Experteninterview zum Thema Cybersecurity

Cyberangriffe auf Unternehmen sind ein großes und dennoch stark unterschätztes Risiko. Michael Minth, Leiter Vertriebssteuerung bei der R+V Allgemeine Versicherung AG, erklärt im Interview, wie es dazu kommt und welche Möglichkeiten Betriebe haben, um sich zu schützen.

In Deutschland werden immer mehr Unternehmen zum Ziel von Cyberangriffen. Führungskräfte kennen das Risiko, glauben aber, dass die Gefahr für den eigenen Betrieb nicht so groß ist. Warum?

Viele Unternehmen unterschätzen das Risiko durch einen Cyberangriff. Manche wiegen sich mittels Firewalls und Anti-Viren-Programmen schlichtweg in falscher Sicherheit. Dazu kommt, dass das Thema sehr abstrakt ist – die möglichen Folgen und Kosten sind schwer abschätzbar.

Und viele unterschätzen den Aufwand, den es bedeutet, nach einem erfolgreichen Angriff das Herzstück der Unternehmens-IT, den Windows Domain Controller, wieder aufzubauen. Nach unserer Erfahrung braucht das zwischen drei und zwölf Wochen. Zeit, in der ein Unternehmen nur begrenzt oder gar nicht arbeiten kann.

Cybersecurity

Michael Minth ist Leiter Vertriebssteuerung bei der R+V Allgemeine Versicherung AG

Vor allem mittelständische Unternehmen treten in den Fokus von Cyberkriminellen. Was macht sie zur attraktiven Angriffsfläche?

Der Mittelstand ist ein attraktives Ziel für Kriminelle, weil sich hier mit vergleichbar geringem Aufwand leicht Geld verdienen lässt. Gerade der Erfolg, die Innovationsfähigkeit und Leistungsstärke des Mittelstands sind ein Garant für die Werthaltigkeit der entwendeten Daten. Für ihre Auslösung sind die Unternehmen bereit, hohe Summen zu zahlen. Gleichzeitig ist hier die IT-Infrastruktur oft schlecht geschützt. Zum Beispiel, weil wichtige IT-Sicherheitsupdates fehlen oder die Systeme veraltet sind, oder weil Mitarbeiter schlecht im Umgang mit Daten und IT-Sicherheit geschult sind. Der technische Aufwand, Systeme und Daten so anzugreifen, dass man Betroffene erpressen kann, ist also sehr gering. Hier haben Kriminelle leichtes Spiel.

„Wer in Sachen Cybersecurity zögert, spielt mit dem Feuer.“

Wie kommt es, dass gerade während der Corona-Pandemie das Risiko einer Cyberattacke stieg?

Einer der Gründe ist, dass Arbeitgeber während der Pandemie verpflichtet wurden, ihren Arbeitnehmern soweit möglich Homeoffice anzubieten. Das zwang viele Unternehmen, zeitnah die benötigte IT-Infrastruktur bereitzustellen. Schnelligkeit ging da oft vor Datensicherheit. Viele dieser Lösungen haben hier Schwachstellen. Diese machen sich die Angreifer zunutze. Kurz gesagt, einige Unternehmen haben selbst die potenziellen Möglichkeiten für einen erfolgreichen Angreifer erhöht.

Cybersecurity

Was mache ich als Unternehmer konkret, wenn ich Opfer einer Cyberattacke wurde?

Dann heißt es vor allem, schnell und richtig handeln, damit der Schaden nicht noch größer wird. Ich empfehle jedem, sich im Vorfeld einen Notfallplan zu schreiben – welche Maßnahmen muss ich treffen, wen informieren, was dokumentieren? Im Idealfall hat das Unternehmen eine CyberRisk-Versicherung. In diesem Fall ist der erste und wichtigste Schritt, die Notfall-Hotline der Versicherung anzurufen. Sie stellt den Betroffenen unmittelbar einen Experten zur Seite, der erste Hilfe leistet und hilft, den Schaden zu begrenzen.

Was würden Sie Unternehmen sagen, die sich in Sachen Cybersecurity zögerlich geben?

Die Gefahr, Opfer eines Cyberangriffs zu werden, ist heute leider groß, die Folgen können für Unternehmen schnell existenzbedrohend sein. Denn es gibt kaum Daten, die Cyberkriminelle nicht zu Geld machen können – entweder indem sie sie ausspionieren und weiterverkaufen oder den Zugriff darauf blockieren und Lösegeld fordern. Dazu kommt: Sobald Kunden oder Geschäftspartnern durch den Datendiebstahl ein Schaden entsteht, muss das Unternehmen dafür haften. Wer in Sachen Cybersecurity zögert, spielt also mit dem Feuer.

Wenn ich mich dazu entscheide, meinen Betrieb umfangreich vor Cyberattacken zu schützen, wie gehe ich Schritt für Schritt am besten vor?

