Studie zu Cyber-Attacken zeigt: Der Mittelstand unterschätzt das Risiko
Schon seit Wochen macht ein Cybercrime-Fall nach dem Nächsten Schlagzeilen. So wurde das Deutsche Zentrum für Luft und Raumfahrt Opfer eines Spionageangriffs auf Rüstungs- und Raketentechnik. Und noch „gruseliger“ ist ein aktueller Fall aus den USA: Dort versuchte ein Sicherheitsexperte medizinische Geräte wie Infusionspumpen, Computertomographen und Chirurgie-Roboter zu hacken und war bei fast jedem Gerät erfolgreich. Er konnte von außen die Kontrolle über die Einstellung übernehmen. Ein Einzelfall aus Übersee? Leider nein. Das zeigt eine neue Studie der PricewaterhouseCoopers Wirtschaftsprüfungsgesellschaft, die die Situation deutscher Unternehmen unter die Lupe nimmt.
Mittelstand im Fokus von Internet-Kriminalität
Teure Folgen von Cyberkriminalität
Was tun im Schadenfall? Absicherungsmöglichkeiten für Cyberrisks
Hacker-Angriffe und Schadenersatzforderungen seitens Dritter
Wie hoch das Risiko deutscher – vor allem mittelständischer – Unternehmen ist und wie das eigene Business vor den Schäden aus Internet-Kriminalität geschützt werden kann, steht heute bei uns von exali.de im Fokus.
Mittelstand im Fokus von Internet-Kriminalität
Schwarz auf weiß zeigt die Studie „Wie steht es um die Informationssicherheit im deutschen Mittelstand?“ der PricewaterhouseCoopers Wirtschaftsprüfungsgesellschaft für die 405 Unternehmen befragt wurden: Es sind nicht nur die „Global Player“ und großen Konzerne, die ins Visier von Hackern geraten. Mittelständische Unternehmen sind fast ebenso häufig Opfer von Cyberattacken.
So wurde fast jeder fünfte (!!!) Mittelständler in Deutschland schon einmal zum Opfer von Hackern, Datendieben oder Cyber-Spionen. Die genauen Zahlen: 24% der befragten Großunternehmen und 21% der mittelständischen Unternehmen berichteten von Cyberattacken.
Das Problem: Häufig sind sich „Mittelständler“ nicht bewusst, dass ihr Unternehmen für Cyber-Kriminelle durchaus interessant ist und setzen für Sicherheitsmaßnahmen nicht die nötige Priorität. Ein gefährlicher Irrglaube, wie auch die Studie zeigt – denn das macht sie nicht nur zum leichten, sondern auch beliebten Ziel von und für Cyber-Kriminelle: So gab etwa ein Fünftel der Befragten an, gar keine Prozesse zum Schutz von Daten und IT-Systemen implementiert zu haben, ein weiteres Fünftel folgt keinen etablierten Standards.
„Präventionsmaßnahmen werden von den mittelständischen Unternehmen zweifellos vernachlässigt. (…) Es ist davon auszugehen, dass etliche Attacken von den Unternehmen gar nicht bemerkt werden, weil erforderliche Monitoring- und Kontrollverfahren fehlen“, deutet Derk Fischer, PwC-Partner und Experte für IT-Sicherheit, die Ergebnisse der Studie.
So gaben von den Unternehmen, die Opfer einer Cyberattacke waren, zudem 58% an, dass sie nicht wissen, welche Bereiche von dem Angriff betroffen waren.
Teure Folgen von Cyberkriminalität
Wer nicht weiß, welche Daten durch einen Cyberangriff betroffen wurden (oder dass er überhaupt angegriffen wurde), kann logischerweise auch nur schwer seine Schutzmaßnahmen verbessern. Doch das kann teure Folgen haben: 35% der Unternehmen kostete die Attacke bis zu 100.000 Euro.
Einer der in der Studie befragten Mittelständler gab sogar an, dass der entstandene Schaden bei einer Million Euro lag. Das sind Kosten, die einen Unternehmer nicht nur die berufliche, sondern auch die private Existenz kosten können.
Was tun im Schadenfall? Absicherungsmöglichkeiten für Cyberrisks
Waren die (bezahlbaren) Angebote zur Absicherung solcher Eigenschäden für mittelständische Unternehmen vor einigen Jahren noch eher rar, haben inzwischen einige Versicherer auf die veränderten Bedürfnisse ihrer Versicherungsnehmer in puncto Cyberrisks reagiert.
Auch wir von exali.de haben gemeinsam mit dem Spezialversicherer Markel an einem Konzept gearbeitet, dass den Anforderungen an die Absicherung der komplexen Risiken und Schäden im Fall von Hacker-Angriffen (seitens unbefugter Dritter oder seitens eigener Mitarbeiter) gerecht wird.
Entstanden ist daraus die optionale Datenschutz- und Cyber-Eigenschaden-Deckung zur Ergänzung unserer Berufshaftpflichtversicherung für die IT, Medien und (Rechts-) Beratungsbranche. Für unsere spezielle Lösung für Webshop-Betreiber wurde die Datenschutz- und Cyber-Eigenschaden-Deckung fest in die Webshop-Versicherung integriert. Diese optionale bzw. integrierte Cyberdeckung sichert teure Eigenschäden im Zusammenhang mit einem Hacker-Angriff, DoS-Attacken, Computermissbrauch, Diebstahl von Datenträgern sowie sonstigen Datenrechtsverletzungen ab. Dazu gehören:
- Hacker-Schäden an eigenen IT-Systemen
- Datenrechts-Eigenschäden (insbesondere Ausspähung personenbezogener Daten)
- Aufwendungen für eine (drohende) Unterbrechung im Business (Mehrkosten-Deckung) bzw. Ertragsausfall bei der Webshop-Versicherung
- Vertrauensschaden (vorsätzliche Schädigung eigener IT durch Mitarbeiter)
- Kosten für die Strafverteidigung (Internet-Straf-Rechtsschutz)
Kosten für die gegebenenfalls nötige Beauftragung von Computer-Forensik-Spezialisten, spezialisierten Anwälten, Beratern zur Information von Dateninhabern, Profis für PR & Krisenmanagement sowie Kreditschutz- und Kreditüberwachungsservices.
Hacker-Angriffe und Schadenersatzforderungen seitens Dritter
Erleidet ein Kunde des Versicherungsnehmers oder ein sonstiger Dritter durch einen Cyberangriff einen Schaden, so sind mögliche Schadenersatzforderungen bereits durch die in der Berufshaftpflicht oder Webshop-Versicherung enthaltene Vermögensschadenhaftpflicht versichert.
Zu Schadenersatzforderungen kann es insbesondere kommen, wenn dem Versicherungsnehmer Versäumnisse vorgeworfen werden können, die eigenen Systeme oder die Systeme des Kunden (wenn er als Dienstleister dafür verantwortlich ist) vor Missbrauch adäquat zu schützen.