• Geschäftsfrau im Laden mit Tablet

    Unternehmensrisiko Cyberattacken

Sie sind hier: Versicherungen /Unternehmens-Schutz
Cybersicherheit ist heutzutage ein Thema, das für Unternehmen jeder Größe von entscheidender Bedeutung ist. Insbesondere für kleine und mittlere Unternehmen (KMU) kann ein fehlender oder unzureichender Cyberschutz verheerende Auswirkungen auf die Geschäftstätigkeit haben. Cyberkriminalität hat sich daher innerhalb kürzester Zeit zu einem der größten Risiken für Unternehmen entwickelt. Prävention und Schutz vor Cyber-Angriffen sind für jedes Unternehmen ein Gebot der Stunde.

Warum benötigen KMU einen Cyberschutz?

KMU sind ein beliebtes Ziel für Hackerangriffe, da sie oft über weniger Ressourcen und weniger robuste Sicherheitsmaßnahmen verfügen als große Unternehmen. Cyberkriminelle kennen und nutzen die Einfallstore in die Unternehmen. Sicherheitslücken entstehen meist durch
  • mangelndes Risikobewusstsein,
  • mangelndes technischen Verständnis und
  • menschliche Schwächen.
Häufig wird auch unterschätzt, dass bereits einfache Maßnahmen die Sicherheit erhöhen können. Lücken im Cyberschutz können zum Verlust von Kundendaten, zu finanziellen Einbußen, zu Reputationsschäden oder sogar zur Schließung des Unternehmens führen. Dies sind existenzbedrohende Risiken.
In den letzten Jahren ist eine Zunahme von Cyberangriffen auf KMU zu verzeichnen. Eine repräsentative Forsa-Umfrage zu Cyber-Risiken unter Entscheidern kleiner und mittlerer Unternehmen im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) ergab, dass 30 Prozent der Unternehmen bereits von Cyber-Angriffen betroffen waren und 43 Prozent davon in der Folge ihren Betrieb vorübergehend einstellen mussten. Cyberattacken erfolgen beispielsweise durch:
1. Ransomware-Angriffe
  • Bei Ransomware-Angriffen installieren Cyberkriminelle eine Schadsoftware auf dem Computer oder Server des Opfers, die die Daten auf dem betroffenen System verschlüsselt. Der Angreifer fordert dann vom Opfer ein Lösegeld, um die Daten zu entschlüsseln und den Zugriff auf das System wiederherzustellen. Ransomware-Malware wird in der Regel über infizierte E-Mail-Anhänge, bösartige Links oder Exploits, die Sicherheitslücken in veralteter Software ausnutzen, verbreitet. Cyberkriminelle infizieren gern E-Mails von Unternehmen mit Malware, da sie wissen, dass der elektronische Posteingang in der Regel schnell überflogen, schnell geöffnet und schnell auf Links geklickt wird. Etwa 60 Prozent aller Cyberattacken finden ihren Weg über E-Mails in die Unternehmen. Mit verheerenden Folgen: Der IT-Branchenverband Bitkom beziffert den Schaden durch Datendiebstahl, Sabotage und Spionage in den vergangenen zwei Jahren in Deutschland auf 55 Milliarden Euro.
2. Phishing-Angriffe
  • Phishing-Angriffe auf Unternehmen erfolgen in der Regel über E-Mails oder Websites, die vorgeben, von vertrauenswürdigen Quellen wie Banken, Regierungsbehörden oder bekannten Unternehmen zu stammen. Die Angreifer versuchen, das Vertrauen der Mitarbeiterinnen und Mitarbeiter zu gewinnen und sie dazu zu bringen, auf Links zu klicken, Anhänge herunterzuladen oder persönliche/vertrauliche Informationen wie Benutzernamen und Passwörter preiszugeben.
     
