Dramatische Angriffe auf die Cybersicherheit bedrohten in den vergangenen Jahren Gro\u00dfkonzerne genauso wie kleine und mittlere Unternehmen. Betroffene Betriebe stehen vor immensen finanziellen Sch\u00e4den \u2013 vom angekratzten Ruf ganz zu schweigen. Da kommt man nicht umhin, \u00fcber eine Cyberversicherung nachzudenken. Lohnt sich diese f\u00fcr jedes Unternehmen? Was leisten solche Versicherungen \u00fcberhaupt? Wir haben uns f\u00fcr Sie auf dem Markt umgesehen.<\/p>\n
Die meisten Cyberangriffe werden vielen Opfern nicht einmal auffallen: Es gibt viele Malware-Varianten, die sich unauff\u00e4llig verhalten, um den Datendiebstahl erst mal abzuschlie\u00dfen, bevor sie auffliegen. Bei anderen Cyberangriffen ist es unm\u00f6glich, sie nicht zu entdecken. Wenn auf dem Bildschirm eines Mitarbeiters pl\u00f6tzlich eine L\u00f6segeldforderung auftaucht, um verschl\u00fcsselte Daten wieder zu entschl\u00fcsseln, kann man den Erpressungstrojaner nicht mehr leugnen. Viele Angriffe dieser Art tauchten in j\u00fcngster Vergangenheit auf. Werfen wir einen Blick auf die spektakul\u00e4rsten Cyberangriffe des vergangenen Jahrzehnts:<\/p>\n
WannaCry geht als gr\u00f6\u00dfter Angriff mit einem Erpressungstrojaner in die Cybergeschichte ein. Die Ransomware sorgte daf\u00fcr, dass die Allgemeinheit pl\u00f6tzlich \u00fcber Cybersicherheit sprach. Durch Exploits der Hackergruppe Equation Group wurde ein Kryptotrojaner erschaffen, der sich rasant durchs World Wide Web und durch lokale Netzwerke verbreiten konnte.<\/p>\n
Binnen vier Tagen legte WannaCry \u00fcber 200.000 Rechner in mehr als 150 L\u00e4ndern lahm. Auch kritische Infrastrukturen waren darunter zu finden: in einigen Krankenh\u00e4usern verschl\u00fcsselte WannaCry s\u00e4mtliche Ger\u00e4tschaften einschlie\u00dflich medizinischem Equipment. In zahlreichen Fabriken standen die Produktionen still. WannaCry gilt mit gro\u00dfem Abstand als einer der gef\u00e4hrlichsten Attacken mit enorm weitreichenden Konsequenzen.<\/p>\n
Nicht zu spa\u00dfen war auch mit der Epidemie, die ExPetr, besser bekannt als NotPetya, ausl\u00f6ste. Wieder handelt es sich um Kryptoransomware. Diese Cyberattacke geht als die kostspieligste in die j\u00fcngere Geschichte ein. Von der Vorgehensweise unterschied sich nichts von dem Vorg\u00e4nger WannaCry: Wieder waren es die Exploits EternalRomance und EternalBlue, durch die sich ein Wurm durchs Internet bewegen konnte und unwiderruflich alles verschl\u00fcsselte, was ihm in den Weg kam.<\/p>\n
Die Anzahl infizierter Ger\u00e4te war deutlich geringer als bei WannaCry. Einer der urspr\u00fcnglichen Ausbreitungsvektoren f\u00fcr NotPetya war die Finanzsoftware MeDoc. Die Cyberkriminellen konnten Kontrolle \u00fcber den Updateserver der Software gewinnen. In der Folge erhielten viele Unternehmen, die mit dieser Software arbeiteten, Malware zugespielt, die als Update getarnt war. So konnte sie sich \u00fcbers ganze Netzwerk ausbreiten.<\/p>\n
