Auf der sicheren Seite?

Mit der Digitalisierung nimmt die Komplexität der IT-Infrastruktur in Unternehmen rasch zu. Gleichzeitig steigt jedoch die Gefahr, Opfer eines Cyberangriffes zu werden. Mit einer Cyberversicherung kann für den Ernstfall vorgesorgt werden. [...]

Mit einer Cyberversicherung kann für den Ernstfall vorgesorgt werden. (c) Pixabay

Cybersicherheit ist eng mit dem Ruf des Unternehmens, dem Vertrauen seiner Kunden, aber auch mit finanziellen Schadensrisiken verbunden. Das Bundeskriminalamt verzeichnete in den vergangenen Jahren einen rasanten Anstieg an Cybercrime-Angriffen um 20 bis 30 Prozent jährlich. 2018 waren es über 19.600 in Österreich, 2019 schon über 28.000 Fälle. Das Gesamtschadensvolumen im KMU-Bereich in den vergangenen zwei Jahren betrug rund 430 Mio. Euro. Und das sind nur jene, die von den Unternehmen gemeldet wurden – laut einer Studie lediglich 30 Prozent. Weltweit wird die Schadenshöhe durch Cybercrime auf 400 Milliarden Euro geschätzt, in Österreich sind es insgesamt 1,6 Milliarden Euro. Im Schnitt liegt die Schadenshöhe pro Fall bei rund 80.000, in einzelnen Fällen sogar bei 500.000 Euro.

Gerade Klein- und Mittelunternehmen bemerken häufig nicht, dass sie Opfer von Cybercrime geworden sind. »Ein großes Problem ist, selbst wenn Straftaten festgestellt werden, gelangen diese nur in wenigen Fällen zur Anzeige und somit zur Kenntnis der Sicherheits- und Strafverfolgungsbehörden«, sagt Othmar Thann, Direktor des KFV (Kuratorium für Verkehrssicherheit). Insbesondere kleine Unternehmen würden die Gefahr oft unterschätzen, Opfer von Cyberangriffen zu werden. Doch entgegen der landläufigen Meinung sind kleine Unternehmen durchaus attraktiv für Cyberkriminelle. »Die meisten Attacken erfolgen nicht gezielt, sondern automatisiert, d.h. die Angreifer kennen ihr Ziel nicht. Oft genügen schon ein paar einfache Dinge, um sich dagegen zu wappnen – neben technischen Sicherheitsmaßnahmen sind geschulte Mitarbeiter ein zentrales Präventionselement«, so Thann weiter.
Fehlendes Risikobewusstsein spiegelt sich gerade bei KMU wider: So werden laut einer Studie des KFV vom Dezember 2019 verdächtige Mails zwar gelöscht und Computer-Updates durchgeführt und fast alle Unternehmen besitzen ein Anti-Viren-Programm, doch darüber hinausgehende Maßnahmen wie ein externes Datenbackup (zwei Drittel der Unternehmen) oder der Besuch von Schulungen (nur 41 Prozent) werden weit seltener durchgeführt.

Trotzdem beschließen noch immer sehr wenige Unternehmen, sich gegen Hacker-Angriffe und Co. zu schützen. Das bestätigt auch die Erfahrung, die Experten der Wiener Städtischen im Zuge von Anfragen zum Produkt Cyber-Protect gemacht haben, einer speziellen Lösung für Klein- und Mittelunternehmen.

KMU unterschätzen Gefahrvon CyberAttacken

Demnach achten weniger als ein Drittel der Unternehmen, mit denen die Versicherung in Kontakt war, auf die Verschlüsselung von Datenträgern und nur rund 60 Prozent verfügen über einen IT-Sicherheitsverantwortlichen. Dieser ist jedoch gemäß der Vorgaben der DSGVO verpflichtend. Die häufigsten Arten von Angriffen sind laut der Wiener Städtischen: Phishing (24 Prozent), Malware, Ransomware und Schadsoftware (22 Prozent) und Social Engineering (14 Prozent). Dabei kann man schnell Opfer einer Attacke werden wie ein Beispiel der Wiener Städtischen Versicherung zeigt: Es könnte passieren, dass der Mitarbeiter eines Hotels eine gefälschte Mail öffnet und auf den Anhang klickt. Daraufhin installiert sich ein Kryptotrojaner auf der Hotel-IT, die Buchungsplattform ist lahmgelegt, die Steuerung der Haustechnik und des Wellnessbereiches funktioniert nicht mehr. Mit einer entsprechenden Versicherung könnte dieser Fall innerhalb eines Tages gelöst werden. Die Versicherung übernimmt dabei die Kosten der IT-Spezialisten, die Überstunden des IT-Verantwortlichen des Hotels, den Betriebsunterbrechungsschaden durch den Buchungsentgang und den Preisnachlass, der den Gästen gewährt wird, weil sie den Wellnessbereich nicht nutzen konnten. Optional können sich Unternehmen auch gegen Reputationsschäden schützen – die Kosten für professionelles Krisenmanagement und die Leistungen einer Public Relations Agentur werden übernommen.