Cyber-Security ist eine komplexe Angelegenheit, sie muss ganzheitlich und systematisch eingeführt und betrieben werden. Da ist fachliche Expertise gefordert. Es gibt externe Security-Berater, die gemeinsam mit Unternehmen in Workshops erarbeiten, wie diese ihren Cyberschutz verbessern können. Solche Workshops bietet etwa die VdS Schadenverhütung als Tochterfirma des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) an. Ich empfehle Unternehmen darüber hinaus, einen Informationssicherheitsbeauftragten zu etablieren, der die eigenen Sicherheitsmaßnahmen systematisch und ganzheitlich umsetzt und weiterverfolgt – das kann ein externer Profi sein, oder man bildet hierfür einen Mitarbeiter aus. Gute Trainings sind leicht im Internet zu finden.

Ist es überhaupt möglich, mit den sich ständig verändernden Angriffstaktiken der professionell organisierten Cyberkriminellen Schritt zu halten?

Im Grunde verändern sich die Taktiken kaum – was sich verändert, sind die technischen Werkzeuge, die Cyberkriminelle einsetzen, um sich Zugriff auf die unternehmenseigenen Daten zu verschaffen. Deswegen ist Cyberschutz kein Thema, das Unternehmen umsetzen und abhaken können – es ist ein Prozess, den sie konstant weiterentwickeln müssen. Nur so machen sie es Kriminellen schwer. Bei aller Risikoabwehr unterschätzen viele Unternehmen allerdings, wie wichtig eine solide Datensicherung ist. Denn nur mit einem Backup sind im Schadenfall die eigenen Daten nicht verloren. Ein Backup hilft aber nur, wenn es die Angreifer nicht ebenfalls unbrauchbar machen – dafür muss es zum Beispiel getrennt vom System gespeichert sein. Eine gute Datensicherung ist sozusagen die Basis für eine gute Cybersecurity.

Cybersecurity

Gibt es 100-prozentigen Schutz vor Cyberangriffen?

Den absoluten Schutz vor Cyberkriminalität gibt es leider nicht. Aber Unternehmen können einiges dafür tun, es Kriminellen schwer zu machen, etwa indem sie eine aktuelle Antiviren-Software nutzen, regelmäßig Sicherheitsupdates für die Betriebssysteme durchführen und sensible Daten selbst verschlüsseln. Wer dazu seine Mitarbeiter schult und sensibilisiert und für den Fall der Fälle auf eine gute Datensicherung zurückgreifen kann, hat vieles richtig gemacht, um das Risiko und einen möglichen Schaden zu minimieren.

Wie sinnvoll sind Cyberversicherungen und wie unterstützen sie Unternehmen?

Eine Cyberversicherung ist für alle Unternehmen sinnvoll, die mit sensiblen Daten arbeiten – vom Handwerksbetrieb über die Rechtsanwaltskanzlei bis zur Arztpraxis. Sie sichert Schäden im Unternehmen selbst, aber auch bei Partnern und Kunden ab. Und: Sie beinhaltet wichtige Services und Dienstleistungen, stellt zum Beispiel im Schadenfall ihren Kunden unmittelbar einen Experten und mit ihm ein komplettes IT-Notfall-Sicherheitsmanagement zur Seite. Nicht zu vergessen: das Thema Compliance. Es nimmt bei mittelständischen Unternehmen einen immer wichtigeren Stellenwert ein. Damit die Compliance, die immer eine zentrale Aufgabe des Managements ist, in Unternehmen auch nachhaltig betrieben werden kann, müssen die Prozesse in der IT darauf abgestimmt sein. Gute Versicherungsunternehmen unterstützen dabei, die im Rahmen der Schadenbearbeitung zur Verfügung gestellten Notfallprozesse beinah nahtlos in die Unternehmens-IT einzubinden und damit die Compliance zu verbessern.

Wie viele Unternehmen in Deutschland setzen bereits auf Cyberversicherungen?

Aktuell gibt es keine valide und aussagekräftige Statistik. Geschätzt sind es weniger als 100.000 Unternehmen, die sich bereits absichern – bei mehr als drei Millionen Betrieben ist das noch überschaubar. Auch wenn es Cyberkriminalität schon lange gibt, steht das Thema Cyberabsicherung noch am Anfang.

Wie wird sich die Gefahr von Cyberattacken in Zukunft weiterentwickeln?

Solange die Risiken für die Kriminellen derart gering und die Chancen auf hohe Gewinne groß sind, bei zum Teil geringem Aufwand, wird sich an den Angriffen aus dem Netz nicht viel ändern. Cyberkriminalität gehört heute zum Alltag und wir müssen lernen, damit richtig umzugehen.


Das könnte Sie auch interessieren

Cybersecurity

Damit Ihr Unternehmen nicht offline geht: Jetzt online schützen.

Cyberattacken: Beispiele

„Cyberangriff“ – das klingt für viele sehr abstrakt. Vier ausgewählte Beispiele aus der Praxis zeigen, wie raffiniert Cyberkriminelle vorgehen.