Schutz nach dem Hackerangriff

Cyberversicherung als neuer KMU-Standard?

Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) will der Cyberversicherung auch im KMU-Umfeld zum Durchbruch verhelfen.

Sind Sie gegen die Gefahren der Cyberwelt versichert? Stellen Sie sich darauf ein, dass Ihnen diese Frage immer öfter gestellt wird. Große Konzerne kennen solche Cyberversicherungs-Policen schon länger. Deren IT-Abteilungen sind dafür aufgestellt, die vielfältigen Risiken für ihre Daten aktiv angehen zu können. So versichert sind aber nur wenige Unternehmen in Deutschland. Gerade viele kleine und mittelgroße Betriebe unterschätzen die Risiken der Computerkriminalität. Hacker nehmen jedoch durchaus auch Handwerker, Rechtsanwälte, Ärzte, kleine Fabriken oder das Bistro an der Ecke ins Visier. Ein lahmgelegter Betrieb, geklaute Daten und enorme finanzielle Schäden bis hin zur Betriebsschließung sind nicht selten die Folge.

Kann eine Cyberversicherung auch für kleine und mittlere Unternehmen die helfende Hand sein, die den Fall ins Bodenlose stoppt?
Kann eine Cyberversicherung auch für kleine und mittlere Unternehmen die helfende Hand sein, die den Fall ins Bodenlose stoppt?
Foto: Gajus - shutterstock.com

Die Versicherer wittern hier jedenfalls eine große Chance. KMU bilden die Masse der deutschen Wirtschaft. 96,6 Prozent aller Unternehmen haben weniger als 10 Millionen Euro Umsatz. Eine Initiative des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) will nun der Cyberversicherung zum Durchbruch verhelfen.

Im April 2017 hat man dazu mit den Musterbedingungen einen Bauplan für solche Cyber-Versicherungen erstellt. Kundendaten, Kontonummern, Patente, Fertigungspläne – auch bei KMU landet so gut wie alles im Computer. Dort sind sie in Form von Bits und Bytes ein lohnendes Ziel für kriminelle Hacker oder auch Konkurrenten: Daten werden ausspioniert, zerstört, gefälscht oder blockiert. Aber auch die eigenen Mitarbeiter können durch ihr Fehlverhalten gewollt oder ungewollt erheblichen Schaden verursachen.

Die neuen Musterbausteine für Cyberversicherungen sind die Schäden durch die Unterbrechung des Geschäftsbetriebs, die Wiederherstellung der Daten und die Ersatzansprüche Dritter, beispielsweise bei durchgeschleusten Computerviren. Nach dem Verbandsschema sind auch die Kosten für IT-Forensik, Krisenkommunikation und Meldepflichten nach dem Datenschutzgesetz abgedeckt. Mit der ab Mai 2018 in Kraft tretenden ePrivacy-Verordnung entstehen rechtliche Fallstricke, bei denen schnell empfindliche Bußgelder drohen.

Cyberversicherungs-Pflichten

Jedes Unternehmen muss seine Daten schützen, gleich ob versichert oder nicht. Es gilt, Gefahren für deren Bestand und Richtigkeit zu erkennen und so gut es geht abzuwehren. Das Datenschutzgesetz ist schon heute eine einschlägige Verfügung, die entsprechende Aufgaben an die IT stellt. Auch das Finanzamt arbeitet bevorzugt mit gesicherten Zahlen der Veranschlagten. Amtlich ausgedrückt gelten die Grunsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Gefragt ist also die IT-Sicherheit.

Auch die Cyber-Musterbedingungen des Verbands werden hier ausdrücklich. Zu den Verpflichtungen der so Betreuten gehören ein aktueller Virenschutz, das unverzügliche Aufspielen von Sicherheits-Patches und wöchentliche Backups des digitalen Arbeitsmaterials. Zu letzterem gehören auch die getrennte Lagerung von Original und Kopie, sowie regelmäßige Tests zur Wiederherstellung der Systeme. Gerade die WannaCry-Ransomware hat gezeigt, dass das Aufspielen der Sicherheitskopien in der Praxis oft nicht funktioniert. Umgekehrt haben sich sowohl aktuelle Signaturen von Antivirus-Programmen und aktuelle Patchstände auf gewarteten Betriebssystemen als zuverlässige Schutzschilder herausgestellt.

Für den Login an Computern fordert der Verband persönliche Kennungen, komplexe Passwörter und Beschränkungen für Administratoren. Nur mit Namen hinter den Logfiles kann die Verantwortung für schädliche Aktionen zugewiesen werden. Für die Handhabung von Passwörtern gibt es Hilfestellung von verschiedenen Stellen. Unternehmen befinden sich auf der sicheren Seite, wenn sie den Empfehlungen des BSI oder der Branchengrößen wie Microsoft und SAP entsprechen.

Ein Problemfeld besteht in den Accounts der Administratoren, denn der direkte Zugriff auf Betriebssysteme und Datenbanken ist der heilige Gral für alle kriminellen Hacker. Mindestens ebenso gefährlich kann aber der eigene Angestellte werden. Die Kassen fordern, dass die Vergabe solcher privilegierten Nutzerkonten nur in engen Grenzen erfolgen darf.

Besonders risikoreiche Systeme erfordern besondere Schritte. Das ist im Cyber-Muster immer der Fall, wenn die Rechner über das Internet erreichbar sind. Hier helfen Virenschutz und Firewall-Zonen speziell für Webserver. Als weiterer Fall werden Mobilgeräte genannt. Umsicht bei Laptops im Außendienst und Mobile Device Management für Smartphones können hier Abhilfe schaffen.

Nicht sehr sorgfältig handelt beispielsweise eine Unternehmensberatung, die seine Berater mit ungeschützten Notebooks ins Feld schickt. Einmal das Gerät im Zug vergessen - schon fallen einem unehrlichen Finder Namen und Finanzdaten der Kundschaft in die Hände. Wenn Schwergewichte der Industrie von so einem Verlust betroffen sind, können die Folgeschäden schnell in die Millionen gehen. In Rechnung gestellt werden beispielsweise Krisenkommunikation, Rechtsanwälte und das Monitoring von Bankkonten.

Mit einer handelsüblichen Verschlüsselung der Festplatte wären die Inhalte für Unbefugte nicht verwertbar gewesen. Noch nicht einmal nach der sonst so strengen neuen EU-Datenschutzverordnung wäre hier eine Meldung nötig. Insofern überrascht die Botschaft "Laptop-Diebstahl" eines grossen Sachversicherers, der laut eigner Webseite in einem solchen Fall die Regulierung übernommen hat.

Häufig bekommen IT Abteilungen noch Extra-Aufgaben von Gesetzgebern und Industrieverbänden. Das betrifft beispielsweise Kreditkarten- und Patienteninformationen, sowie Regeln für Zulieferer von Automobilbauern oder Stromversorgern. Auch die Versicherer können bei einer Befragung zum Schluss kommen, dass Sonderauflagen notwendig sind ehe ein Vertrag zustande kommt. Solche individuellen Klauseln sind bei den heutigen Cyberversicherungs-Policen großer Konzerne eher die Regel als die Ausnahme. Wer solchen Bedingungen nicht nachkommt, riskiert seinen Versicherungsschutz.

Inhalt dieses Artikels