W\u00e4hrend der Schaden von WannaCry auf sch\u00e4tzungsweise 4 \u2013 8 Milliarden US-Dollar beziffert wird, geht man bei NotPetya<\/a> von einem Schaden in H\u00f6he von 10 Milliarden US-Dollar aus. Damit bef\u00f6rderte sich NotPetya auf den ersten Platz der kostspieligsten globalen Cyberangriffe der Geschichte.<\/p>\n Die Malware Stuxnet kennen Sie sicherlich. Sie ist die wohl bekannteste Malware in unserer \u00dcbersicht. Als \u00e4u\u00dferst komplexe und vielschichtige Malware gelang es den Cyberkriminellen mit Stuxnet, die Leittechnik zum Anreichern von Uran im Iran au\u00dfer Kraft zu setzen. F\u00fcr mehrere Jahre wurde somit das Nuklearprogramm des Landes ausgebremst.<\/p>\n \u00dcber USB-Flashlaufwerke verbreitete sich der Wurm unmerklich und fand sogar Wege auf Rechner, die weder mit dem Internet noch mit einem Lokalnetzwerk verbunden waren. Nichts und niemand konnte bis dato mit der Raffinesse und Komplexit\u00e4t des Stuxnet-Angriffs mithalten.<\/p>\n Stuxnet geriet au\u00dfer Kontrolle. Hunderttausende Computer weltweit wurden infiziert \u2013 jedoch ausschlie\u00dflich jene, die Steuerungen und Software aus dem Hause Siemens verwendeten. Befand sich Stuxnet auf einem solchen Ger\u00e4t, wurden die Steuerungen kurzerhand umprogrammiert und physisch zerst\u00f6rt.<\/p>\n Sp\u00e4testens zu Beginn der Urlaubssaison beginnen sie: Die Warnungen dar\u00fcber, wie unsicher \u00f6ffentliche WLAN-Netzwerke in Bus und Bahn, an Flugh\u00e4fen oder in Caf\u00e9s sind. Offenbar meinen viele Anwender jedoch, dies treffe nicht auf WLAN-Netzwerke in Hotels zu. Ein fataler Fehler, der vielen Top-Managern und hochrangigen Mitarbeitern zum Verh\u00e4ngnis werden sollte, als die Spyware DarkHotel mit einzog.<\/p>\n Die Nutzer wurden w\u00e4hrend der Verbindung mit dem Hotelnetzwerk aufgefordert, ein Update f\u00fcr eine Software zu installieren. Wurde dieses scheinbar legitime Update installiert, wurden die Ger\u00e4te mit der Spyware DarkHotel infiziert. Die Cyberkriminellen hatten die Spyware wenige Tage zuvor ins Hotelnetzwerk eingeschleust. Da die Spyware Tastatureingaben protokolliert, gelingen den Cyberkriminellen gezielte Phishing-Angriffe.<\/p>\n Botnetze existieren schon sehr, sehr lange. Mit der Entwicklung des Internets der Dinge (Internet of Things, IoT) erhielten Cyberkriminelle aber neue Impulse f\u00fcr den Einsatz dieser Botnetze. Es kamen Ger\u00e4te auf den Markt, die in keinster Weise gesichert waren \u2013 keine Antiviren-Programme, die sie sch\u00fctzten, keine abgesicherten Netzwerke, in die sie eintauchten. Ein gefundenes Fressen f\u00fcr Cyberkriminelle!<\/p>\n Der Angriff durch die Mirai-Botnetze basieren auf einer Malware namens Mirai. Dies bedeutet auf Japanisch so viel wie „Zukunft“. Die Masseninfektion, die hier ausgel\u00f6st wurde, nahm unfassbare Ausma\u00dfe an. Die Besitzer dieses riesigen Botnetzes beschlossen im Oktober 2016, die F\u00e4higkeiten ihrer Malware auszutesten. Millionen digitale Router, Videorekorder, IP-Kameras und weitere „smarte“ Ger\u00e4te wurden dazu veranlasst, den DNS-Diensteanbieter Dyn mit Anfragen zu bombardieren, also einen DDoS-Angriff auszul\u00f6sen.