – zum Teil verlinkt zu anderen Portalen und Services. Inzwischen geht man davon aus, dass alle Nutzerkonten betroffen waren. Da viele Menschen dasselbe oder nur ein leicht abgewandeltes Passwort für ihre Online-Konten nutzen, dürfte ein enormer Schaden entstanden sein.
Noch im gleichen Jahr traf es die Auktionsplattform eBay – über 140 Millionen Datensätze gelangten in die Hände von Kriminellen, allerdings wohl ohne finanziell relevante Daten.
Schlimmer war der Hack auf Konten bei der Investmentbank J.P. Morgan, ebenfalls 2014 – denn hier ging es tatsächlich um sensible Finanzdaten. Besonders peinlich war der Cyberangriff, weil die Bank keinen zusätzlichen Schutz durch Zwei-Faktor-Authentifizierung angeboten hatte.
LinkedIn und Dropbox sind im Bereich Cyberkriminalität auf immer verbunden – denn nach der Attacke auf die Business-Plattform gelangte ein Passwort eines Dropbox-Mitarbeiters in die Hände von Hackern, die den Filestorer ins Visier nahmen.
Weniger teuer, dafür peinlich war ein Hack eines Datingportals. Ashleymadison.com vermittelt diskrete Seitensprünge – nach dem Abgreifen von Millionen Nutzerdaten wurden diese ins Darknet gestellt, unter ihnen auch Angaben zu Personen des öffentlichen Lebens.
Warum sind große und wachsende Unternehmen von Cyberrisiken betroffen?
Cyberkriminalität kann jeden treffen – die arglos geöffnete E-Mail oder der Link, der vermeintlich zur eigenen Sparkasse führt, sind für Privatpersonen, Selbstständige, kleine Firmen und Betriebe relevant. Große Unternehmen und solche, die stark wachsen, setzen sich jedoch einem erhöhten Risiko aus, da schnelles Unternehmenswachstum oft mit Sicherheitslücken und erhöhtem Interesse von Cyberkriminellen einhergeht. Das hat eine Reihe von Gründen.
Warum auch kleine und mittelgroße Unternehmen von Cyberattacken betroffen sein können
Auch kleinere und mittelgroße Unternehmen geraten ins Visier von Cyberkriminellen, wenn auch aus anderen Gründen. Bei ihnen sind die Ursachen für Anfälligkeiten anderswo zu suchen. Es fehlt oft an
Außerdem sind kleine und mittelgroße Unternehmen mitunter regelrechter „Beifang“ bei automatisierten Cyberattacken, die massiv und flächendeckend stattfinden. Bedauerlicherweise glauben viele Unternehmer, dass ihr Business für Cyberkriminelle nicht von Interesse ist – und werden erst eines Besseren belehrt, wenn es zu spät ist. Da Cybersicherheit Chefsache ist, wird ein Bewusstsein für das Problem dann auch nicht an die Beschäftigten weitergegeben und über die Gefahren nicht informiert.
Cybersicherheit ist für jedes Unternehmen essentiell!
Prävention auf allen Ebenen bietet Schutz vor Cyberattacken – und angemessene Versicherungen helfen dabei, mögliche Schäden aufzufangen. Tipps und Hinweise rund um die Cybersicherheit liefert unser kostenloses Fact-Sheet!
Sebastian Kink, Geschäftsführer der SHL Versicherungsmakler GmbH
Cyberrisiken und die Konsequenzen für Unternehmen
Eine Cyberattacke geht selten glimpflich aus. Das Ausmaß der Schäden kann, verglichen mit der Größe des Unternehmens, überproportional sein. Und aus den unmittelbaren Verlusten entstehen nicht selten Folgeschäden, die Firmen noch lange Zeit zu schaffen machen. Denkbare Konsequenzen sind unter anderem
Präventive Maßnahmen gegen Cyberrisiken
Unternehmen können viel tun, um sich auf verschiedenen Ebenen gegen Cyberangriffe und deren Konsequenzen abzusichern. Zu den wichtigsten Maßnahmen zählen sinnvolle und kontinuierlich zu hinterfragende und ggf. anzupassende Präventionen.
Technische Maßnahmen beinhalten laufende Updates von Hard- und Software, Schutz- und Diagnoseprogrammen, aber auch die Gewährleistung des laufenden Betriebs selbst bei kurzfristigen Stromausfällen.
- 1Mitarbeiterschulung und Sensibilisierung lenken die Aufmerksamkeit der Beschäftigten auf die gängigen und weniger gängigen Methoden von Cyberkriminellen – und klären darüber auf, was jeder Einzelne für angemessenen Datenschutz tun kann und soll.
- 2Weitere Maßnahmen auf unterschiedlichen Ebenen lassen sich wirksam implementieren – beispielsweise durch die Vergabe nicht allgemeiner, sondern individueller und aufgabenspezifischer Zugangsrechte, regelmäßigen Sicherheitschecks und sogenannten Penetrationstests durch die IT-Abteilung.
- 3Auch ein Notfallplan ist sinnvoll, der bestenfalls geübt und ebenfalls immer wieder aktualisiert wird – so weiß im Ernstfall jede relevante Person um ihre Verantwortung. Die panische Frage „Cyberangriff – was tun?“ stellt sich dann nicht.
- 4Eine Versicherung gegen Cyber-Risiken fängt einen Teil der entstehenden Schäden und Kosten auf und kann verhindern, dass aus der Attacke eine existenzbedrohende Krise wird.
