Dossier: Cybersicherheit

Die wirtschaftlichen Schäden sind gigantisch: Auf mehr als 220 Milliarden Euro jährlich beziffert der Verband Bitkom die Schäden für die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage. Eine wesentliche Ursache dieser Schäden ist Cyberkriminalität, insbesondere eine Welle von Angriffen mit Ransomware. Die über das Internet verübten Straftaten werden dabei immer professioneller und häufiger - die Cyberangriffe treffen Landkreise, Krankenhäuser, Hochschulen und den Bundestag ebenso wie nahezu alle Bereiche und Branchen der deutschen Wirtschaft. Zuletzt sind die Cyber-Risiken erneut gestiegen: Die Sicherheitslücke Log4J hat die Cybersicherheit vieler Betriebe geschwächt; durch den von Russland begonnenen Ukraine-Krieg könnte das Risiko von Cyberangriffen russischer Hacker auch auf deutsche Unternehmen weiter gestiegen sein.

Gleichzeitig stagniert die Cybersicherheit der Unternehmen. Der Grund: Insbesondere deutsche Mittelständler haben eine falsche Wahrnehmung ihres Schutzes, wie eine aktuelle Forsa-Umfrage im Auftrag des GDV zeigt. Die Cyber-Risiken des eigenen Unternehmens werden unterschätzt, die Qualität der eigenen Cybersicherheit überschätzt. Als Folge dieser Haltung klaffen bei der überwiegenden Mehrheit der mittelständischen Betriebe Sicherheitslücken - so ist es kein Wunder, dass in den vergangenen Jahren jeder vierte Betrieb Opfer einer über das Internet begangener Straftat geworden ist und Cyber-Schäden erlitten hat.

Die E-Mail-Adresse ist das größte Einfallstor im Mittelstand

Wenn Hacker Unternehmen attackieren, ist am häufigsten eine E-Mail der Türöffner: Zwei Drittel der erfolgreichen Cyber-Angriffe auf kleine und mittlere Betriebe erfolgen über bösartige Codes, die sich im E-Mail-Anhang oder hinter Links verstecken. Für ein hohes Maß an IT-Sicherheit und umfassenden Schutz ist daher nicht nur die Technik wichtig – mindestens ebenso entscheidend sind gut geschulte und sensibilisierte eigene Mitarbeiter. Gelingt es ihnen, Spam-Mails und Phishing-Angriffe zu erkennen und abzuwehren, sinkt das Risiko kompromittierter Systeme deutlich. Denn: Deutlich weniger Cyberangriffe greifen die digitalen Systeme direkt an. Gezielte Hackerangriffe auf die digitalen Infrastruktur von Unternehmen machen nur rund ein Drittel der Cyberangriffe aus; DDoS-Attacken (DDoS=Distributed Denial of Service), bei denen die Angreifer IT-Systeme ihrer Opfer gezielt überlasten, sind mit fünf Prozent noch seltener.

Hackerangriffe sind eine Gefahr – aber doch nicht für uns! Diese Haltung ist in mittelständischen Unternehmen nach wie vor weit verbreitet. Wer nach den Gründen für diesen Irrglauben fragt, wundert sich über die Argumente: Das Unternehmen sei zu klein, um ins Visier von Hackern zu geraten, sagen die einen. Trotz einer Vielzahl persönlicher Informationen und vertraulicher Kundendaten wären die Daten für Cyberkriminelle nicht interessant, meinen die anderen. Außerdem sei das Unternehmen ohnehin gut gegen Cyber-Kriminalität geschützt. Das Problem ist: Nichts davon stimmt. Zu viele Unternehmen reagieren auf die Bedrohung von Cyberangriffen einfach mit dem frommen Wunsch, dass ihnen nichts passiert, anstatt tatsächlich in ihre digitalen Infrastrukturen zu investieren und ihre Cybersicherheit zu erhöhen.

Grafik herunterladen

Klar: Das Management von Cyber-Sicherheit kostet Zeit, Geld, Mühe. Wer ist überhaupt für den Schutz der Unternehmensdaten und den Bereich Cybersecurity verantwortlich? Wo werden welche Daten gespeichert? Wer darf wann auf welche Daten, Netzwerke und Systeme zugreifen? Dürfen Mitarbeiter/-innen ihre Rechner auch privat nutzen? Am eigenen PC arbeiten? Sind solche Fragen nicht geklärt, macht jeder, was er will – mit den entsprechenden Risiken. Damit Cybersicherheit fest im Alltag verankert wird, braucht es ein Bekenntnis der Chefetage, eine klare Organisation der Cybersecurity, transparente Informationen für die Mitarbeiter und ständiges Lernen: Wer Attacken aus dem Web dauerhaft standhalten will, muss technisch stets auf der Höhe der Zeit sein und die Mitarbeiter regelmäßig für Gefahren sensibilisieren.

