Eine wachsende Zahl kleiner und mittelständischer Unternehmen möchten sich mit Cyberversicherungen gegen die Folgen von Netzkriminalität schützen. Vor einem Abschluss sollten sie jedoch ihre oft lückenhafte Abwehr stärken, um vertraglich vereinbarte Pflichten erfüllen zu können und obendrein drohende Bußgelder bei Datenpannen zu vermeiden.
Die Cyberkriminalität hat in Deutschland einen neuen Rekord erreicht. Die Zahl der festgestellten Fälle von Cyberkriminalität hat im Jahr 2019 die Marke von 100.000 überschritten: Laut Bundeskriminalamt (BKA) registrierte die deutsche Polizei im vergangenen Jahr insgesamt 100.504 Mal Fälle von Netzkriminalität, immerhin rund 15 Prozent mehr als im Jahr davor. Rund 100 Milliarden Euro Schaden könnten der Wirtschaft dabei entstanden sein, schätzt der Branchenverband Bitkom.
Für das laufende Jahr erwartet das BKA – auch wegen der zunehmenden Homeoffice-Arbeit – erneut steigende Zahlen der Cyberangriffe. Zuletzt waren Phishing-E-Mails und gefälschte Internetseiten mit Bezug zur Corona-Pandemie ein beliebter Trick von Hackern, in Systeme einzudringen. Das BKA zählte allein von Januar bis Juli dieses Jahres mehr als 600 neue Ermittlungsfälle von Internetstraftaten mit inhaltlichem Corona-Bezug. So sind etwa in Nordrhein-Westfalen viele hundert Unternehmen auf eine gefälschte Internetseite zur Corona-Soforthilfe hereingefallen.
Schutz gegen die finanziellen Auswirkungen von Hackerangriffen versprechen Cyberpolicen. Eine aktuelle Forsa-Umfrage im Auftrag der deutschen Versicherungswirtschaft zeigt, dass insbesondere bei Unternehmen mit einer Mitarbeiterzahl von 50 bis 249 Mitarbeitern das Interesse an derartigen Versicherungen zunehmend steigt. 2018 verfügten nur 22 Prozent dieser Unternehmen über eine Cyberversicherung oder dachten über den Abschluss einer solchen nach. Mittlerweile ist dieser Anteil mit 43 Prozent fast doppelt so hoch.
Auch bei kleineren Unternehmen mit zehn bis 29 Mitarbeitern wächst das Bedürfnis, sich gegen mögliche Schäden und Einnahmeausfälle durch Cybercrime zu versichern: 2018 wussten nur 70 Prozent dieser Unternehmen überhaupt, dass es Cyberversicherungen gibt. In diesem Jahr sind es gut 90 Prozent. Nur 17 Prozent der kleineren Unternehmen beabsichtigten vor rund zwei Jahren, eine Cyberversicherung abzuschließen. Heute sind es dagegen rund 35 Prozent.
Trotz erheblicher Lücken leichtfertig
Vor allem kleinere und mittlere Unternehmen dürften jedoch schlicht kaum versicherbar sein, weil ihre Sicherheitsvorkehrungen nicht den Versicherungsbedingungen entsprechen. Im Schadensfall müssten sie nachweisen, dass sie nicht gegen die im Vertrag aufgeführten Obliegenheiten verstoßen haben. Dazu müssten sie vor einem Hackerangriff entsprechende Vorkehrungen zum Schutz ihrer IT-Infrastruktur und ihrer Daten in dem Ausmaß getroffen haben, das die Versicherungen fordern. Die Erfahrung der vergangenen Jahre zeigt: Oft geben Unternehmen trotz erheblicher Lücken leichtfertig an, ihre Hausaufgaben erledigt zu haben. Die Folge sind verweigerte Zahlungen der Versicherungen im Schadensfall.
Der Grund: Die sogenannte Beweislast, wie sie in den meisten Cyberpolicen – oft im Kleingedruckten versteckt – den versicherten Unternehmen obliegt, kann es Unternehmen erschweren, sich bei Cyberangriffen schadlos zu halten. Denn Hackerangriffe können durch eigene Versäumnisse naturgemäß immer erleichtert werden. Der Versuch des Beweises, dass alles Notwendige zur Vermeidung getan wurde, scheitert dann schon bei kleinsten Mängeln in der IT-Absicherung. In der Folge verweist die Versicherung dann auf eine Obliegenheitsverletzung.
Insbesondere kleinere und mittlere Unternehmen sind in der Regel überfordert mit den Anforderungen von Cyberversicherungen. Ihre Absicherung steht wegen nicht vollständig befolgter Verhaltensnormen oft auf sehr wackligen Füßen. Erschwerend kommt hinzu, dass die internen Herausforderungen stetig wachsen: Im Zuge einer fortschreitenden Vernetzung, eines schnelleren Datenaustauschs und einer zunehmenden Automatisierung von Prozessen finden Hacker immer neue Einfallstore. Allein das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet derzeit mehr als 650 IT-Gefahren auf.