<\/p>\n Dyn konnte dem nicht standhalten. Weder das DNS, noch die darauf angewiesenen Dienste waren verf\u00fcgbar. Von dem Angriff waren zahlreiche US-Giganten wie Twitter, PayPal, Spotify, Netflix und weitere betroffen. Dyn selbst konnte sich zwar wieder erholen, jedoch waren die massiven DDoS-Angriffe Ausl\u00f6ser f\u00fcr eine neue Diskussion \u00fcber Sicherheit bei smarten Gadgets.<\/p>\n Angesichts dieser Gefahren erscheint es sinnvoll, wenn sich Unternehmen mit der Cyberversicherung besch\u00e4ftigen. Im Folgenden geben wir Ihnen einige Denkanst\u00f6\u00dfe rund um die Cyberversicherung, zeigen Ihnen aber auch Alternativen auf.<\/p>\n Eine Cyberversicherung hat das Ziel, Sch\u00e4den finanziell aufzufangen, die durch verschiedene IT-Sicherheitsvorf\u00e4lle entstehen k\u00f6nnen. Dabei h\u00e4ngen die Art und H\u00f6he der Abdeckung von der jeweiligen Police ab. In einigen F\u00e4llen sind auch Sch\u00e4den Dritter mitversichert, etwa dann, wenn Ihre Organisation durch einen Hackerangriff Malware an Ihre Kunden weitergeleitet hat. Weitere Leistungen k\u00f6nnen sein:<\/p>\n Um eine solche Police abschlie\u00dfen zu k\u00f6nnen, ist in aller Regel eine Bestandsaufnahme der aktuellen Situation zur IT-Sicherheit im Unternehmen notwendig. Aber auch ein Mindestma\u00df an Schutz der hauseigenen IT-Infrastruktur m\u00fcssen Unternehmen vorweisen k\u00f6nnen. F\u00fcr Kleinbetriebe gibt es h\u00e4ufig Standardtarife, die eine solche Bestandsaufnahme wom\u00f6glich \u00fcberfl\u00fcssig werden lassen k\u00f6nnen. Der Markt f\u00fcr Cyberversicherungen ist sehr in Bewegung, weshalb es sich lohnt, Angebote zu vergleichen.<\/p>\n Die Vorteile einer Cyberversicherung ergeben sich, wenn man sich ihr Leistungsspektrum ansieht: Neben geldwerten Entsch\u00e4digungen und Kostenerstattungen erh\u00e4lt man auch Beratungen, wie im Falle eines Cyberangriffs vorzugehen ist. Unternehmen erhalten Experten wie Anw\u00e4lte, IT-Forensiker, Krisenkommunikatoren oder Datenschutzbeauftragte an die Seite, die sie mit Rat und Tat unterst\u00fctzen. In leistungsst\u00e4rkeren Tarifen kommt auch der Umgang mit L\u00f6segeldforderungen bei Erpressungsversuchen mittels Trojaner hinzu. Auch Sachsch\u00e4den an der IT-Hardware lassen sich in einigen Tarifen \u00fcbernehmen. Diese Flexibilit\u00e4t und das bedarfsgerechte Zuschneiden sind weitere Vorteile einer Cyberversicherung.<\/p>\n Erliegen Sie bitte jedoch nicht dem Gedanken, eine Cyberversicherung nimmt Ihnen die Aufgabe ab, Ihre IT-Infrastruktur sinnvoll abzusichern. Das Gegenteil ist der Fall: Um eine Cyberversicherung \u00fcberhaupt erst abschlie\u00dfen zu k\u00f6nnen, ben\u00f6tigt Ihre IT-Infrastruktur ein Mindestma\u00df an Sicherheit. Die verschiedenen Anbieter setzen unterschiedliche Ma\u00dfnahmen voraus. In aller Regel sind es jedoch die folgenden Kriterien, auf die Sie achten sollten:<\/p>\n Eine Cyberversicherung sch\u00fctzt Sie auch nicht vor dem Hackerangriff selbst, sondern lediglich vor seinen finanziellen Folgen. Auch die