xx
Cyber Risiken? Was ist das.
Der Einbrecher kommt durch vieleTüren, die man auf den ersten Blick nicht sieht..
Computer-Kriminelle begehen den Diebstahl Ihrer Waren oder Daten ganz klassisch wie beim Einbruch in eine reale Lagerhalle aus Stahl und Beton.
Wie im richtigen Leben sucht sich auch der Cyber-Dieb die am schlechtesten gesicherte Tür zu Ihren Geschäftsräumen. Für den unberechtigten Zugang in Ihre virtuelle Unternehmenswelt muss der Dieb noch nicht einmal vor Ort sein. Der Angreifer ist im Cyber-Raum, also dem hoch komplexen System des World Wide Web, und attackiert sein Ziel aus der Ferne. Cyber-Attacken sind ein internationales Geschäft.
IT hat mehr Einfallstore als eine Halle Türen
Eine normale Lagerhalle hat vielleicht zwei große Tore und einen Pförtner, der das Kommen und Gehen am realen Ort kontrolliert. Aber wie viele „Pförtner“ hat Ihre IT, die die Warenbewegungen überwachen? Über das Web hat Ihr Unternehmen wesentlich mehr Einfallstore, die als solche gar nicht vorgesehen und nicht immer so wahrgenommen werden: Webseiten, E-Mail-Accounts, WLAN-Router. All dies sind Schnittstellen zur Außenwelt des Unternehmens – und Pforten auch für unerwünschte Besucher.
Normaler Kunde oder Dieb? Angreifer tarnen sich zum Beispiel als Kunden, die sich legal in Ihren Räumen umsehen, zum Beispiel als Käufer in Ihrem Online-Shop. Einmal in Ihre Geschäftsräume gelangt, nutzt der Cyber-Dieb dann aber die virtuelle Tür „Nur Personal“ und verschafft sich Geld, Werte oder sensible Daten. Böswillige Besucher in Ihrem Firmennetz treten als scheinbarer „Postbote“ auf – und schleppen mit einer offenbar harmlosen E-Mail einen Virus in Ihre IT ein. Damit kann Ihr gesamtes Daten- und Wissenswerk regelrecht vergiftet, Kundendaten und Betriebsgeheimnisse verloren gehen oder vernichtet werden.
Cyber-Einbrecher kommen – und bleiben
Klassische Diebe verlassen normalerweise den Tatort wieder, sobald ihre Taschen voll sind. Der Cyber-Dieb ist erheblich schädlicher: Er bleibt am Tatort und legt quasi Leitungen nach außen, durch die er Waren und vor allem Firmenwissen oft in einem stetigen Strom abfließen lässt. Das Problem ist: Der Diebstahl-Verlust bleibt oft lange unerkannt. Je später Cyber-Angriffe erkannt werden, desto größer der Schaden an Wissen und Waren.
Halten die Sicherungen?
Natürlich sind moderne IT-Systeme durch Fire-Walls, Verschlüsselungen und Zugangscodes gesichert. Es ist allerdings nur eine Frage des Grades seiner kriminellen Energie, ob und wie schnell dem Cyber-Dieb der Einstieg in Ihr geschütztes IT-Territorium gelingt. Je höher Sie die virtuelle Sphäre Ihres Unternehmens gegen unberechtigten Zutritt sichern, desto besser – eben wie bei der realen Lagerhalle. Wenn alle Sicherungen gegen den Angreifer versagen, muss der Verlust an Waren und Wissen versichert sein.
Unternehmen brauchen eine Cyber-Risiko-Versicherung
Warum? Einen klassischen Einbruch in Ihre Geschäftsräume oder eine Lagerhalle bemerken Sie sofort. Und: Sie können den Schaden, zum Beispiel gestohlene Waren, recht schnell bemessen. Immerhin begrenzt sich Ihr Verlust auf den Eigenschaden des Unternehmens. Aber wenn der Dieb aus dem Cyberspace kommt, bemerken Sie seine kriminellen Umtriebe oft erst viel später, weil Cyber-Angreifer schwer zu erkennen sind.
Neben Warenverlusten durch fingierte Bestellungen eines länger unsichtbaren Diebes, der sich eine fremde Identität gibt, nehmen Eindringlinge oft auch sensible Daten mit. Neben Ihrem Know How kopieren Angreifer auch sensible Kundendaten (Achtung! Mancher Dieb kauft möglicherweise in Ihrem Namen oder im Namen Ihrer Kunden bei anderen Unternehmen ein). Der Täter kann auch Ihr Mitarbeiter sein.
