Cyber–Angriffe auf Unternehmen und Privatleute sind leider ein alltägliches Vorkommnis. Alleine über E-Mails verbreitet sich Schadsoftware millionenfach über der Globus – infizierte Links und Dateien lösen dabei häufig großes Chaos aus. Kleine und Mittelständische Betriebe sind von diesen Angriffen genau so betroffen wie große Konzerne und Einrichtungen. Allein die Ransomware „WannaCry“ aus dem Jahr 2017 hat bei den Betroffenen Gesamtschäden von geschätzt 1,5 Milliarden US-Dollar verursacht. Ein massiver DDoS-Angriff auf den Blogger Brian Krebs im Jahr 2016 kostete die Besitzer der betroffenen IoT–Geräte immerhin noch 323.000 US-Dollar.
Dabei braucht es nicht einmal grober Fehler, bis dem Betrieb enormer Schaden entsteht. Theoretisch reicht es schon, dass Sie einen infizierten Link anklicken – hat sich Schadsoftware erst einmal installiert, verbreitet sie sich über das Netzwerk auf andere Computer, USB-Sticks, externe Festplatten, Server usw.
Im Sinne der IT–Sicherheit kommen hier einige bedauerliche Faktoren zusammen: Erstens gibt es keine perfekte IT–Sicherheit. Cyberkriminelle verbringen jeden Tag damit, neue Sicherheitslücken in Software und Betriebssystemen aufzudecken. Handelt es sich um einen sogenannten „zero day exploit“ – also eine Lücke, die dem Softwarehersteller selbst unbekannt ist – können die Hacker machen, was sie wollen. Es können Wochen, Monate oder schlimmstenfalls Jahre vergehen, bis die Lücke gefunden und geschlossen wird. Betroffene Unternehmen können in diesem Fall nur daneben stehen und zuschauen, wie unter Umständen ihre Server abrauchen, private– oder Kundendaten verloren gehen, Datenbanken Verschlüsselung und Datenerpressung zum Opfer fallen. In diesem Strategiepool–Artikel wird das Vorgehen der Kriminellen und potentielle Risiken aus technischer Sicht eingehend erklärt.
Was tun beim Super–GAU?
Die Risiken moderner Computerkriminalität ist vielen Unternehmern nicht bewusst, bis sie vor dem Schaden stehen und sich verloren fühlen. Moderne IT–Sicherheit bedeutet für Betriebe zweierlei: Erstens, dass ein durchdachtes IT–Konzept heute überlebensnotwendig ist. Und zweitens, dass Sie sich für den Fall des Falles gegen das Risiko absichern sollten. Die Versicherer beginnen gerade, diesen Markt für sich zu entdecken. Dabei liegt ein besonderes Augenmerk nicht nur auf finanzieller Entschädigung, sondern auf handfester IT–Hilfe durch Sicherheitsexperten. Aus dem Umfang der angebotenen Leistungen wird auch klar, wie massiv die Folgen eines Cyber-Angriffs sein können.
So bietet ein Versicherer beispielhaft neben forensischen Untersuchungen auch gleich Kontakte zu PR–Beratern, um durch den Angriff entstandene Image–Schäden zu reparieren. Die harten finanziellen Schäden durch Betriebsausfall sind in einer solchen Versicherung natürlich ebenfalls abgedeckt. Und: Die Versicherung deckt nicht nur Schäden aus Viren, Spyware oder Verschlüsselungssoftware, sondern auch allgemeinere Cyberkriminalität wie die „Fake President“–Masche (der Angreifer gibt sich als Vorstand des Unternehmens aus und weist befugte Mitarbeiter z.B. per E–Mail an, Beiträge für einen angeblichen Wareneinkauf in das Ausland zu überweisen).
Eine umfassende IT–Infrastruktur gehört mittlerweile für viele Unternehmen zum Alltag – und es werden täglich mehr. Die Welt 2.0 stellt an Unternehmer ganz neue Herausforderungen in Sicherheit und Risikomanagement. Ich finde es erfreulich, dass Versicherer diesen Markt erschließen. Gerade in der Cyberkriminalität entstehen sehr schnell sehr hohe Schäden, die so in Zukunft zumindest etwas abgemildert werden.
Haben auch Sie empfindliche IT–Infrastruktur und erwägen die Möglichkeit einer Versicherung? Sprechen Sie mich darauf an! Außerdem freue ich mich über jeden Kommentar.
Für weitere Fragen hinterlassen Sie mir bitte am Ende des Beitrags einen Kommentar oder Sie vereinbaren direkt ein kostenfreies Erstgespräch. Alternativ können Sie sich per Direktnachricht (oder Mittels Kontaktformular) mit mir in Verbindung setzen.
In jedem Fall erhalten Sie schnellst möglich eine Antwort von mir.
Mit den besten Grüßen
Christian Ulrich LL.B.