    Eine besondere Form von Phishing-Angriffen ist das so genannte Whaling. Der Begriff stammt aus dem Englischen und bedeutet übersetzt "Walfang". Gemeint ist das "Fangen der dicken Fische". Potenzielle Opfer sind Selbständige, Personen in gehobenen Führungspositionen oder Mitarbeitende in Finanzabteilungen, die für Überweisungen zuständig sind. Diese Gruppen sind für Kriminelle attraktiv, weil sie über vertrauliches Wissen und besondere Befugnisse verfügen. Auch hier geht es darum, Zugang zu sensiblen, nicht öffentlichen Informationen wie Geschäftsprozessen, Kundeninformationen oder Zugangsdaten zu erhalten. Die Angreifer arbeiten dabei häufig mit Social-Engineering-Methoden. Sie sammeln Informationen über die Mitarbeitenden des Unternehmens, um diese dann gezielt mit personalisierten Nachrichten anzusprechen.

    Ein weiteres Phishing-Beispiel ist der so genannte "CEO-Betrug", bei dem sich der Angreifer als Geschäftsführer oder ein anderes hochrangiges Mitglied des Unternehmens ausgibt und einen Mitarbeiter auffordert, eine Überweisung oder Zahlung an einen vermeintlichen Geschäftspartner oder Lieferanten zu tätigen.
3. DDoS-Angriffe
  • Mit einem Distributed Denial of Service (DDoS)-Angriff versuchen Cyberkriminelle, ein Netzwerk, eine Website oder einen Server mit Hilfe einer großen Anzahl infizierter Computer (auch Botnet genannt) zu überlasten und damit unerreichbar zu machen. Die infizierten Computer, auch "Zombies" genannt, können durch verschiedene Methoden wie Malware, Phishing oder Exploits rekrutiert werden. Häufig nutzen die Angreifer Schwachstellen in der Netzwerk- oder Serverarchitektur aus. DDoS-Angriffe können schwerwiegende Folgen haben, insbesondere für Unternehmen, die auf ihre Online-Präsenz als Geschäftsgrundlage angewiesen sind.
Cybersicherheit und Cyberschutz beginnen daher für jedes Unternehmen – unabhängig von seiner Größe – lange vor einem Hackerangriff. Wichtige Maßnahmen sind unter anderem die regelmäßige Schulung der Mitarbeiterinnen und Mitarbeiter, der Einsatz von Firewalls und Antivirensoftware, die regelmäßige Aktualisierung von Software und Systemen sowie die Verwendung sicherer Passwörter und mehrstufiger Authentifizierungsverfahren.
Einen wichtigen Beitrag zum Schutz von Unternehmen leisten auch Cyberversicherungen wie der Spar­kassen-Cyber-Schutz Dieser hilft nicht nur im Schadensfall nach einem Angriff, sondern unterstützt Unternehmen mit umfassendem Experten-Know-how bei der Prävention.
 
Wie das konkret aussieht und warum Cybersicherheit gerade jetzt hochaktuell ist, erklärt Dr. Mirko Mehnert vom Vorstand der Sparkassen-Versicherung Sachsen im Interview.
cyberversicherung-mirko-mehnert

Herr Dr. Mehnert, Cyberattacken sind in aller Munde, die Cyberversicherung aber noch nicht. Woran liegt das?

Die Cyberversicherung ist in unserer Branche noch immer ein vergleichsweise neues Angebot und deshalb auch bei vielen Unternehmern noch nicht bekannt genug. Wir sind aber dabei, dies zu ändern.

Weil das Cyberrisiko nicht zu unterschätzen ist?

Richtig. Für Unternehmen ist es neben dem Risiko einer Betriebs­unterbrechung zur größten Gefahr geworden.

Wird die Gefahr unterschätzt, weil sie „nur“ virtuell daherkommt?

Genau deshalb ist sie schwieriger zu fassen. Einen „normalen“ Einbruch kann man sich vorstellen und verschließt deshalb Türen und Fenster. Ein Ein­bruch in Datensysteme ist schwerer vorstellbar. Aber Sicherheitsmaßnah­men sind hier genauso notwendig, nicht selten sogar existenziell.

Setzt Ihre Cyberversicherung deshalb bereits bei der Prävention an?