»Pro Tag kostet die Versicherung zwischen 50 Cent und einem Euro – die Versicherungssumme liegt bei 100.000 Euro«, sagt Doris Wendler, Vorstandsdirektorin der Wiener Städtischen Versicherung. »Cybercrime ist kein Delikt, das nur große Konzerne bedroht. Es ist wichtig, dass Österreichs KMU – das Rückgrat unserer Wirtschaft – erkennen, welche Bedrohung auf sie zukommt. Durch einen Feind, den man nicht sieht, der aber von Tag zu Tag besser und effizienter wird. Umdenken in Sachen Sicherheit ist ein Gebot der Stunde. Allein auf Sicherheitsmaßnahmen aus früheren Zeiten zu bauen, gefährdet die Existenz jedes Unternehmens«, sagt auch Rémi Vrignaud, Vorstandsvorsitzender der Allianz Gruppe in Österreich und Vizepräsident des österreichischen Versicherungsverbandes VVO.

Erhöhte Gefahr wegen Covid-19

Die Covid-19-Pandemie hat in den letzten Monaten eine neue Dimension von Cyber-Gefahren für Unternehmen eröffnet. In rasantem Tempo haben zahlreiche Firmen auf Home Office umgestellt. Doch Hacker nutzen es gerade jetzt aus, dass Mitarbeiter teils mit Eigengeräten im Firmennetzwerk arbeiten und in der heimischen Umgebung vielleicht nachlässiger sind als im Büro und die Sicherheitsstandards heruntergefahren wurden. Auch deshalb werden Cyberversicherungen immer interessanter für KMU.
Doch welche Faktoren sind den KMU beim Abschluss einer Cyberpolice besonders wichtig? Eine Studie der deutschen Gothaer Allgemeine Versicherung zeigt: Neben dem Preis, den 47 Prozent aller Befragten als Kriterium angeben, stehen vor allem die Serviceleistungen, die über die reine Kostenübernahme hinausgehen. So wünschen sich 45 Prozent der KMU Assistance-Leistungen im Schadenfall, also etwa die Vermittlung von IT-Experten. 41 Prozent schätzen die Rund-um-die-Uhr-Erreichbarkeit und 33 Prozent ist zusätzlich wichtig, auch schon vor dem Schadenfall mit Präventionsmaßnahmen wie einem Risikoscan unterstützt zu werden. Weitere 41 Prozent der Befragten geben zudem an, Wert auf einen flexiblen Versicherungsschutz zu legen, der sich individuell den Gegebenheiten ihres Unternehmens anpasst.

Stärken Versicherungen Cyberkriminalität?

Eine Diskrepanz eröffnet sich allerdings, wenn Versicherungen auf Lösegeldzahlungen eingehen. Wenn ein Unternehmen Opfer einer Cyberattacke wurde und wichtige Daten gesperrt worden sind, ist es vielleicht schneller das Lösegeld zu bezahlen, um den Geschäftsbetrieb wieder aufnehmen zu können. Vor allen In den USA ist das ein Thema, denn dort boomt der Markt mit dem Verkauf von Cyber-Versicherungen. »In den letzten Jahren ist der Markt auf einen geschätzten Wert von 7 bis 8 Milliarden Dollar pro Jahr angewachsen«, so Fred Eslami, stellvertretender Direktor bei AM Best, einer Kreditrating-Agentur, die sich auf die Versicherungsbranche konzentriert. Zwar geben die Versicherer keine Informationen über Lösegeldzahlungen heraus, doch hat das Medium ProPublica festgestellt, dass sie häufig den Forderungen von Angreifern nachkommen, selbst wenn Alternativen wie gespeicherte Sicherungsdateien verfügbar sind. Das FBI und Sicherheitsforscher sagen deshalb, dass die Zahlung von Lösegeldern zur Rentabilität und Ausbreitung der Cyberkriminalität beiträgt und in einigen Fällen letztlich zur Finanzierung terroristischer Regime führen kann.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*