Bei gestohlenen Kundendaten entsteht Ihnen und vor allem den betroffenen Kunden ein so genannter reiner Vermögensschaden, der von klassischen Betriebshaftpflicht-Versicherungen nicht gedeckt ist (weil kein Sach- oder Personenschaden vorausgeht). Eigenes Vermögen schützt die Haftpflichtversicherung bekanntlich ohnehin nicht. Spezielle Cyber-Risko-Versicherungen decken diese eigenen und fremden reinen Vermögensschäden.
Warum benötigen Unternehmen eine Cyber-Risiko-Versicherung?
Nutzt ein Angreifer Ihre IT-Systeme, tarnt sich gar mit Ihrer Identität als Firma, und schädigt Kunden oder Geschäftspartner, dann entstehen Vermögensschäden. Diese reinen Vermögensschäden, denen also kein Personen- oder Sachschaden voraus geht, sind über die klassische Betriebshaftpflicht-Versicherung meist nicht gedeckt.
Die Cyber-Risiko-Versicherung für Unternehmen?
Das Wichtigste zuerst: Cyber-Versicherungen schützen Ihren guten Ruf als Unternehmen, wenn Sie nach einem Kundendaten-Diebstahl die Datenbestände neuordnen müssen (zum Beispiel tausende oder noch mehr Kundennummern). Außerdem bezahlt der Versicherer je nach Deckung Informations-Kampagnen bei Ihren Kunden, mit denen Sie über den Diebstahl a. rechtzeitig informieren und b. Schadenbegrenzung für die Kunden betreiben.
Cyber-Risiko-Versicherungen werden für fast alle Branchen und Unternehmen angeboten. Sie schützen Ihr Unternehmen gegen die Hacker, die in Ihre IT einbrechen oder DDoS– und Virenattacken. Ebenso umfasst der Versicherungsschutz Maßnahmen gegen Cyber-Erpressung und (auch unfreiwillige, weil aus dem Cyber-Space heraus betriebene) Datenschutzrecht-Verletzungen zu Lasten Ihrer Kunden oder auch Mitarbeiter-Daten.
Sozusagen doppelt sensibel und teuer sind geschützte Kundendaten, die sich ein Dieb aneignet. Zum einen, weil Kundendaten für das eigene Unternehmen einen hohen wirtschaftlichen Wert haben. Zum anderen, weil gestohlene Kundendaten das Unternehmen gefährden können. Nämlich sein Vermögen: Sein Geld und seinen guten Ruf.
Der Datendieb kann auch ein Mitarbeiter sein.
Beispiel 1. Online-Shop „verliert“ Kundendaten und Kreditkarten Ein interner Mitarbeiter (es kann aber auch ein externer Dieb sein) stiehlt Kundendaten samt Kreditkarten-Informationen eines Online-Shops. Daten-Forensiker müssen nun den Schaden-Umfang ermitteln: Wie viele und welche Daten wurden gestohlen? Wie und womit kann der Schaden wieder gutgemacht werden? Zunächst müssen Kundendaten neu gesichert, zum Beispiel Kundennummern geändert werden. Kunden und Kreditkarten-Unternehmen müssen angeschrieben werden. Dazu braucht es je nach Umfang eine spezielle Agentur für die Krisen-Kommunikation und ein Call-Center. Hinzu kommen Gerichts- und Anwaltskosten, um Schadenersatz-Ansprüche zu prüfen. Außerdem können Ordnungsgelder fällig sein, weil Ihr Unternehmen – wenn auch unfreiwillig – den Datenschutz verletzt hat.
Die Kosten?
Je größer das Unternehmen, desto höhere Kosten drohen nach einem Cyber-Angriff. Um einen Online-Shop wieder zu sichern und eigene wie Schäden der Kunden zu bereinigen, können schnell 200.000 Euro und mehr zusammenkommen:
Online-Shop (realer Fall)
Kosten zur Beseitigung eines Cyberschadens:
20.000 Euro kostet mehr Personal-Mehraufwand im eigenen Unternehmen.
20.000 Euro Kosten für IT-Forensiker und andere externe Aufwände.
140.000 Euro Umsatzausfall für die Zeit des Stillstands im Shop.
20.000 Euro PR- und Marketing-Mehraufwand, um den Reputations-Schaden zu begrenzen.
200.000 Euro Gesamtkosten
(hinzu kommen können Anwaltskosten und Bußgelder wegen Datenschutzverletzungen)
Beispiel 2. Virus im Warenwirtschafts-System
Ein Virus infiziert des Web-Server und stört oder zerstört gar die Funktionsfähigkeit eines Hochregallagers. Der Betrieb ruht über Stunden oder Tage, weil eingelagerte Waren nicht mehr gefunden werden können.
