Vernetzte Gefahr für den Mittelstand

Der spektakuläre Hack eines internationalen E-Mail-Providers oder Cyberspionage bei einem namhaften Industriekonzern – die großen Fälle von Internetkriminalität sind aus Medienschlagzeilen bekannt. Doch auch kleine und mittelständische Unternehmen geraten immer mehr ins Visier von Cyberkriminellen. Laut dem Branchenverband Bitkom wurden bereits 51 Prozent der deutschen Unternehmen Opfer eines digitalen Angriffs.

Eine internationale Umfrage unter Kleinunternehmern durch Research Now im Auftrag des Spezialversicherers Hiscox zeigte 2016, dass das Bewusstsein für Cyberbedrohungen unter KMU durchaus wächst. 25 Prozent der Befragten wählten Hacking und Cyberkriminalität unter die Top drei der nicht abgesicherten Risiken für ihr Unternehmen. Trotzdem bleibt die Vorsorge einseitig: Während Virenschutz und Firewall weit verbreitet sind, schützen sich nur sechs Prozent der befragten deutschen Kleinunternehmer zusätzlich über eine Cyberversicherung.

Eine gut aufgestellte IT und umfangreiche technische Schutzmaßnahmen sind im Kampf gegen Cyberkriminelle zwar unumgänglich, bieten aber keine vollständige Sicherheit. Bereits ein unbedachter Klick auf ein Internetbanner oder einen E-Mail-Anhang kann genügen, um den PC mit Schadsoftware zu infizieren. Diese verschlüsselt und sperrt wichtige Firmendaten oder entwendet und missbraucht sensible Kundendaten. Die finanziellen Schäden solcher Attacken können besonders für KMU schnell existenzbedrohend sein, wie folgender Fall aus der Praxis zeigt: Das Onlinevertriebssystem eines Mittelständlers wurde gehackt, und Kriminelle hatten über mehrere Monate hinweg unbemerkt Zugriff auf das Abrechnungssystem für EC- und Kreditkarten. In dieser Zeit kopierten und verkauften die Cyberkriminellen über 100.000 Kundendaten. Die Kosten für die Wiederherstellung und Aufrüstung der IT, für den Rechtsbeistand sowie für den Aufwand, der gesetzlichen Informationspflicht der geschädigten Kunden nachzukommen, beliefen sich auf einen mittleren sechsstelligen Betrag.

Das Beispiel zeigt, dass eine Cyberversicherung für Unternehmen jeder Größe Sinn macht. Eine gemeinsame Risikoanalyse mit dem Makler liefert eine gute Entscheidungsgrundlage über die Höhe der Deckungssummen und die notwendigen Versicherungsmodule. Dabei sollten folgende Fragen geklärt werden: Wie abhängig ist das eigene Unternehmen von der IT und wie lange könnte ein Ausfall maximal dauern? Über wie viele Kundendaten verfügt das Unternehmen, die für Cyberkriminelle interessant sein könnten? Könnte aus einer Attacke auch Dritten ein Schaden entstehen, etwa, wenn eine E-Mail mit Schadsoftware an einen Lieferanten weitergeleitet wird?

Neben dem angemessenen finanziellen Ausgleich für Eigen-, Fremd- und Vermögensschaden sollten Unternehmer vor dem Abschluss einer Cyberversicherung auch einen Blick auf die angebotenen Assistance-Leistungen sowie auf die Erfahrung des Versicherers werfen. So stellt Hiscox seinen Versicherungsnehmern einen Krisenmanagementplan zur Verfügung, der festhält, wie die Verantwortlichen im Ernstfall schnell und richtig reagieren. Angesichts der oft begrenzten Kapazitäten der eigenen IT ist es wichtig, sich bei einem Cyberangriff auf die Unterstützung durch externe Experten und Krisenmanager verlassen zu können. Mit der doppelten Verteidigungsstrategie aus regelmäßigen IT-Checks und Updates sowie einer Cyberversicherung für den Ernstfall bereiten die Gefahren aus dem Netz keine schlaflosen Nächte mehr.

Ole Sieverding, Product Head Cyber & Data Risks beim Spezialversicherer Hiscox