50.000 – 500.000EUR ungeplante Kosten zahlen Sie mit Ihrer Firma problemlos aus der Westentasche? Dann brauchen Sie an dieser Stelle nicht weiterlesen. Falls nicht, dann investieren Sie 5 Minuten Ihrer wertvollen Zeit als Unternehmer in Wissen über ein weitestgehend unbekanntes existenzgefährdendes Risiko für jede Firma, speziell in Deutschland.

Emails auf dem Handy, ein gutes Kundenverwaltungsprogramm, die Microsoft Office Anwendungen, Online Banking- digitale Werkzeuge sind aus dem modernen Arbeitsalltag nicht mehr wegzudenken.

Der wirkliche Preis, den man für die Nutzung digitaler Anwendungen bezahlt ist den Firmeninhabern weitestgehend unbekannt. Und damit ist nicht der Preis für die Nutzung der Software gemeint den man an den Anbieter bezahlt.

Der wirkliche Preis setzt sich aus den Kosten für den Anbieter und den in der Software enthaltenen Sicherheitslücken zusammen. Sicherheitslücken entstehen, wenn Programmierer Fehler machen und dadurch eine Schwachstelle in der Software entsteht. Bei etablierten Anbietern wie bspw. Microsoft oder Adobe reden wir hier von ca. 1 Fehler auf 1000 Zeilen Code. Bei Programmen von StartUps (bspw. neue Iphone oder Android Apps) können es wesentlich mehr sein. Die Programmierer dort bekommen einfach nicht genügend Zeit, um ihre Arbeit regelmäßig auf Schwachstellen zu prüfen. Alleine der ChromeBrowser hat 6.700.000, Windows 7 hatte 39.300.000 Zeilen Code, tendenz steigend.

Da verwundert es nicht, dass es keine Software geben kann, die keine Sicherheitslücken aufweist. Und mit jedem Update wo alte Sicherheitslücken geschlossen werden, entstehen automatisch immer wieder neue.

Während wir also auf der einen Seite die Vorzüge neuer Software wie Zeitersparnis, Automatisierungen, etc. für uns nutzen, muss klar sein, dass es keine absolute Sicherheit mehr gibt.

Diese Sicherheitslücken begleiten uns nun regelmäßig auf unseren mobilen Endgeräten, Laptops und Computern. Und sie werden von der Hackerindustrie (und Geheimdiensten, s. Whistleblower Edward Snowden) systematisch ausgenutzt. Meist ohne, dass wir es merken. Der durchschnittliche Angriff bleibt dabei 146 Tage (Quelle: CNA Hardy) unentdeckt. Denn während ein Einbruch im Eigenheim oder Büro durch die Einbruchsspuren klar erkennbar ist, kriegt man von einer Schadsoftware oft gar nichts oder nur durch Zufall mit.

Deutsche Firmen sehen sich dabei mit einer ganzen Hackerindustrie konfrontiert, gegen die es leider keinen hundertprozentigen Schutz gibt. Dabei geht es nicht nur darum sich selbst, sondern auch die Daten der eigenen Kunden zu schützen. Die zu erwartenden Haftungssummen für kleine und mittelständische Firmen liegen hier erfahrungsgemäß zwischen 50.000 – 500.000EUR. Summen bei denen viele Firmen eine Insolvenz droht.  

Ob es etwas zu holen gibt oder nicht, wissen Angreifer vorher nicht- die Motive sind höchst unterschiedlich, können auch politisch (z.B. Wirtschaftsschädigung aus dem Ausland durch geheimdienstnahe Organisationen), Langeweile, Anerkennung in Hackerkreisen oder digitaler Vandalismus sein. Cyberangriffe finden in der Mehrzahl nicht gezielt statt. Bei Ransomware(Verschlüsselungstrojaner)-Attacken erfahren die Täter im Zweifel nur durch die Überweisung, wer ihre Opfer waren. Je größer die Anzahl der Empfänger/ Angegriffenen hier ist, desto attraktiver ist die Investition des Hackers von Zeit, Strom und Serverkapazitäten.  

Die Aufgabe des ITlers ist der Aufbau eines Schutzschildes durch effektive Firewalls, moderne Serverlandschaften und regelmäßige Installation von Updates und Upgrades. Er kann aber nicht das Fehlverhalten von Mitarbeitern steuern und Sicherheitslücken schließen für die es noch gar keine Updates gibt. Die Sensibilisierung der Mitarbeiter, ein IT-Sicherheitsleitfaden und die Absicherung des Restrisikos durch eine Cyberversicherung ist Chefsache.

Antivirenprogramme und Firewalls sind immer einen Schritt hinter den neuesten Entwicklungen der Hackerindustrie hinterher. Außerdem gibt es stets eine hohe Anzahl an Sicherheitslücken die noch nicht entdeckt worden sind oder von Geheimdiensten bewusst verschleiert werden und damit Angriffsmöglichkeiten bieten, s. Snowden-Protokolle. Pro Woche gibt es ca. 10 neue Angriffsprogramme, die häufig selbstständig ihren Programmcode ändern und damit ca. 16.000 (Quelle: Heise) neue Angriffsprogramme pro Stunde ergeben, die alle analysiert und mit Signaturen für die Virenscanner versehen werden müssen, bevor der Virenscanner diese erkennt.  

Der Schutz vor Cyberrisiken verläuft systematisch in 3 Stufen (Lines of Defence).  

Strukturen, Prozesse, Verständnis

Cyberversicherung

IT-Sicherheit ist Chefsache. Es gilt durch professionelle interne oder externe IT-Mitarbeiter eine gute digitale Infrastruktur aufzubauen deren Software regelmäßig mit Updates versehen wird.

Jeder Mitarbeiter in der Firma muss regelmäßig sensibilisiert werden. Das geht auch ohne großen Aufwand über digitale Schulungsprogramme. Die Geschäftsführung ist auch für die Erstellung eines Sicherheitsleitfadens verantwortlich.

Das bestehendeRestrisiko kann dann nur von einer passgenauen Cyberversicherung übernommen werden. Hierbei gilt es sichan einen Profi zu wenden, der die 56 unterschiedlichen Merkmale von Cyberversicherungen individuell für jede Firma bewerten kann. Ein Versicherungsberater ohne tiefergehende Cyberrisk- und IT-Kenntnisse ist hier als Ansprechpartner keine gute Wahl. Im Zweifel sind dann beim falschen Tarif Bausteine wie Kreditkartenrisiken unnötig mitversichert, während der wichtigste Baustein der Cyberversicherung- die Notfallhotline zur Einleitung von Sofortmaßnahmen nur auf Englisch verfügbar ist und am Freitag um 18 Uhr Feierabend hat.

Um einen Überblick über den Anbietermarkt zu bekommen, sollte es sich zudem um einenfreien Versicherungsmaklerund nicht eine Ausschließlichkeitsagentur handeln die nur für eine eingeschränkte Anzahl an Versicherungen arbeitet.

Sebastian Ohligschläger ist Gründer und Inhaber des freien Finanz- und Versicherungsmaklers Ohligschläger & Berger. Als Spezialist für Cyberversicherungen berät er Firmenkunden bundesweit und schreibt regelmäßig über Sachverhalte aus der Beratungspraxis.  

Impressum

Datenschutz

This site is not a part of the Facebook website or Facebook Inc. Additionally, This site is NOT endorsed by Facebook in any way. FACEBOOK is a trademark of FACEBOOK, Inc.