Kostenfaktor Cybercrime

Fast jeder dritte Mittelständler war bereits Opfer einer Cyberattacke – oft mit hohen Folgekosten. Das belegt eine neue Studie. Wie Sie Ihr Unternehmen jetzt absichern und dabei auch die DSGVO im Blick haben.

IT-Sicherheit

usnahmezustand am Flughafen: Die Check-in-Automaten fallen aus, alle Gepäckbänder stehen still, die Sicherheitsschleusen können nicht mehr passiert werden. Und auch sonst läuft nichts mehr. Mehr als die Hälfte aller Flüge müssen schließlich am Boden bleiben. Genervte Fluggäste campieren im Terminal. Der wirtschaftliche Schaden ist immens: Betroffen sind nicht nur der Flughafenbetreiber, sondern auch Fluggesellschaften, Service-Betriebe und Einzelhändler, die im Airport angesiedelt sind. Auslöser des Chaos: der Cyberangriff einer radikalen Hackergruppe.

 

Das Horrorszenario war zum Glück nur eine Übung. Im Rahmen der gesamteuropäischen Cyber-Abwehr-Übung „Cyber Europe 2018“, an der IT-Sicherheitsbehörden und andere Sicherheitsorganisationen aus 30 Ländern beteiligt waren, wurde Anfang Juni erprobt, wie auf Cyberangriffe gegen kritische Infrastrukturen reagiert werden kann. Die Erfahrungen werden derzeit ausgewertet.

 

Existenzbedrohung für den Mittelstand

Cyberattacken sind längst eine reale Gefahr, nicht nur für kritische Infrastrukturen wie Flughäfen, sondern auch für mittelständische Unternehmen. Das belegt die in diesem Frühjahr vorgelegte Studie „Cyberrisiken im Mittelstand“ des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Demnach haben bereits 30 Prozent der deutschen Mittelständler durch Attacken von Cyberkriminellen wirtschaftliche Schäden erlitten; jeder zehnte Mittelständler (11 Prozent) ist sogar schon mehrfach Opfer von Cyberangriffen geworden. Und die Dunkelziffer ist hoch. Eine einzige erfolgreiche Cyberattacke kann im schlimmsten Fall einen Schaden von mehreren Millionen Euro verursachen. Kleine und mittlere Unternehmen kann das ihre Existenz kosten. Sicherheitsexperten registrieren am Tag mehrere Millionen Attacken auf die Netzwerkinfrastrukturen und IT-Systeme von Unternehmen und privaten Internet-Usern. Der Gesamtschaden für die Wirtschaft beträgt laut Branchenverband Bitkom rund 55 Milliarden Euro im Jahr – Tendenz steigend.

A

Folgekosten von Cyberattacken

Die Attacken führten zu wirtschaftlichen Folgen durch ...

Infografik zu den Folgekosten von Cyberattacken

Mehrfachnennungen möglich

Quelle: GDV

Kein Unternehmen ist als Ziel zu klein

Obwohl vielen mittelständischen Unternehmern das Risiko von Cyberangriffen durchaus bewusst ist, wird laut GDV die tatsächliche Gefahr oft unterschätzt. Ein Problem: Viele Mittelständler glauben, dass ihre eigene Firma zu klein sei, um ins Visier von Cyberkriminellen zu geraten, und vernachlässigen die entsprechenden Schutzmaßnahmen. Die Konsequenz: Gerade kleinere Unternehmen haben folgenschwere Cyberattacken zu beklagen.

 

Die Sicherheitslücken erkennen

Die Einfallstore für Angriffe aus dem Netz sind vielfältig. Am häufigsten aber sind E-Mails die Türöffner.
50 Prozent der erfolgreichen Cyberangriffe auf kleine und mittlere Firmen erfolgen über per Mail empfangene Anhänge oder Links. Nur bei jedem vierten Angriff drangen die Hacker über die Netzwerksysteme des Unternehmens ein.

Einfallstore für Cyberattacken

Erfolgreiche Angriffe erfolgten durch ...

