Cyberattacken, Erpressungstrojaner, Datenlecks oder Angriffe auf die Privatsphäre – das Thema IT-Sicherheit ist so präsent wie nie zuvor. Zu Recht. Immerhin waren allein in den vergangenen zwölf Monaten 34 Prozent der mittelständischen Unternehmen in Deutschland Opfer eines Cyber-Angriffs. Ganze 39 Prozent registrierten zudem mindestens einen IT-Sicherheitsvorfall. Konkret: Ein Drittel aller Mittelständler wurde schon einmal ‚gehackt’. Zu diesem Ergebnis kommt neben anderen die Studie "Potenzialanalyse Unternehmen schützen, Risiken minimieren" von Sopra Steria Consulting und dem F.A.Z.-Institut.
Die Zahlen machen vor allem eines deutlich: Cyber-Kriminalität ist eine reale Bedrohung. Und zwar für jeden. Wer die seit Jahren massiv wachsende Bedrohungslage heute noch mit einem Schulterzucken abtut, handelt grob fahrlässig. „Bei mir ist nichts zu holen“, „es erwischt nur die Großen“ – die Argumente zur Selbstberuhigung sind zahlreich. Allem voran aber falsch. Ähnlich wie bei konventionellen Einbrüchen sind die Mehrzahl gehackter Unternehmen nämlich Zufallsopfer. Schließlich haben Hacker – einmal abgesehen von gezielten Angriffen auf die Daten der wirklich Großen – mehrheitlich keine ‘lohnenden Ziele’, sondern vielmehr ‘schlecht gesicherte’ Systeme im Visier. Und die finden sie eben primär dort, wo das Risikobewusstsein gering ist. Dort, wo keine Investitionen in moderne IT-Sicherheitssysteme, Beratung und entsprechenden Cyber-Versicherungsschutz getätigt werden. Also vor allem bei kleinen und mittelständischen Betrieben.
Die Zahlen machen vor allem eines deutlich: Cyber-Kriminalität ist eine reale Bedrohung. Und zwar für jeden. Wer die seit Jahren massiv wachsende Bedrohungslage heute noch mit einem Schulterzucken abtut, handelt grob fahrlässig. „Bei mir ist nichts zu holen“, „es erwischt nur die Großen“ – die Argumente zur Selbstberuhigung sind zahlreich. Allem voran aber falsch. Ähnlich wie bei konventionellen Einbrüchen sind die Mehrzahl gehackter Unternehmen nämlich Zufallsopfer. Schließlich haben Hacker – einmal abgesehen von gezielten Angriffen auf die Daten der wirklich Großen – mehrheitlich keine ‘lohnenden Ziele’, sondern vielmehr ‘schlecht gesicherte’ Systeme im Visier. Und die finden sie eben primär dort, wo das Risikobewusstsein gering ist. Dort, wo keine Investitionen in moderne IT-Sicherheitssysteme, Beratung und entsprechenden Cyber-Versicherungsschutz getätigt werden. Also vor allem bei kleinen und mittelständischen Betrieben.
Risikogruppe KMU
In Deutschland wurde in den letzten zwei Jahren jedes zweite kleinere Unternehmen mit bis zu 100 Mitarbeiter Opfer einer Cyberattacke, so der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom). Eine Forsa-Umfrage 2018 bestätigt zudem, dass elf Prozent der gehackten KMUs mehrfach von einem Cyber-Angriff betroffen waren, 43 Prozent der KMUs musste in Folge der Angriffe ihren Betrieb sogar zeitweise stilllegen. Eben dieses Risiko kann für Freelancer sowie kleinere Unternehmen schnell eine existenzielle Bedrohung darstellen. Denn: Ein Cyberschaden verursacht bei diesen Unternehmen einen durchschnittlichen Schaden von 50.000 Euro. Die risikoscheue Frage „Was sollen Hacker schon von mir wollen?“ hat vor diesem Hintergrund also keinerlei Relevanz mehr.
