Niemand ist vor Hackern, Piraten und Phishern vollständig geschützt. Im Frühjahr 2016 konnte Markus Sobau für einige Tage nicht mehr auf seinen Firmenserver zugreifen. Sie waren durch eine Schadsoftware verschlüsselt worden. Versuchte er ein Dokument zu öffnen, landete er auf einer Webseite, die ihn aufforderte, 500 Euro auf ein Konto im Ausland zu überweisen. Sei das Geld eingegangen, so versprach der Erpresser, werden die Daten wieder freigeschaltet.
Datenverlust: Wahnsinnig teuer und existenzgefährdend
So wie dem Finanzplaner und Geschäftsführer der Beratungsfirma Confina ging es inzwischen vielen Firmen. Sobau selbst hat schnell gehandelt: Sein IT-Fachmann machte alle Server und Festplatten platt und spielte Software neu auf. Sein Glück: Das Backup der letzten Vorgänge war nicht infiziert, sodass das meiste wieder hergestellt werden konnte. „Wir haben uns als unantastbar gesehen, waren immer vorsichtig bei Mailanhängen und hatten die neueste Anti-Viren-Software im Einsatz.“ Aber bei aller Vorsicht erwischte es ihn doch. Confina verlor durch diesen Angriff 2.000 Euro und eine Woche Zeit.
Trifft es Berater wie Sobau und sein Team geht Internetkriminalität ärgerlich aber glimpflich aus. Denkt man Technologieunternehmen, Autozulieferer oder Maschinenbauer ist der Verlust von Daten nicht nur ein Verstoß gegen das Bundesdatenschutzgesetz, sondern wahnsinnig teuer und möglicherweise existenzgefährdend. „Eine Horrorvorstellung, wenn sich Patente, Konstruktionszeichnungen und Maschinendaten auf einmal im Internet finden“, findet der 47-Jährige.
Gibt es beispielsweise keinen Zugriff mehr auf die Aufträge in der Warteschleife oder qualitätsrelevante Einstellungen kann so mancher Autozulieferer nicht mehr produzieren. Es drohen hohe Regressforderungen und gerichtliche Klagen, falls beschädigte Daten oder Schadprogramme auf andere übergegangen sind. Der Finanzwirt beobachtet, dass sich bislang zu wenige kleinere und mittelständische Unternehmen mit Cyberkriminalität auseinandergesetzt haben.
Sicherheitslücke Mitarbeiter
Experte für digitale Bildung, Sven R. Becker von der IMC AG, betont, dass es häufig die Mitarbeiter sind, die Internetstraftätern die Tür öffnen. „Ein angeklickter Anhang, eine runtergeladene Datei – viele Angestellte machen unbewusst folgenschwere Fehler“, sagt der 38-Jährige. Bei einem Architekturbüro in Stuttgart kam jüngst der Virus über ein als Bewerbung getarntes PDF ins Haus. Dabei ist es laut Datenschutz-Grundverordnung vorgeschrieben, die Angestellten einmal pro Jahr zu schulen und damit für Angriffe aus dem Netz zu sensibilisieren.
Viele von Beckers Kunden lassen ihre Belegschaft daher Online-Trainings absolvieren, die über klassische Einfallstore für Datendiebe informieren und Mitarbeiter die Gefahren klarmachen. „Es ist enorm wichtig, dem Personal aufzuzeigen, dass Daten heutzutage die neue Währung sind. Sie sind Wettbewerbsvorteil und wichtigste Grundlage für das tägliche Geschäft. Sie müssen gut geschützt werden, um Folgekosten zu vermeiden“, so Becker weiter.
Automatisierungsspezialist Festo ließ sich jüngst so ein Training konzipieren. Ganz spielerisch, anhand einer praxisbezogenen Geschichte, lernen Mitarbeiter, wem sie vertrauen können. „Häufig gehen selbst die ernsthaften Themen heutzutage in die spielerische Richtung“, weiß Becker. Beim Festo-Seminar für die Cyber-Security möchte sich scheinbar harmlos ein Eindringling mit den Mitarbeitern vernetzen. Im Laufe des Games zeigt sich aber, dass er sich nur an den Daten des Unternehmens bereichern will. Auch Markus Sobau ist Fan von Weiterbildungen. Nach seiner Erfahrung mit einem Cyber-Angriff absolvierte er eine Datenschutz-Ausbildung beim TÜV, um selbst mehr über technischen Datenschutz zu erfahren.