Kosten der Versicherung k\u00f6nnen als Nachteil genannt werden. Einem Bericht von Haufe<\/a> zufolge k\u00f6nnen die Kosten f\u00fcr eine solche Police zwischen 500 bis 100.000 Euro pro Jahr liegen. Die Pr\u00e4mie Ihrer Cyberversicherung h\u00e4ngt von verschiedenen Faktoren ab:<\/p>\n Angesichts dieses \u00dcberblicks \u00fcber die Vor- und Nachteile von Cyberversicherungen kommt man nicht umhin, sich zu fragen, wie sinnvoll der Abschluss einer solchen Versicherung ist. Wie gesagt: Vor dem Hackerangriff selbst bewahrt einen die Versicherung nicht. Wom\u00f6glich w\u00e4re es da sinnvoller, in einen eigens f\u00fcr die IT-Sicherheit Verantwortlichen zu investieren. Dieser kann schon vorher ansetzen und daf\u00fcr zust\u00e4ndig sein, Cyberrisiken wie Hackerangriffe durch Verschl\u00fcsselung und andere Ma\u00dfnahmen zu verringern. Welche L\u00f6sung f\u00fcr welchen Betrieb in Frage kommt, muss individuell gekl\u00e4rt werden. Behalten Sie jedoch im Hinterkopf, dass eine Versicherung dann hilft, wenn das Kind bereits in den Brunnen gefallen ist. Eine Fachkraft hingegen sorgt daf\u00fcr, dass es gar nicht erst soweit kommen muss.<\/p>\n Ob man sich f\u00fcr oder gegen eine Cyberversicherung entscheidet, sollte nicht unbedingt von der Unternehmensgr\u00f6\u00dfe anh\u00e4ngen. Interessant ist sie grunds\u00e4tzlich f\u00fcr jedes Unternehmen, welches mit sensiblen Daten umgeht und in denen der Gesch\u00e4ftsbetrieb von einer zuverl\u00e4ssigen Verf\u00fcgbarkeit abh\u00e4ngt. Die Entscheidung f\u00fcr oder gegen die Cyberversicherung sollte also in Abh\u00e4ngigkeit der Informationen gef\u00e4llt werden, die verarbeitet werden, sowie von der Abh\u00e4ngigkeit von der Verf\u00fcgbarkeit von Daten und der IT-Infrastruktur. \u00dcbrigens: Bei einigen Branchen verweigern sich auch die Versicherungsanbieter. Ist das Risiko zu hoch, wie es bei Finanzdienstleistern h\u00e4ufig der Fall ist, kann sich das Versicherungsunternehmen weigern, eine Cyberversicherung abzuschlie\u00dfen.<\/p>\n Gerade in KMU kann es vorkommen, dass es keinen einzigen Ansprechpartner f\u00fcr die IT gibt. Hier kann die Cyberversicherung eine wertvolle Erg\u00e4nzung sein: Viele Policen sind mit Notfall-Beratungen ausger\u00fcstet. Im Falle eines Angriffs werden entweder Experten ins Unternehmen geschickt oder unterst\u00fctzen zumindest telefonisch, um das weitere Vorgehen zu beratschlagen. Es gibt auch Policen, die das Einf\u00fchren sinnvoller Sicherheitsma\u00dfnahmen nach einer Cyberattacke beinhalten.<\/p>\n Unternehmen, die intern wenige oder keinen Ansprechpartner f\u00fcr die IT-Sicherheit haben, finden also auch beratende Unterst\u00fctzung in der Cyberversicherung. Firmen jedoch, die eigene IT-Experten besch\u00e4ftigen, sind oftmals gut beraten, deren Kenntnisse zur Abwehr zu nutzen. Eine M\u00f6glichkeit auch f\u00fcr KMU ohne eigene Fachkr\u00e4fte sind externe IT-Experten, die unabh\u00e4ngig von einer Cyberversicherung f\u00fcr das Unternehmen t\u00e4tig werden.