Die finanziellen Risiken durch Cybercrime reichen von Drittansprüchen durch Vertragsstrafen über Ertragsausfälle bis hin zu Lösegeldzahlungen bei Angriffen mit sogenannter Ransomware. Mit diesen Schadprogrammen versuchen Cyberkriminelle, Unternehmen zu erpressen: Sie verschlüsseln ihr System mit Crypto-lockern, die Dateien codieren, und verlangen für den Entschlüsselungscode ein Lösegeld, das nicht wenige Geschädigte zahlen.
Obendrein lauern Gefahren bei meldepflichtigen Datenschutzverletzungen. Waren bei einem Hackerangriff personenbeziehbare Daten zugänglich oder sind gezielt gestohlen worden, schreibt die Datenschutz-Grundverordnung (DSGVO) eine Meldung innerhalb von 72 Stunden vor. Verstöße gegen die Meldepflicht einer Datenschutzverletzung können gemäß DSGVO mit einem Bußgeld von bis zu zehn Millionen Euro oder von bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden – je nachdem, welcher Betrag höher ist.
Das schwächste Glied in der Kette
Aber auch eine zeitige Meldung schützt nicht vor einem Bußgeld für die eigentliche Datenpanne: Im September 2018 räumte British Airways ein Datenleck ein. Hacker hatten sich Zugriff auf die persönlichen Daten von mehr als 400.000 Kunden und Mitarbeitern verschafft. Zwei Jahre später verhängte die britische Datenschutzbehörde jetzt ein Bußgeld in Höhe von 22 Millionen Euro gegen die Fluggesellschaft. Als Begründung für die hohe Strafe führt die Aufsichtsbehörde an, dass unzureichende Sicherheitsvorkehrungen im Unternehmen vorherrschten und eine sehr hohe Zahl an Personen von dem auf diese Weise erst möglichen Hackerangriff betroffen war.
Nie zuvor war es angesichts der hohen Risiken durch Cybercrime und damit häufig einhergehenden Datenschutzverletzungen so wichtig, die unternehmenseigene IT-Sicherheit gegen Angriffe zu wappnen, zumal die DSGVO die Unternehmen eh gesetzlich verpflichtet, Datenverarbeitungen nach dem Stand der Technik abzusichern. Jedes Sicherheitskonzept ist dabei nur so gut wie das schwächste Glied in der Kette – und das sind in der Regel die Mitarbeiter. Öffnet auch nur ein Beschäftigter eine bösartige Mail oder klickt einen Link auf einer präparierten Seite an, kann das bereits eine Kettenreaktion auslösen und enorme Schäden verursachen. Gateway-Lösungen und andere technische Verfahren können zwar die Risiken minimieren, aber nie ganz ausschließen, denn Cyberkriminelle gehen häufig in Phishing-Mails auch den Weg der persönlichen Ansprache von Mitarbeitern.
Fallen solche genau adressierten Nachrichten durchs Raster der Sicherheitskontrolle, sind Cyberkriminelle ihrem Ziel meist bereits sehr nah. Ist der betroffene Mitarbeiter dann auch nur einen Moment unachtsam, in dem er etwa einen infizierten Anhang öffnet, ist das Ziel der Hacker meist erreicht. Bevor sich Verantwortliche in Unternehmen daher über Cyberversicherungen Gedanken machen, ist eine ehrliche Bestandsaufnahme der eigenen IT-Sicherheit Pflicht. Jeder einzelne Mitarbeiter sollte zudem sämtliche erforderlichen Sicherheits- und Datenschutzmaßnahmen kennen, um das Risiko von Datenschutzpannen und Cyberangriffen so wirksam wie möglich zu minimieren. Und die unternehmenseigene IT muss eine Abwehr auf angemessenem Niveau sicherstellen, wofür häufig externe Hilfe notwendig sein dürfte.
Erst, wenn technische Voraussetzungen und klare Verhaltensnormen fest im Unternehmensalltag integriert sind, ist ein grundlegender Sicherheitsstandard für jeden Arbeitsplatz überhaupt gewährleistet. Und erst dann macht eine Cyberversicherung für das nach wie vor hohe Restrisiko Sinn, ohne dass ein betroffenes Unternehmen Gefahr läuft, den Versicherungsschutz wegen Obliegenheitsverletzungen im Schadensfall nicht in Anspruch nehmen zu können oder sich zumindest in lange Auseinandersetzungen mit der Versicherung zu begeben. Es gibt sehr gute Cyber-policen im Markt. Diese jedoch zu finden und zu verstehen, ist sehr herausfordernd und aufwendig. Unternehmen sollten sich jedoch unbedingt die Zeit nehmen, die Angebote vor Vertragsabschluss sorgfältig zu prüfen.
Weil insbesondere kleine Betriebe, Selbständige, Handwerker und Freiberufler bislang offenbar nur selten Maßnahmen zum Schutz ihrer Daten und zur digitalen Abwehr umsetzen, möchte das Bundeswirtschaftsministerium das Bewusstsein für Cyberschutz schärfen. Die sogenannte Transferstelle IT-Sicherheit bietet erste Hilfestellungen und unterstützt konkrete Projekte zur IT-Sicherheit von kleinen und mittleren Unternehmen.
Autor Sascha Hesse ist CEO der Agor AG, die deutschland- und europaweit zu Datenschutz und IT-Sicherheit berät, und Partner und Rechtsanwalt der Agor legal Rechtsanwaltsgesellschaft.