Das musste auch die Bäckerei Hesse aus dem Kreis Olpe spüren: Durch einen Hackerangriff wurde die Verwaltung stundenlang lahm gelegt, sämtliche Bildschirme blieben schwarz. Mit der Folge, dass ein Zugriff auf Kundenbestellungen von insgesamt 54 Bäckerei-Filialen nicht mehr möglich war. Sämtliche Bestellungen mussten telefonisch erfragt werden. Tatsächlich ist dies in der Bäckerbranche wohl kein Einzelfall, weil es grundsätzlich jeden treffen kann: „Die Angriffe sind häufig ungezielt, es werden E-Mails mit Schadsoftware gestreut, und dann ist es Zufall, wen es trifft“, erklärt IT-Spezialist Stephan Wollny aus Kirchhundem, der Telekom in der Security-Abteilung arbeitet. (Quelle: WP)
Einfallstore sind so zahl- wie einfallsreich
Häufig sind es ganz alltägliche Dinge, die aufgrund fehlender Sensibilität bezüglich der Cybersicherheits-Thematik zu massiven Schäden führen. Allem voran das Öffnen einer infizierten E-Mail. Diese werden ‚randomisiert’, sprich zufällig versendet. Wer hier versehentlich klickt, kann den Schaden nicht mehr aufhalten. Und tatsächlich, rund zwei Drittel aller Cyberschäden werden durch infizierte E-Mail-Anhänge, sogenannte Phishing-Mails, verursacht. (Quelle: Gesamtverband der Deutschen Versicherungswirtschaft e.V., GDV). Das perfide: Fake-E-Mails sind kaum noch vom Original zu unterscheiden. Und mangelnder Einfallsreichtum ist so ziemlich das letzte, was Hackern unterstellt werden kann. So werden beispielsweise auch vermeintliche Bewerbungen auf aktuelle Stellenanzeigen ein zunehmend beliebtes Tool für Cyberkriminelle. Doch auch anfällige Hardware wie USB-Sticks und Geräte, die per ISB-Slot aufgeladen werden – dazu zählen E-Zigaretten ebenso wie Smartphones – sind oftmals ein sperrangelweites Einfallstor für Viren, Spyware und Erpressungstrojaner.
Schäden entstehen – und lassen sich versichern
Schäden infolge eines Cyber-Angriffes sind primär finanzieller Natur. Doch auch Reputationsschäden wiegen schwer, wie der GDV bestätigt. Demnach zählen zu den häufigsten wirtschaftlichen Schäden durch Cyberkriminalität neben Aufklärungskosten (IT-Forensik) und Kosten zur Datenwiederherstellung die Betriebsunterbrechung und damit einhergehende Umsatzeinbußen, Datendiebstahl sowie Reputationsschäden und Vertrauensverlust. Gut, wer dann versichert ist. Doch eine Versicherung allein steht nur auf einem Bein. Anders gesagt: Sie deckt das, zugegeben enorme, Restrisiko ab, das nach einem umfassenden IT-Sicherheitskonzept noch bleibt.
Davon einmal abgesehen gilt: Aufklärung, Bewusstsein und Sensibilisierung – sprich der gesunde Menschenverstand – darf in keiner Unternehmensstrategie fehlen. Nicht bei den Großen. Und auch nicht bei den Kleinen. Ein Argument, dass Sie im Kundengeschäft gar nicht stark genug betonen können. Damit Sie hier überzeugen, bieten wir im Rahmen unserer Assistance-Leistungen ab sofort auch das spannende „Cyber-Präventionspaket Basis“ für alle Neu- und Bestandskunden an. Produktübergreifend und kostenfrei. Unterstützt werden wir dabei von unserem Partner Perseus, mit dem wir ein gemeinsames Ziel verfolgen: Ihre Kunden und deren Mitarbeiter in punkto Cyber-Sicherheit und Datenschutz von Grund auf zu sensibilisieren. Prävention ist das entscheidende Stichwort.
Schützen Sie Ihre Kunden vor Cyber-Angriffen – mit dem kostenfreien Cyber-Präventionspaket „Basis“:
Davon einmal abgesehen gilt: Aufklärung, Bewusstsein und Sensibilisierung – sprich der gesunde Menschenverstand – darf in keiner Unternehmensstrategie fehlen. Nicht bei den Großen. Und auch nicht bei den Kleinen. Ein Argument, dass Sie im Kundengeschäft gar nicht stark genug betonen können. Damit Sie hier überzeugen, bieten wir im Rahmen unserer Assistance-Leistungen ab sofort auch das spannende „Cyber-Präventionspaket Basis“ für alle Neu- und Bestandskunden an. Produktübergreifend und kostenfrei. Unterstützt werden wir dabei von unserem Partner Perseus, mit dem wir ein gemeinsames Ziel verfolgen: Ihre Kunden und deren Mitarbeiter in punkto Cyber-Sicherheit und Datenschutz von Grund auf zu sensibilisieren. Prävention ist das entscheidende Stichwort.
