Ein perfekter Sturm an Cyber-Risiken braut sich für mittelständische Unternehmen zusammen, und viele von Ihnen sind nicht darauf vorbereitet.
In den Nachrichten werden überwiegend Datenpannen bei großen multinationalen Unternehmen und im Gesundheitswesen hervorgehoben, durch die Millionen von Datensätzen betroffen sind. Studien zeigen jedoch, dass der Großteil an Cyber-Schäden bei kleineren Unternehmen entsteht. NetDiligence, ein Beratungsunternehmen auf dem Gebiet der Cyber-Sicherheit, stellte in seiner fest, dass 71 % der Schadensersatzansprüche von Firmen mit einem Umsatz von weniger als 2 Milliarden Euro stammten. Der Großteil der Schadenersatzzahlungen entfiel dabei auf forensische, rechtliche und regulatorische Kosten.
Da großen Firmen mehr Ressourcen für Sicherheitstechnik und Cyber-Schutz zur Verfügung stehen, fällt es Hackern immer schwerer, sie anzugreifen. Was machen Cyber-Kriminelle also? Um Schwachstellen auszunutzen und ihre Fähigkeiten zu perfektionieren, suchen sie sich leichtere Angriffsziele: kleine und mittlere Unternehmen. Viele Führungskräfte in mittelständischen Unternehmen glauben fälschlicherweise, dass sie nicht anfällig für Cyber-Kriminalität sind. Sie nehmen an, dass ihre Firmen zu klein und ihre Daten für Cyber-Kriminelle uninteressant sind. Mit weniger Ressourcen, kleineren IT-Sicherheitsteams und einer größeren Attraktivität für Cyber-Kriminelle sind mittelständische Unternehmen jedoch einem vergleichsweise höheren Risiko ausgesetzt.
In diesem Segment steht viel auf dem Spiel. Laut des Forschungszentrums sind mittelständische Unternehmen ein wichtiger Motor für das Wirtschaftswachstum. Sie stellen mehr als die Hälfte (59,4%, Quelle: IfM Bonn) aller Arbeitsplätze in Deutschland und tragen fast ebenso viel zum Bruttoinlandsprodukt bei. Das National Center definiert Firmen mit Umsätzen zwischen 10 Millionen und 1 Milliarde Euro als mittelständische Unternehmen. Allein in den USA hat es über 200 000 mittelständische Firmen erfasst.
Selbst wenn ein Cyber-Angriff nicht zu Betriebsunterbrechungen führt, können die Kosten, die für die kriminaltechnische Untersuchung und die Benachrichtigung betroffener Kunden anfallen, schockierend hoch sein. Die Auswirkung auf die Bilanzen kann die Unternehmensplanung zu Fall bringen und zu Arbeitsplatz- und / oder Kundenverlusten führen.
Laut dem betrugen die durchschnittlichen Kosten einer einzigen Datenpanne im Jahr 2015 3,5 Millionen US-Dollar. Zudem führte eine Datenpanne im Schnitt zu Geschäftseinbußen in Höhe von 1,57 Millionen US-Dollar. Ein Teil der Kosten fällt durch die Untersuchung und Behebung des Störfalls an. In 47 US-Bundesstaaten gibt es sogenannte „security breach notification laws“ (Gesetze zur Informationspflicht bei Sicherheitsverletzungen) und in Deutschland das Bundesdatenschutzgesetz (BDSG). Unternehmen können diese Vorschriften bei einer Datenpanne nicht einfach ignorieren. Die Anschaffung von Benachrichtigungs- und Forensikdienstleistungen ist teuer, vor allem nach einem bereits geschehenen Cyber-Angriff. Wenn überhaupt, verfügen nur sehr wenige Unternehmen intern über die notwendigen Kenntnise, die rechtlichen, regulatorischen und technischen Probleme zu bewältigen, die mit Datenpannen einhergehen. Hilfe durch externe Experten ist fast immer empfehlenswert und erforderlich.