Cyber-Versicherungen boomen
Wer die Kosten für Betriebsausfälle, Strafen und Schadenersatzansprüche an eine Versicherung abtreten möchte, sollte streng den eigenen Bedarf analysieren und vor allem die Angebote vergleichen. „Teure Policen sind nicht unbedingt die Besten. Und günstige nicht unbedingt die Schlechtesten“, konstatiert Versicherungsexperte Sobau. Viele Versicherer wie HDI, AXA oder Hiscox reagieren mit sehr individuellen Angeboten.
„Die Konzepte und Preise sind oft sehr unterschiedlich, damit sollte man sich intensiv auseinandersetzen“, sagt der Stuttgarter Mittelstandsberater. Je nachdem, was der Versicherte abdecken möchte, ob Server, Cloudlösungen und Laptops ins Firmen-IT-System integriert sind, unterscheiden sich die Anforderungen an eine Versicherung sehr. „Auch über die Fälle, die die Versicherung nicht abdeckt, sollten Unternehmer nachdenken. Denn nicht jede Lücke muss abgesichert werden, wenn sie eine untergeordnete Rolle spielt“, so Sobau. Dann aber bewusst und mit einem Kostenvorteil verbunden.
Beim Versicherer AXA haben Unternehmen die Wahl zwischen verschiedenen Policen. Da wären auf der einen Seite Angebote, die für sich alleine Vermögensschäden durch Internetkriminalität betreffen. Auf der anderen Seite gibt es Zusatzversicherungen, die den Anspruch durch Dritte abdecken, beispielsweise wenn der Datenschutz verletzt wurde und sensible Daten öffentlich werden. Weitere Varianten, bei der etwa eine Betriebshaftpflicht um einen Cyber-Passus ergänzt wird, sind schon ab 200 Euro im Jahr zu haben. Die eigenständige Versicherung gegen Internetkriminalität kostet zwischen 1.000 Euro und je nach Risiko und Unternehmensgröße bis zu sechsstelligen Beträgen im Jahr.
Große, messbare Schäden
In manchen Fällen decke auch die Betriebshaftpflicht oder Elektronikversicherung einzelne Schadensfälle bereits ab. „Am Anfang der Überlegungen sollte für den Inhaber oder Geschäftsführer die Risikoabwägung stehen“, sagt Dirk Kalinowski, Produktmanager für IT- und Cyberversicherungen bei AXA. Danach sollte er seinen bisherigen Versicherungsschutz prüfen und etwaige Lücken mit entsprechenden Produkten schließen. Klar ist, dass Cyber-Versicherungen für fast alle Firmen wichtig sein können.
„Wenn die Geschäfte wegen eines IT-Ausfalls nicht weiterlaufen können, entsteht für das Unternehmen ein großer und oftmals messbarer Schaden“, sagt Kalinowski. Selbst technisch geprägte Firmen, wie Maschinenbauer, sind vor Cyber-Angriffen nie ganz geschützt. „Meistens gibt es eine Möglichkeit, sich auf ein Bearbeitungszentrum oder eine andere Maschine aufzuschalten. Wenn der Servicetechniker das kann, kann das auch der Hacker“, warnt der studierte Verfahrenstechnik-Ingenieur.
In diesem Jahr hat es die Finanzberatungsfirma von Markus Sobau erneut erwischt: Ein Mitarbeiter hat im Urlaub seine Mails gecheckt. Mit dem Firmen-Laptop über das W-LAN des Hotels. Dabei wurde, wie sich hinterher herausgestellt hat, sein Mailaccount kopiert und für den Versand dubioser Nachrichten verwendet. Der Account konnte gereinigt und wieder eingesetzt werden, allerdings habe das wieder Zeit und Nerven gekostet. „Die DSGVO ist keine sinnlose Schikane. Sie ist zwar lästig aber die mit ihr verbundenen Maßnahmen sind sinnvoll und wichtig“, konstatiert Sobau.