Schützen Sie Ihre Kunden vor Cyber-Angriffen – mit dem kostenfreien Cyber-Präventionspaket „Basis“:
- Datenschutz und Cybersicherheit: Mitarbeiter werden durch Video-Trainings gezielt geschult und erhalten nach Abschluss den „Führerschein für Datenschutz“ und den „Führerschein für Cybersicherheit“
- Risikobewusstsein: Mit einem entsprechenden Phishing-Test wird das Gefahrenbewusstsein der Mitarbeiter überprüft
- Passwortschutz: Ein “Passwort-Generator” unterstützt Ihre Kunden dabei, sichere Passwörter zu generieren
- Browserschutz: Browser werden auf den aktuellen Stand hin überprüft, ein Link zu vertrauenswürdigen Anbietern hilft Ihren Kunden, ein sicheres, aktuelles Update zu finden
- Handlungsempfehlung: Eine praktische Checkliste gibt Ihren Kunden praktische Hinweise und Anregungen für mögliche organisatorische und technische Maßnahmen im Unternehmen
Mehr Informationen zum kostenfreien Basis Paket sowie den Link zur Erstellung eines Accounts finden Sie hier.
Für das Produkt Markel Pro Cyber kann zudem der kostenpflichtige Zusatzbaustein „Cyber Prävention Premium“ – ebenfalls in Kooperation mit Perseus – hinzugezogen werden.
Bestandteile dieses Premium Pakets sind:
- Datenschutz und Cybersicherheit: Mitarbeiter werden durch Video-Trainings gezielt geschult und erhalten nach Abschluss den „Führerschein für Datenschutz“ und den „Führerschein für Cybersicherheit“
- Risikobewusstsein: Durch regelmäßige Phishing-Tests wird das Gefahrenbewusstsein der Mitarbeiter überprüft
- E-Mail-Schutz: Perseus überprüft auf Anfrage alle Anhänge verdächtiger E-Mails auf bekannte Malware. E-Mail-Adressen der Mitarbeiter werden regelmäßig einem Darknet-Scan unterzogen
- Passwortschutz: Ein “Passwort-Generator” unterstützt Ihre Kunden dabei, sichere Passwörter zu generieren
- Browserschutz: Browser werden auf den aktuellen Stand hin überprüft, ein Link zu vertrauenswürdigen Anbietern hilft Ihren Kunden, ein sicheres, aktuelles Update zu finden
- Expertenwissen: Relevante Themen werden durch Perseus in persönlichen Beiträgen vorgestellt. Ein Team aus erfahrenen Kundenbetreuern kümmert sich um alle Fragen der Mitarbeiter und unterstützt diese im Notfall
- Angriffsalarm: Bei Angriffswellen durch Viren, Trojaner oder Phishing per Mail werden die Mitarbeiter gewarnt
- Handlungsempfehlung: Eine praktische Checkliste gibt Ihren Kunden praktische Hinweise und Anregungen für mögliche organisatorische und technische Maßnahmen im Unternehmen
Fazit
Cyber-Kriminalität ist so facettenreich wie die Maßnahmen, ihr zu begegnen. Vorsorge ist zwar besser als Nachsorge – weshalb wir alle Kunden mit einem entsprechenden Schulungsprogramm kostenfrei für das Thema sensibilisieren und darüber hinaus immer wieder die Relevanz einer maßgeschneiderten IT-Sicherheitsstrategie betonen. Doch das Restrisiko bleibt. Denn kein Sicherheitskonzept ist zu 100 Prozent wasserdicht. Dafür sind professionelle Cyber-Angriffe zu gewieft. Und zu rasant in ihrer Entwicklung. An einer Cyber-Police kommt daher kein Unternehmen vorbei.