Mit Cyberattacken lassen sich Betriebe lahmlegen. Diese Gefahr kommt in den Unternehmen an. Versicherer wittern ihre Chance.
pik. FRANKFURT, 30. Juli. Solche Fälle kann man sich nicht ausdenken, die kann nur das Leben schreiben: Ein Mitarbeiter aus der Informationstechnik überwirft sich mit seinem Unternehmen und verliert seine Stelle. Dabei wird allerlei schmutzige Wäsche gewaschen, so dass er wilde Rachegelüste entwickelt. Er legt sich einen Schlachtplan zurecht, den er akribisch in einem Aktenordner dokumentiert, und dringt mit seinem Insiderwissen in das Firmennetzwerk ein. Über das Darknet führt er seinen Rachekrieg. Auf einmal kommen Internetuser nicht mehr auf die Seite von Kommunen, für die das Unternehmen als Dienstleister tätig ist, sondern auf Pornoseiten. Jeden Tag entsteht mehr Chaos, die Unternehmensführung ist verzweifelt.
Der Fall hat im vergangenen Jahr den größten Cyberschaden eines Versicherers in Deutschland ausgelöst. 3 Millionen Euro betrugen die Kosten für IT-Forensik, Krisenkommunikation und für Betriebsunterbrechungen. "Ohne uns hätte das Unternehmen große Probleme gehabt, die Krise zu managen, und hätte wahrscheinlich einen äußerst dramatischen wirtschaftlichen Schaden davongetragen", sagt Robert Dietrich, Deutschlandchef des britischen Spezialversicherers Hiscox. Das beschriebene Risiko, dass sich ein frustrierter Mitarbeiter an seinem Arbeitgeber rächen will, sei real. Doch die meisten Unternehmen seien darauf nicht eingestellt. "Es gibt ein Urvertrauen in die eigene Belegschaft - nach dem Motto: Ich lege meine Hand ins Feuer", sagt er.
Hiscox war einer der Pioniere auf dem Markt und nennt sich mit einem Anteil von 10 Prozent an den Beiträgen hierzulande Marktführer in der Cyberversicherung. Jedes Jahr verdoppeln sich derzeit die Prämieneinnahmen. Die Entwicklung vergleichen viele mit der Managerhaftpflichtversicherung vor 30 Jahren. "Aber die Analogie trifft nicht zu", sagt Dietrich. "Denn dort kamen erst allmählich Schäden auf. In Cyber gab es sie von Anfang an." Momentan sind es zwar noch viele kleine Schäden und seltener existenzbedrohende Ereignisse wie im beschriebenen Fall. Aber Massenangriffe wie mit dem Locky-Virus, Wannacry oder Petya sind nicht unwahrscheinlich. "Das Risiko schlummerte lange im toten Winkel, weil Unternehmen die Attacke gar nicht bemerkt haben", sagt Andreas Berger, der im Vorstand des Allianz-Industrieversicherers AGCS für Zentraleuropa zuständig ist. Doch langsam werde die tatsächliche Gefährdung durch Hackerangriffe sichtbarer. "Inzwischen beobachten wir in einer von zehn Cyberpolicen tatsächlich Schäden."
Auch die Allianz hat früh Kapazität zur Verfügung gestellt. Jetzt profitieren Hiscox und AGCS von einem Wissensvorsprung, den sie für Deckungen und eine zielgenauere Tarifierung nutzen können. "Wir wollen Ideenführer sein", sagt Berger. Die Vielzahl an Daten erlaube besser, die eigene Exponierung gegenüber dem Cyberrisiko einzuschätzen. Anfangs waren hier einige Versicherer zögerlich, weil sie vor allem Risiko-Ballungen, also das Risiko aus gehäuft auftretenden gleichartigen Schäden, schwer kalkulieren konnten.
Die Allianz erhebt den Anspruch, immer Kapazitäten zur Verfügung zu stellen, wenn Konzerne um Schutz bitten. Hiscox dagegen ist über Makler vor allem in mittelständischen Betrieben gut vertreten. Hier wie dort hat die europäische Datenschutz-Grundverordnung eine neue Dynamik entfacht, da sie Risiken des Datenmissbrauchs transparenter gemacht und Kosten bei Verstößen neu beziffert hat. "Durch die Verordnung spüren wir Rückenwind", sagt Hanno Pingsmann, der in Berlin den volldigitalisierten Mehrfachagenten Cyberdirekt gegründet hat, der für Mittelständler nach geeignetem Versicherungsschutz sucht.
Doch obwohl das Bewusstsein zunehme, sei das Wissen in Teilen noch rudimentär. Ein Jahr nach den Petya-Cyberattacken gegen den Pharmakonzern Merck und den Logistiker Maersk hat er eine Befragung unter 300 Unternehmen veranlasst. Das Ergebnis: Nicht einmal jeder fünfte Mittelständler fühlt sich von einem Cyberangriff bedroht, in Befragungen von Konzernen dagegen erreicht das Risiko inzwischen Spitzenwerte. "Es gibt immer noch das Phänomen, dass man darüber nicht redet", sagt Pingsmann. Nur gut 31 Prozent hätten in den vergangenen zwei Jahren von einer Attacke gehört. In Umfragen des IT-Verbands Bitkom ist regelmäßig von mindestens 50 Prozent betroffenen Unternehmen die Rede.
Interessant sind auch die Ergebnisse der Befragung zu bevorzugten Sicherheitsmaßnahmen: Antiviren, starke Firewalls, starke Passwörter und regelmäßige Updates geben jeweils rund 80 Prozent der Befragten an. Daten-Backups finden schon nur noch zwei Drittel sinnvoll und die Verschlüsselung personenbezogener Daten sogar nur 41 Prozent. "Angriffe sind immer eine Kombination aus technischer Raffinesse und menschlichen Fehlern," sagt Vermittler Pingsmann. Bewusstsein unter den Mitarbeitern zu schaffen mindere die Bedrohung. Sich mit einem Versicherer in Verbindung zu setzen, könne schon aus Präventionsgründen sinnvoll sein.
Für den ehemaligen IT-Mitarbeiter im Ausgangsfall ging es nicht gut aus. Das Unternehmen kooperierte mit der Polizei, mit Hiscox verbundene Dienstleister schickten ihre Forensiker vorbei. Gemeinsam gelang es ihnen, den rachsüchtigen Hacker ausfindig zu machen. Und durch seinen Aktenordner mit minutiösem Schlachtplan stehen auch seine Chancen vor Gericht nicht besonders gut. Das Unternehmen aber würde es ohne einen der umtriebigen Makler oder Mehrfachagenten, die derzeit Betriebe mit Policen eindecken, vielleicht nicht mehr geben.
Quelle:
„Der Angriff kann auch von Innen kommen“ aus der F.A.Z. vom 31.07.2018 von Philipp Krohn © Alle Rechte vorbehalten. Frankfurter Allgemeine Zeitung GmbH, Frankfurt. Zur Verfügung gestellt vom Frankfurter Allgemeine Archiv