Prävention steht an erster Stelle und sollte mit höchster Priorität angegangen werden. Unerlässlich ist jedoch auch eine Cyberversicherung. Die Kosten und Auswirkungen nach einen Angriff können enorm sein und ein Unternehmen sehr schwächen. Lassen Sie sich beraten, welche Tarife und Absicherungsmöglichkeiten genau auf Ihr Unternehmen passen. Nach einer Risikoanalyse kann ein Makler, wie die SHL, genau abschätzen, welches Versicherungspaket passen für Sie ist.
Versicherungslösung gegen Cyber-Risiken
Cyberattacken rangieren inzwischen hinsichtlich der Häufigkeit und der Höhe der Schäden noch vor Naturkatastrophen, Kriegen oder Pandemien und sind damit unter den größten Herausforderungen für Unternehmen. Versicherer kommen diesem zunehmenden Trend mit spezialisierten Angeboten entgegen. Die Leistungen im Schadensfall erschöpfen sich nicht mit der Kostenübernahme.
Die Cyberversicherung erstattet natürlich die Kosten, die aus einer Betriebsunterbrechung entstehen – darunter neben Löhnen und Gehältern auch Fixkosten. Da meist mehr oder weniger umfangreiche Wiederherstellungsmaßnahmen anfallen, sind auch diese berücksichtigt. Besonders wichtig ist, dass die Cyber-Versicherung auch für Schadenersatzforderungen Dritter aufkommt.
Der finanzielle Aspekt ist wichtig, aber nicht alles – ein kompetenter Versicherungsmakler ist ein starker Partner, der auch mit Rat und Tat unterstützt. Teil des Versicherungspakets ist oft eine Rechtsberatung oder die Vermittlung von Spezialisten und IT-Forensikern, die retten, was zu retten ist – und vielleicht sogar auf die Spur der Täter kommen.
Da sich Versicherer und Versicherungsnehmer wünschen, dass der Ernstfall nicht eintritt, werden häufig auch spezielle Schulungen und IT-Audits angeboten. Neben finanzielle Leistungen bietet eine Cyberversicherung die Unterstützung durch Spezialisten. Das kann eine Rechtsberatung sein, viele Versicherer haben aber auch Kooperationen mit IT-Forensikern oder Dienstleistern zur Datenrettung geschlossen. Neben der Krisenbewältigung unterstützen viele Gesellschaften besonders die Prävention, bieten Schulungen und Audits an.
Vorteile einer Cyber-Versicherung
Bieten Versicherungen Schutz vor Cyberangriffen? Vor deren Eintreten eher nicht – wie Fachleute versichern, ist für Unternehmen weltweit längst nicht mehr die Frage, ob sie irgendwann Opfer einer Cyberattacke werden, sondern wann der Angriff stattfindet. Die Entscheidung für eine Cyberversicherung ist ein Zeichen dafür, dass sich Unternehmer des Risikos bewusst sind und proaktiv damit umgehen. Wer sich versichert, wird auch geneigt sein, Prävention und Information zu implementieren.
Was sind Cyber-Versicherungen?
Eine Cyberversicherung deckt die Kosten eines digitalen Angriffs ab, enthält aber auch Krisenmanagement und Unterstützung bei der Prävention. Die Leistungen und Versicherungskosten werden an die Größe und den Wert des Unternehmens angepasst.
Was decken Cyber-Versicherungen ab?
Neben Fix- und Personalkosten, die eine Firma auch bei Geschäftsunterbrechungen zahlen muss, deckt die Versicherung gegen Cyberschäden auch Schadenersatzforderungen ab, die sich aus der Attacke ergeben.
Warum sich Cyber-Versicherungen für Unternehmen lohnen
Eine Kosten-Nutzen-Analyse lässt sich im Beratungsgespräch mit einem qualifizierten Versicherungsmakler leicht erstellen – insbesondere, da eine tatsächliche Attacke nur eine Frage der Zeit ist. Versicherungsmakler helfen beim Entwurf einer Strategie für einen bewussten und informierten Umgang mit dem Problem und der Vorbereitung auf den Ernstfall.
Fazit
Unterschätzen Sie bitte nicht die Risiken von Cyberattacken. Die Folgen können Unternehmen sehr schwer treffen. Beugen Sie vor, indem Sie Maßnahmen für IT umsetzen und Schulungen für Ihre Mitarbeiter etablieren und regelmäßig wiederholen. Damit können Sie das Risiko eines Angriffs bereits deutlich reduzieren.
Unablässig der Vorbeugung, gehört die Cyberversicherung zu den am dringensten Empfohlenen Absicherungen. Sprechen Sie mit Ihren Versicherungsmakler und melden Sie sich gern bei uns. Wir haben Spezialisten, die nach eine Gespräch mit Ihnen und einer Risikoanalyse ein für Sie und Ihr Unternehmen passendes Angebot erstellen. Jedes Unternehmen hat andere Bedürfnisse und Herausforderungen. Diese gilt es zu verstehen, damit Sie weder über- noch unterversichert sind.
Telefonische Beratung
Wir beraten Sie gerne bei der Wahl der passenden Versicherung. Sie können dazu ganz bequem Ihren Wunschtermin online buchen.
Alice Ben Halima
Key Account Managerin
Matthias Wiegelmann
Key Account Manager