„Bei Eintritt eines Störfalls kann schon ein Anruf bei einer Telefon-Hotline ausreichen, um einen Reaktionsplan mit einem Expertenteam einzuleiten ...“
Ein Beispiel: Eine Anwaltskanzlei mit 25 Anwälten und einer relativ breiten Palette an Fachgebieten, einschließlich gesellschaftsrechtlicher Streitigkeiten, wird Opfer einer Datenpanne, durch die vertrauliche Informationen von hunderten Mandanten veröffentlicht werden. Die Kanzlei verfügt über rechtliches Fachwissen und kann gegebenenfalls selbst die Benachrichtigungsanforderungen umsetzen sowie Rückforderungen an die Verursacher stellen, falls diese identifiziert werden können. Aber die Kanzlei hat wahrscheinlich weder interne Mitarbeiter, die sich mit IT-Forensik und Datenwiederherstellung auskennen, noch Fachleute für Krisenmanagement, die den Reputationsverlust der Kanzlei minimieren können. Berufshaftpflichtversicherungen decken normalerweise keine Rechtsstreitigkeiten ab, die von Datenpannen ausgelöst werden und schließen direkte Kosten für das Krisenmanagement, wie Kosten für das Informieren der betroffenen Mandanten und Dritten, Kontenüberwachung, Forensik und Öffentlichkeitsarbeit, aus. Es ist durchaus möglich, dass die Kanzlei aufgrund des Störfalls hunderttausende Euro zahlen muss. Ein Cyber-Angriff kann unabhängig vom Geschäftsfeld des Unternehmens enorme Probleme verursachen und das Lebenswerk seiner Gründer oder Partner bedrohen.
Wie kann sich ein mittelständisches Unternehmen wie die obige Anwaltskanzlei also schützen? Es kann seine IT-Sicherheit stärken, um das Risiko eines Angriffs zu minimieren. Aber Unternehmen jeder Größenordnung haben weiterhin mit Cyber-Attacken zu kämpfen. Das Risiko kann also nicht vollständig eliminiert werden. Eine Cyber-Haftpflichtversicherung ist für fast jedes Unternehmen eine sinnvolle Lösung. Cyber-Versicherungen bieten Unternehmen großen Nutzen, nicht zuletzt weil sie Expertendienstleistungen unter Marktpreis sowie Entlastung für gebeutelte Geschäftsinhaber umfassen.
Die Zusammenarbeit mit einem erfahrenen Versicherer im Bereich Cyber-Haftpflicht kann eine der cleversten Kaufentscheidungen eines mittelständischen Unternehmens sein. Bei Eintritt eines Störfalls kann schon ein Anruf bei einer Telefon-Hotline ausreichen, um a) einen Reaktionsplan mit einem Expertenteam einzuleiten, das in mehreren Fachgebieten, einschließlich des Bereichs Versicherungsansprüche, tätig ist, und um b) die notwendigen finanziellen Mittel zu erhalten, sodass das Unternehmen sich auf das konzentrieren kann, was es am besten kann. Eine Cyber-Versicherung ist zwar keine umfassende Lösung für eine unzulängliche Sicherheitsvorsorge, aber sie kann eine gewisse Sicherheit bieten. Für mittelständische Unternehmen kann sie den Unterschied zwischen Geschäftserhalt und Geschäftsaufgabe bedeuten.
Über die Autoren
Richard Schulz ist Vizepräsident und Underwriting Manager der Cyber and Technology Group bei XL Catlin. Vor seinem Einstieg bei XL Catlin war er bei einem globalen Versicherungsunternehmen als Underwriter in den Bereichen Medien, Technologie, Datenschutz und Netzwerksicherheit tätig.
Marcel-Patric Braun ist Head of Germany, Austria & Central Eastern Europe für International Financial Lines. Vor seinem Einstieg bei XL Catlin war er bei einem globalen Versicherungsunternehmen Head Underwriting of Financial Lines und als Mitglied der Geschäftsleitung bei einem internationalen Maklerhaus tätig.
Quellen:
NetDiligence: „“
Institut für Mittelstandsforschung: „“
National Center for the Middle Market: „“
Ponemon Institute: „“