Infografik zu den Einfallstoren von Cyberattacken

Mehrfachnennungen möglich

Quelle: GDV

Die Ziele der Cyberkriminellen sind ebenfalls vielfältig. Sie reichen von Ransomware-Attacken, bei denen ein Lösegeld (engl. „ransom“) für das Freischalten von zuvor im Unternehmensnetzwerk blockierten Daten erpresst wird, über den Diebstahl von sensiblen Firmendaten bis hin zu DDoS-Attacken (engl. Distributed Denial of Service), die durch eine gezielte Überlastung auf den Zusammenbruch der Netzstruktur hinwirken. Vielfältig sind auch die Cyberkriminellen bzw. ihre Auftraggeber: Die Bandbreite reicht hier von Staaten über konkurrierende Unternehmen bis zu technikaffinen Kriminellen und anarchischen Gruppierungen oder auch Einzelpersonen aus der Hackerszene.

So schützen Sie Ihr Unternehmen

  • Netzwerk / Software

    • Installieren Sie regelmäßig die von den Herstellern angebotenen Updates. Wenn Sie keinen IT-Mitarbeiter im Haus haben, setzen Sie am besten bei der Software-Installation von Betriebssystem, Browser usw. einen Haken bei „Automatische Updates“.

     

    • Nutzen Sie für alle Geräte ein aktuelles Virenschutzprogramm und eine Firewall eines bekannten Anbieters. Das gilt auch für mobile Geräte wie Smartphones oder Tablets.

     

    • Gewähren Sie dem Gros Ihrer Mitarbeiter ausschließlich Nutzerrechte. Die Administratorrechte sollten nur wenigen Personen, etwa dem IT-Verantwortlichen, bekannt sein.

     

    • Vergeben Sie sichere Passwörter. Wie Sie ein sicheres Passwort vergeben, erfahren Sie hier.

     

    • Wenn Sie im Unternehmen WLAN nutzen, sollte auch dies verschlüsselt sein. Vermeiden Sie die Nutzung unverschlüsselter, offener WLAN-Verbindungen, z.B. in Cafés oder Hotels.
  • E-Mail

    • Erste Regel: Anhänge in Mails mit unbekanntem bzw. verdächtigem Absender sollten nicht geöffnet werden.

     

    • Verschlüsseln Sie alle E-Mails mit sensiblen Inhalten (z.B. Unternehmenszahlen, Angebote, Konstruktionspläne).

     

    • Versehen Sie alle E-Mails mit einer digitalen Signatur. Werden E-Mails nicht signiert, so ist es für den Angreifer möglich, E-Mails zu fälschen, d. h. deren Inhalt unbemerkt zu ändern oder neue Nachrichten mit einer falschen Identität zu erstellen und somit beispielsweise Bestellungen auszulösen oder Rufschädigung zu betreiben.
  • Daten

    • Speichern Sie Ihre Daten auf mindestens zwei unterschiedlichen Speichermedien, zum Beispiel auf sicheren Servern vertrauensvoller Anbieter, etwa der Telekom.

     

    • Machen Sie regelmäßig Back-ups wichtiger Daten, damit Sie sie im Notfall schnell wiederherstellen können. Testen Sie, ob die Back-ups funktionieren.
  • Mitarbeiter

    • Schulen Sie alle Mitarbeiter regelmäßig zu den Gefahren des Internets. Engagieren Sie dafür am besten einen IT-Sicherheitsexperten.

Folgekosten – von Umsatzausfall bis Bußgeld

Der finanzielle Schaden, der einem Unternehmen durch eine Cyberattacke entstehen kann, lässt sich nur schwer beziffern. Er reicht von den direkten Kosten für die Beseitigung von Schäden an Hard- und Software über Umsatzausfälle bis zum Verlust geistigen Eigentums oder der Reputationsschädigung. Zudem drohen seit Inkrafttreten der EU-Datenschutz-Grundverordnung bestimmten Unternehmen Bußgelder, wenn sie einen Cyberangriff nicht binnen einer vorgeschriebenen Frist den Behörden melden (siehe Interview ganz unten).

 

Der GDV hat anhand eines Musterszenarios die Kosten eines Hackerangriffs auf einen Onlineshop mit dem Datendiebstahl von 50.000 Kreditkartendaten berechnet (siehe Grafik).

Was eine Cyberattacke kosten kann

Musterszenario: Hacker attackieren die Datenbank eines mittelständischen Onlineshops und erbeuten Kreditkartendaten von 50.000 Kunden.