Kosten (realer Fall) Warenwirtschafts-System mit Virusbefall
300.000 Euro Betriebsunterbrechungs-Schaden.
45.000 Euro zur Bereinigung infizierter Daten.
15.000 Euro für Daten-Wiederherstellung aus Back-up-Sicherungen.
160.000 Euro für manuelle Auslagerung und Neuerfassung von Teilen der Lagerware.
175.000 Euro Vertragsstrafen wegen verspäteter Auslieferungen.
695.000 Euro Gesamtkosten
Cyber-Netze haben große Maschen
Eigene und Daten ihrer Kunden speichern und verarbeiten Unternehmen inzwischen in zunehmend automatisierten Verfahren. Ein Kunde bestellt online, gibt seine Daten ein und der Lieferprozess läuft automatisch. Bei dieser so genannten Dunkelverarbeitung gibt es keinen Menschen aus mehr, der einen prüfenden Blick auf diesen Bestellprozess wirft.
Natürlich hat jede IT heute eingebaute Plausibilitäts-Kontrollen, mit denen ehrliche und unehrliche Kunden unterschieden werden soll. Aber diese auf logische Prüfschritte (Algorithmen) aufgebauten Kontrollen können versagen. Gegen teure Folgen lückenhafter Schutzsysteme bieten Cyber-Risk-Versicherungen sozusagen Lückenschluss – buchstäblich. Ohne Versicherung bleibt der Cyber-Space ein Netz mit großen Maschen.
100 Türen
Mit dem Umstieg von Mensch auf Technologie und vor allem auf eine Kommunikation im virtuellen Raum öffnen sich nicht nur erwünschten Kunden, sondern auch unerwünschten Eindringlingen neue Möglichkeiten der Kriminalität aus dem anonymen Cyber-Raum.
Ein Geschäftshaus aus Stein und Beton hat vielleicht zwei oder drei Türen, an denen sich Einbrecher zu schaffen machen können. Ihre IT hat 100 Türen, aber möglicherweise kennen Sie nur 99 davon. Oder haben Sie 101 Türen? Es ist für das Unternehmen sicherer, alle, auch unsichtbare oder unbekannte, Türen zu versichern.
Auch zunehmend von den Unternehmen eingesetztes Cloud-Computing mit im Cyber-Raum ausgelagerten Daten kann mit dem Datenschutzrecht kollidieren: Entweder weil die dort durchgeführte Auftragsdatenverarbeitung nicht ausreichend geschützt (zertifiziert) ist. Oder wenn eine als sicher eingeschätzte Cloud angegriffen wurde und die Daten Ihrer Kunden in falsche Hände geraten.
Durch zunehmende Cyber-Attacken steigt für Unternehmen das Risiko von Sicherheitsverletzungen bis hin zum Verlust vertraulicher Personendaten. Außerdem sind regelrecht abgesaugte Geschäftsgeheimnisse und Know How sehr wertvolle Güter. Das Vermögensrisiko beschränkt sich nicht auf Ihre lokale IT und Angriffe gegen diese Firmen-Netzwerk.
Auch verloren gegangene Firmen-Notebooks, Smartphones, Speichermedien, Dokumente (in Form von Papier oder Bits and Bytes) sind Sicherheitslücken im erweiterten Netzwerk von Unternehmen und immer wieder eine Verlustquelle für Daten, die in falsche Hände geraten. All diese Datenorte, mögliche Geheimtüren und generell das Cyber-Risiko lassen sich nicht vollständig aufzählen und in To-do-Listen hineinpacken.
Die Wahrscheinlichkeit zählt
Da neben möglicherweise noch abschätzbaren(?) Eigenschäden auch Dritte, Ihre Kunden, von Datenverlusten betroffen sind, eröffnen sich Unternehmen nicht zu überblickende Vermögens- und Reputations-Schäden. Beides, das Geld und den guten Ruf Ihres Unternehmens können Sie letztlich nur schützen, wenn Sie mit Wahrscheinlichkeiten rechnen:
Cyber-Risiko ist kalkulierbar