<\/p>\n Eine Absicherung f\u00fcr den Fall der F\u00e4lle kann sinnvoll sein, in erster Linie sollte es jedoch darum gehen, bestehende Risiken auf ein Minimum zu senken.<\/p>\n Der Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV) listet aktuell 39 Anbieter f\u00fcr Cyberversicherungen<\/a> \u2013 Tendenz steigend. Die Angebote sind komplex und vielf\u00e4ltig. Der GDV beschreibt auf seiner Website<\/a> jedoch gut, was Cyberversicherungen standardm\u00e4\u00dfig abdecken sollten. Lesen Sie unbedingt auch das Kleingedruckte und achten Sie auf Fallstricke:<\/p>\n Cyberversicherungen kommen dann zum Tragen, wenn es in Unternehmen zu IT-Sicherheitsvorf\u00e4llen kam, die in der Police abgedeckt sind. Ist das nun sinnvoll oder nicht?<\/p>\n Sp\u00e4testens seit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) haben Unternehmen ein Regelwerk an die Hand bekommen, mit welchen Mitteln und Ma\u00dfnahmen sensible Daten gesch\u00fctzt und Datenverlusten vorgebeugt werden kann. Es werden technisch-organisatorische Ma\u00dfnahmen explizit genannt oder lassen sich zumindest daraus ableiten. Wie \u00fcberall im Leben gilt auch in der IT-Sicherheit Ihres Unternehmens: Vorbeugen ist besser als heilen. Bevor Sie \u00fcberhaupt \u00fcber den Abschluss einer Cyberversicherung nachdenken, gilt es, die IT sinnvoll abzusichern:<\/p>\n Haben Sie all diese Aufgaben bew\u00e4ltigt, \u00fcberlegen Sie sich, welche Risiken Sie absichern m\u00f6chten. Auf der Website des GDV finden Sie die Anbieter \u00fcbersichtlich aufgelistet<\/a>. So k\u00f6nnen Sie sich die Angebote der verschiedenen Cyberversicherungen mit geringem Aufwand einholen. Grunds\u00e4tzlich spricht nichts gegen eine gute Cyberversicherung, solange sie als das begriffen wird, was sie ist: Eine Absicherung f\u00fcr den Schadensfall. Einem Schaden vorbeugen k\u00f6nnen nur Sie allein \u2013 gerne mit uns als Partner an Ihrer Seite. Nehmen Sie gerne Kontakt<\/a> zu uns auf; unsere Experten beraten Sie unverbindlich und bedarfsgerecht.<\/p>\n","protected":false},"excerpt":{"rendered":" Dramatische Angriffe auf die Cybersicherheit bedrohten in den vergangenen Jahren Gro\u00dfkonzerne genauso wie kleine und mittlere Unternehmen. Betroffene Betriebe stehen vor immensen finanziellen Sch\u00e4den \u2013 vom angekratzten Ruf ganz zu schweigen. Da kommt man nicht umhin, \u00fcber eine Cyberversicherung nachzudenken. Lohnt sich diese f\u00fcr jedes Unternehmen? Was leisten solche Versicherungen \u00fcberhaupt? Wir haben uns f\u00fcr … <\/p>\nStuxnet \u2013 komplexe Malware<\/h3>\n
DarkHotel bedroht durch \u00f6ffentliche WLAN-Netzwerke<\/h3>\n
Mirai-Botnetz: Infektion des IoTs<\/h3>\n
Schafft die Cyberversicherung einen entsprechenden Schutz?<\/h2>\n
Was ist eine Cyberversicherung und was leistet sie?<\/h3>\n
\n
Vor- und Nachteile einer Cyberversicherung<\/h3>\n
\n
\n
F\u00fcr welche Unternehmen\/ Unternehmensgr\u00f6\u00dfe ist die Cyberversicherung empfehlenswert?<\/h3>\n
Welche Cyberversicherungen sind vertrauensw\u00fcrdig?<\/h3>\n
\n
Cyberversicherungen: Sinnvoll oder doch nach Alternativen suchen?<\/h2>\n
\n