Unterstützt werden die Unternehmen dabei von der Versicherungswirtschaft. Eine Cyberversicherung bietet den Unternehmen die Möglichkeit, das eigene Risiko zu minimieren. Der GDV sensibilisiert kleine und mittelständische Unternehmen mit zahlreichen Informationen im Rahmen seiner Initiative CyberSicher seit 2018 für die Gefahren der Cyberkriminalität und zeigt, wie sich kleine und mittlere Unternehmen schützen können. Dafür können sie etwa den Risikofragebogen des GDV nutzen. Mit den dort enthaltenen Fragen und Informationen können Unternehmen in kurzer Zeit herausfinden, wie sicher ihre IT-Systeme sind, wo es Schwachstellen gibt und wie diese geschlossen werden können.

Eine Cyberversicherung kann Unternehmen vor den finanziellen Folgen einer Cyberangriffs schützen. Die Versicherung leistet nicht nur bei Datendiebstahl und Betriebsunterbrechungen, sondern übernimmt auch die Kosten für die IT-Forensik und die Krisenkommunikation. Ein wichtiger Baustein einer Cyberversicherung sind die Service-Leistungen. Sie beginnen mit Hilfe bei der Prävention und mit Schulungen der Mitarbeiter/-innen, sind aber insbesondere im Fall einer Cyberattacke von unschätzbarem Wert: Ist das Unternehmen versichert, schickt die Versicherung IT-Experten/-innen, Kommunikationsberater/-innen und spezialisierte Anwältinnen und Anwälte. Die IT-Spezialisten/-innen stoppen den Angriff und sichern Beweise, Anwälte und PR-Spezialistinnen informieren Kunden, Lieferanten und Behörden, während PR-Maßnahmen den guten Ruf schützen. Die Versicherung tut also alles, um den Schaden so gering wie möglich zu halten und das Unternehmen so schnell wie möglich wieder sicher ans Netz zu bringen. Und genau dazu sind die meisten kleinen und mittleren Unternehmen aus eigener Kraft heute schlicht nicht in der Lage – das Netzwerk der Versicherung hingegen sehr wohl.

Vor dem Abschluss einer Versicherung bestehen die Versicherer in der Regel aber darauf, dass bestimmte Standards der Cybersicherheit erfüllt sind. Sie prüfen die digitale Sicherheit ihrer Kunden, weisen auf Sicherheitslücken hin und fordern – falls notwendig – Verbesserungen ein. Damit sinkt die Wahrscheinlichkeit eines erfolgreichen Angriffs und die damit verbundenen Schäden bleiben beherrschbar. So verbessern Versicherer die Cyber-Sicherheit der Wirtschaft und tragen dazu bei, den Standort Deutschland und jeden hier tätigen kleinen und mittelständischen Unternehmer zu stärken.

Um die IT-Sicherheit von Wirtschaft und Gesellschaft wirksam zu stärken, ist eine Kooperation aller Akteure erforderlich. Die Ampelkoalitionäre haben dafür vielfältige Ansätze entwickelt – von der Verpflichtung staatlicher Stellen, Sicherheitslücken beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden, bis hin zur Unterstützung mittelständischer Unternehmen bei Digitalisierung und IT-Sicherheit.

Die Versicherungswirtschaft ist für das Erreichen dieser Ziele ein starker Partner: Sie engagiert sich intensiv im Kampf gegen Cyberkriminalität, sensibilisiert insbesondere mittelständische Unternehmen für die Gefahren aus dem Internet und versichert das auch bei bester Prävention niemals vollkommen auszuschließende Risiko eines erfolgreichen Cyber-Angriffs.

Neben seiner Initiative CyberSicher hat der GDV im Rahmen seines Engagements für mehr Cybersicherheit mit den zuständigen Ministerien der Länder Baden-Württemberg und Nordrhein-Westfalen Ratgeber zu „Sofortmaßnahmen bei Cyber-Angriffen“ konzipiert und veröffentlicht.