Quelle: GDV

Die finanziellen Folgen des Cyberangriffs versichern

Unternehmen haben die Möglichkeit, sich gegen die finanziellen Risiken eines Cyberangriffs zu versichern. Zu den versicherten Posten gehören im oben gezeigten Beispiel die Kosten für die IT-Forensik, die Betriebsunterbrechung, die Information der Kunden, die Krisenkommunikation und etwaige Vertragsstrafen. Die Postbank vermittelt ihren Geschäfts- und Firmenkunden im Rahmen der HDI Sachversicherungen auch einen Baustein zur Absicherung von Cyberrisiken. Mehr dazu erfahren Sie hier. Weitere Details zum Baustein HDI Cyberversicherung erhalten Sie hier. Bei der Investition in die IT-Sicherheit, etwa neue Server, unterstützt Sie die Postbank mit dem Postbank Business Kredit bzw. bei größeren Vorhaben mit dem Postbank Investitionskredit.

Interview

„Es drohen Strafen in Millionenhöhe.”

Prof. Christoph Bauer,
geschäftsführender Gesellschafter ePrivacy GmbH, datenschutzrechtlicher Berater und Professor an der Hamburg School of Business Administration (HSBA)

  • Interview lesen

    Perspektiven: Mit der EU-Datenschutz-Grundverordnung (DSGVO) hat das Thema Sicherheit gegen Cyberangriffe eine neue Qualität bekommen. Welche Anforderungen stellt die DSGVO hier an Unternehmer?

     

    Prof. Christoph Bauer: Es werden sehr hohe Anforderungen an den Schutz aller Daten gestellt. Das war zwar in der Vergangenheit auch schon so. Viele Unternehmen haben aber erst jetzt gemerkt, was das tatsächlich bedeutet, zum Beispiel für die Ausstattung mit IT-Technik. Die Sensibilität für das Thema ist erst jetzt richtig da.

     

    Perspektiven: Hat sich durch die DSGVO etwas in Sachen Haftung bei Datenverlust durch Cyberangriffe geändert?

     

    Prof. Christoph Bauer: Ja. Vor allem gibt es verschärfte Meldeauflagen: In bestimmten Fällen müssen Unternehmen Datenverluste nach einem Cyberangriff binnen 72 Stunden an die zuständige Datenschutzbehörde melden. Das ist eine sehr kurze Zeitspanne. Das gilt immer dann, wenn personenbezogene Daten betroffen sind und ein Risiko für die betroffenen Personen bestehen kann. Innerhalb von 72 Stunden muss man also erkennen: Sind personenbezogene Daten betroffen? Besteht ein Risiko für die Personen? Und: Was muss man im Prozess ändern, damit solche Datenverluste künftig vermieden werden? Und dann muss man melden, andernfalls drohen hohe Strafen. Die Behörden können im Rahmen der DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes verhängen. Außerdem kann der Verlust sensibler Daten durch einen Cyberangriff auch Schadensersatzansprüche der Betroffenen zur Folge haben. Nämlich dann, wenn das Unternehmen fahrlässig oder vorsätzlich nicht ausreichend für die IT-Sicherheit gesorgt hat. Im Streitfall wäre es am Unternehmen, nachzuweisen, dass alle notwendigen Vorkehrungen getroffen wurden.

     

    Perspektiven: Wie können sich die Unternehmen auf die neuen Anforderungen einstellen?

     

    Prof. Christoph Bauer: Die Unternehmen müssen zunächst einmal überhaupt in der Lage sein, einen Datenverlust schnell festzustellen. Hier müssen viele Firmen deutlich nachrüsten und interne Prozesse entwickeln. Mein Rat: Prüfen Sie zunächst, was bislang getan wurde und wo Risikopotenziale liegen. Dann können Sie Maßnahmen und Prozesse entwickeln, um im Worst Case schnell zu handeln. Da entstehen unter Umständen ganz neue oder erweiterte Bereiche in den Unternehmen. Man wird hier womöglich zusätzliches Personal einstellen müssen oder sich wenigstens von außen die notwendige Expertise holen und dann in die Sicherheit des Gesamtsystems investieren müssen. Am besten ist es aber natürlich, wenn das Unternehmen gut gegen Cyberattacken abgesichert ist und es gar nicht erst zu einem Datenverlust kommt.

  • Bildnachweise

    Aufmacher-Video: iStockphoto / Arkadiusz Warguła; Foto: privat

Weitere Artikel

Finanzen

Arbeitsschutz – Führungs-kräfte in der Pflicht

Was die neue Norm für Arbeitsschutz-managementsysteme bringt und welche Unternehmen davon betroffen sind.

Panorama

Wenn Maschinen Lernen lernen

Wie intelligent Roboter & Co. werden können und wie deutsche Mittelständler vom globalen KI-Megatrend profitieren.

Perspektiven