Unsere Cyberversicherung leistet viel mehr als das, was man von her­kömmlichen Versicherungen kennt. Sie hilft nicht nur bei Schäden nach einem Hackerangriff. Sie hilft zuerst einmal Unternehmen, ihre Systeme sicherer zu machen. Wir möchten da­mit vor allem kleine und mittelstän­dische Unternehmen unterstützen, die nicht über eigene spezialisierte IT-Bereiche verfügen.

Sie bieten dazu unter anderem einen Cyber- und Datenschutz-Führerschein an. Was verbirgt sich dahinter?

Cybersicherheit hat mindestens zwei Seiten - die technisch-organisato­rische und die menschliche - und funktioniert nur im Zusammenspiel. Umfragen belegen aber, dass 42 Prozent der Mitarbeiter kein ausrei­chendes Bewusstsein für IT-Sicher­heit haben. Im Präventionsbaustein unseres Cyber-Schutzes ist deshalb ein Mitarbeitertraining mit Zertifikat integriert.

Was passiert, wenn es trotz Vorsichtsmaßnahmen zum Hackerangriff gekommen ist?

Als Versiche­rung übernehmen wir die Kosten für die Schäden, die durch Datendiebstahl und dadurch bedingte Unterbrechung des Ge­schäftsbetriebs entstanden sind. Wir kommen auch für Schadenersatzfor­derungen von Dritten auf, die diese zum Beispiel wegen Datenmiss­brauch oder Lieferverzug geltend machen, und wehren analog einer Haftpflichtversicherung unberech­tigte Forderungen ab.

Hilft der Cyber-Schutz auch, Schäden für betroffene Unternehmen so gering wie möglich zu halten?

Ja. Wenn Daten ausgespäht oder ge­kapert wurden, kommt es darauf an, schnell die Ursachen zu klären, Schäden, zum Beispiel durch weite­re Verbreitung von Schadsoftware, zu verhindern, die Daten schnell wiederherzustellen und die Systeme wieder zum Laufen zu bringen. Hier unterstützen wir mit Know-how, vermitteln IT-Forensik-Experten und bezahlen diese auch. Dazu können auf Unternehmer nach einer Cyber­attacke noch Meldepflichten zukom­men. Kunden, Geschäftspartner und gegebenenfalls die Öffentlichkeit müssen informiert werden.

Kann die Versicherung auch hier unterstützen?

Auch hier gehen die Leistungen un­seres Sparkassen-Cyber-Schutzes weit über das bekannte Maß einer üblichen Ver­sicherung hinaus. Aus der Erfahrung, dass eine Cyberattacke im Ernstfall nicht mit der Wiederherstellung der Daten erledigt ist, haben wir in das Leistungspaket die Rechtsbera­tung durch Fachanwälte für IT- und Datenschutzrecht genauso mit auf­genommen wie die Unterstützung durch Kommunikationsexperten. Im Ernstfall kümmern wir uns auch um die Information von Kunden und Ge­schäftspartnern und halten so Unter­nehmern den Rücken frei, damit sie sich ganz auf die Wiederherstellung ihres Geschäftsbetriebes konzentrie­ren können.
Diagramm Einschätzung der Risiken von Cyberattacken
"Die Versicherungswirtschaft kann mit Cyberversicherungen das Risiko eines Hackerangriffs absichern – ein solcher Schutz setzt aber ein gewisses Maß an Cybersicherheit voraus. Hier hat gerade die mittelständische Wirtschaft die Potenziale bei weitem noch nicht ausgeschöpft.”
Jörg Asmussen, Hauptgeschäftsführer, Geschäftsführendes Mitglied des Präsidiums

Sparkassen-Cyber-Schutz

Schutz vor den Folgen von Cyberrisiken. Jetzt den Cyber-Sicherheitscheck machen.

mehr ...

Betreuer in Ihrer Nähe finden

Betreuer in Ihrer Nähe finden

Service Telefon

Das leistet eine Cyberversicherung:

Cyberversicherungen sind speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten.
Der Versicherungsschutz umfasst:
Tabelle Leistungsuebersicht Cyberversicherung

Entweder Sie suchen im Umkreis um Ihren Standort oder Sie suchen nach dem Namen des Beraters.

Entweder Sie suchen im Umkreis um Ihren Standort oder Sie suchen nach dem Namen des Beraters.