Schutz vor Attacken aus dem Netz
Auch IT-Systeme von Handwerksbetrieben sind zunehmend Ziel von Angriffen, durch die existenzbedrohende Schäden angerichtet werden können. Vorbeugend sollten Inhaber Maßnahmen zur Erhöhung der IT-Sicherheit ergreifen. Tritt dennoch ein Schaden ein, helfen spezielle Cyberrisk-Versicherungen.
Laut dem KfW-Mittelstandspanel waren in den vergangenen Jahren rund ein Drittel der mittelständischen Unternehmen in Deutschland konkret von IT-sicherheitsrelevanten Vorfällen betroffen. Das Bundeswirtschaftsministerium habe, so die Bundeskanzlerin, zuletzt für kleine und mittlere Unternehmen (KMU) die Initiative „IT-Sicherheit in der Wirtschaft“ gestartet. Zudem wird ein neues Zentrum zur Bekämpfung der Cyberkriminalität geschaffen. Angela Merkel ruft in ihrem Video-Podcast Handwerksbetriebe und damit insbesondere auch Unternehmen des Ausbaugewerbes auf, selbst Verantwortung für IT-Sicherheit zu übernehmen, um existenzbedrohende Schäden abzuwenden.
Nicht nur große Konzerne werden angegriffen
Die Digitalisierung hat in den mittelständischen Unternehmen längst Einzug gehalten. Bedauerlicherweise vernachlässigen aber bisher die meisten den dazugehörigen Versicherungsschutz. Viele Mittelständler gehen davon aus, dass Cyberattacken vor allem großen Konzernen gelten. Tatsächlich zeigt das KfW-Mittelstandspanel, dass auch kleine und mittlere Unternehmen stark gefährdet sind. Auch das Baugewerbe ist stark von IT-Sicherheitsvorfällen betroffen. Jeder fünfte Betrieb wurde bereits Opfer von elektronischer Kriminalität. Weitere 30 Prozent der Unternehmen des Bauhaupt- und Ausbaugewerbes berichten von Verdachtsfällen. Zu den spezifischen Cyberrisiken der Branche gehört der Datendiebstahl. Denn mit der Realisierung größerer und kleinere Bauprojekte ist immer auch der Umgang mit großen Mengen von Kundendaten und Plänen verbunden.
Auch durch unachtsames Fehlverhalten der eigenen Mitarbeiter kann es schnell zu einem Datenschaden kommen, der den wirtschaftlichen Ruin des Unternehmens bedeutet. Deshalb ist es wichtig, dafür Sorge zu tragen, dass Schäden, die durch die Nutzung vernetzter IT- und Kommunikationssysteme entstehen, über eine Versicherung abgedeckt sind – und zwar sowohl auf Seiten des Unternehmens als auch auf Seiten eventuell ebenfalls betroffener Partner oder Kunden. Dass der Versicherungsumfang auch das fahrlässige Fehlverhalten der Mitarbeiter umfasst, ist hierbei keine Selbstverständlichkeit. Sind Kundendaten von einer Cyberattacke betroffen, hat das immer auch Auswirkungen auf die Kundenbeziehungen. Um Reputationsschäden abzuwenden, sollten im Schadensfall schnell die richtigen Gegenmaßnahmen eingeleitet werden. Dabei helfen heute schon die meisten Cyberrisk-Versicherungen durch Unterstützungsleistungen rund um die Themen IT-Sicherheit und Notfallhilfe.
Hilfe beim Beheben der Schäden
Die häufigste Ursache für Cyberschäden ist ein unbeabsichtigtes Fehlverhalten von Mitarbeitern, gefolgt von Software-Sicherheitslücken, für die noch keine Patches bereitstehen, sowie nicht eingespielte Updates. Die „CyberRisk Versicherung“ der R+V greift, wenn in Folge dieser oder anderer Schwachstellen Schäden entstehen. So übernimmt sie unter anderem die Kosten für Wiederherstellung beziehungsweise Reparatur von Daten und beschädigten IT-Geräten und gleicht auch finanzielle Einbußen in Folge von Betriebsunterbrechungen aus. Außerdem prüft der Versicherer Schadensersatzansprüche von Dritten. Sind diese berechtigt, entschädigt die Versicherung. Partnerunternehmen aus der IT-Branche unterstützen betroffene Unternehmer rund um die Uhr und 7 Tage die Woche bei der Schadensbegrenzung, der Wiederherstellung von Daten oder beim Krisenmanagement – unabhängig davon, ob der Schaden von innen oder außen verursacht wurde.
Regelt der Staat das schon alles?
Unternehmern steht bei der Implementierung neuer Sicherheitssysteme auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützend zur Seite. Dennoch liege die Verantwortung, sich möglichst gut abzusichern bei jedem einzelnen Betrieb.
Neben dem oft trügerischen Vertrauen in die Leistungsfähigkeit eigener IT-Sicherungssysteme besteht oft ein weiteres Problem: Cyberangriffe sind nicht zwangsläufig IT-basiert. Häufig nutzen Angreifer Schwächen in der Organisation oder missbrauchen mithilfe sogenannten „Social Engineerings“ die Hilfsbereitschaft unbedarfter Mitarbeiter, die unfreiwillig dafür sorgen, dass IT-Schutzmaßnahmen nicht mehr greifen. Verwandelt sich das scheinbar hypothetische Risiko in eine konkrete Krise, kann das mittelständische Unternehmen schnell in Existenznöte bringen. Auch für Schäden, die aus solchen Attacken resultieren, kommt eine gute IT- und CyberRisk-Police auf.
AutorStefan Schmutterer ist Berater Underwriting und Schaden für CyberRisk bei der R+V Versicherung in Wiesbaden.
