_ Je größer der Safe, desto stärker ist auch die Versuchung, ihn zu knacken. Diese Logik greift in der Daten-Kriminalität leider nur bedingt, denn laut einer repräsentativen Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) haben bereits 28 Prozent der befragten Unternehmen finanzielle oder materielle Schäden durch Cyberangriffe erlitten. Und hier wurden keine Konzerne mit Millionen Datensätzen befragt, sondern Kleinbetriebe und Mittelständler (KMU) in Deutschland. Nach dieser Lesart kann jedes vierte KMU ein Lied singen über Datenverluste und Industriespionage.
An mangelndem Gefahrenbewusstsein liegt es nicht, denn drei Viertel (75 Prozent) der Befragten sehen in Cyberkriminalität ein hohes Risiko. Aber man sieht sich dann im weiten Daten-Meer oft als zu kleinen Fisch an - nur 36 Prozent fürchten, selbst von Attacken getroffen zu werden.
"Das ist ein gefährlicher Irrglaube", betont GDV-Präsident Alexander Erdland."Die Kriminellen wissen, wie sie auch vermeintlich uninteressante Daten zu Geld machen - nämlich indem sie einfach die Daten sperren und Lösegeld kassieren. Und für einen solchen Angriff ist kein Unternehmen zu klein."
Höhere Ausgaben
So halten sich 80 Prozent der befragten Unternehmen für ausreichend geschützt gegen Cyberattacken, aber nur 56 Prozent verbieten das Verknüpfen von privaten Geräten mit dem Firmennetzwerk. Immerhin fast zwei Drittel (63 Prozent) verschlüsseln sensible Daten (siehe Grafik "Schutz in Unternehmen").
Dass dies nicht reicht, ist vielen klar. So wollen 64 Prozent den Schutz gegen Internetspionage intensivieren und in den kommenden zwei Jahren dafür investieren. Für dieses aufschlussreiche Stimmungsbild wurden Entscheider von 252 mittelständischen Unternehmen mit einem Umsatz von bis zu 50 Millionen Euro telefonisch befragt. Wie gut man selbst aufgestellt ist, zeigt unter anderem der Quick-Check für Cyber-Security auf der Website der GDV-Tochter VdS Schadenverhütung.
Muster für Verträge
Wegducken ist also keine wirksame Taktik. Deshalb lud der GDV zur ersten Cyber-Security-Konferenz der Branche nach Berlin, um ein gemeinsames Vorgehen anzustoßen. Denn auch die Versicherungsbranche tut sich mit dem Thema schwer, zumindest solange es um das Bündeln einer Versicherung für kleinere und mittelständige Betriebe geht. So präsentierte der Verband einige Eckpunkte, die als unverbindliche Musterbedingungen von Cyberversicherungen speziell für KMU bis 50 Millionen Euro Umsatz und für Freiberufler dienen könnten. Dabei werden sowohl Eigen- wie auch Drittschäden und Serviceleistungen definiert (siehe Grafik:"Vorlage"). Eine solche Police greife laut dem Verband nicht nur bei Datenklau und Betriebsunterbrechungen, sondern übernehme auch Kosten für IT-Forensiker oder Krisenkommunikation. "Die Versicherungswirtschaft kann so als Teil der Lösung dazu beitragen, den Kampf mit den Cyberkriminellen aufzunehmen", ist Erdland überzeugt.
Interview
Peter Graß, Leiter Haftpflicht- und Kreditversicherung beim GDV Eine Frage der eigenen Ressourcen
_ Welcher Mindestschutz empfiehlt sich, wenn ein Unternehmen nach einer Cyber-Versicherung sucht?Peter Graß: Die unverbindlichen Musterbedingungen des GDV sehen einen umfassenden Schutz vor, der Drittschäden, Eigenschäden sowie die Kostenübernahme und Vermittlung wichtiger Serviceleistungen einschließt. Ob ein Unternehmen auf Teile dieses Schutzes verzichten oder darüber hinausgehende Risiken versichern möchte, kann jede Firma nur individuell beantworten._ Wenn meine Firma selbst von Internet-Spionage betroffen ist, welche Maßnahmen kann ich als Kleinunternehmen selbst einleiten und wo sollte ich auf einen Dienstleister zurückgreifen (Datenwiederherstellung, Krisen-PR, Mitarbeiter-Information, rechtliche Schritte etc.)?P. Graß: Bei den meisten Kleinunternehmern dürfte das nötige Know-how in der IT-Forensik, der Krisenkommunikation und im IT- und Datenschutzrecht nicht vorhanden und/oder die personellen Ressourcen schnell erschöpft sein. Damit Kleinunternehmen im Ernstfall den Schaden so schnell wie möglich beheben können, sich gegenüber Kunden und staatlichen Behörden korrekt verhalten und Fehler vermeiden, beinhaltet eine Cyberversicherung nach dem Muster des GDV den entsprechenden Servicekosten-Baustein._ Wie wird sich das Angebot von Cyberversicherungen für kleine und mittelständische Unternehmen bis zum Jahresende entwickeln? Wird es dann bereits einen relevanten Markt von Angeboten geben, der auch die Preise für die Policen für KMU attraktiv machen wird?P. Graß: Mittelständische Unternehmen können sich schon heute gegen Cyberrisiken versichern, es gibt bereits Angebote am Markt. Wir gehen davon aus, dass in den kommenden Monaten das Angebot in diesem Segment größer werden wird. Wie dynamisch dieses Wachstum genau sein wird, können wir als Verband natürlich ebenso wenig vorhersagen wie die Preisentwicklung.Interview: rs
- Ausgabe 05/2017 Seite 62 (269.3 KB, PDF)