Die aktuell zwangsläufig forcierte Digitalisierung von kleinen und mittleren Unternehmen (KMU) eröffnet nicht nur neue Arbeitsplatzmöglichkeiten für Arbeitnehmer sowie neue Geschäftsfelder für Versicherungen und IT-Dienstleister, sondern beschert auch Hackern neue potenzielle Opfer für Cyber-Attacken. In der Vergangenheit waren hauptsächlich Finanzdienstleister und Kreditinstitute mit digitalen Angriffen konfrontiert, durch deren Auf- und Nachrüstung in Bezug auf die Cyber-Security-Infrastruktur geraten nun vermehrt KMUs als einfachere Ziele in den Fokus krimineller Hacker. Im Zuge der Maßnahmen zur Eindämmung des COVID-19 Virus wurde von der österreichischen Bundesregierung auch eine Empfehlung an Unternehmen abgegeben, ihre Mitarbeiter (wenn möglich) von Zuhause aus arbeiten zu lassen. Aufgrund der geringen Vorbereitungszeit für die Herstellung der dafür notwendigen Remote-Zugriffe seitens der Unternehmen ist anzunehmen, dass die meisten Mitarbeiter nun ihre privaten PCs im Home-Office nutzen. Durch einen geschützten VPN-Zugang (Virtual Private Network) kann zwar gewährleistet sein, dass die Kommunikation über den Server des Unternehmens sicher ist, jedoch bleibt die private, meist nicht oder nicht ausreichend geschützte Hardware ein Einfallstor für unautorisierte Zugriffe Dritter. Als besonders attraktive Ziele für solche unautorisierten Zugriffe erscheinen natürlich Unternehmen mit sensiblen oder besonders vielen Kundendaten, da diese direkt weiterverkauft oder anderweitig gewinnbringend verwertet werden können.

Es gibt eine Vielzahl von verschiedenen Arten von virtuellen Angriffen, die häufigsten Formen werden nachfolgend überblicksartig dargestellt:

Ein Data Breach ist eine nicht autorisierte Nutzung, Offenlegung, Vervielfältigung, Veränderung, Beschädigung, Zerstörung oder der Diebstahl von Daten, die das geschädigte Unternehmen digital aufbewahrt (hat). Davon umfasst sind E-Mails, das Intranet, die Website, das Netzwerk, der Server, das sonstige Computersystem und die Software.

Ein Denial-of-Service-Angriff zielt mit einer Vielzahl von gleichzeitig stattfindenden Serveranfragen darauf ab, den Betrieb des Netzwerks oder des Internets eines Unternehmens durch eine mutwillig herbeigeführte Überlastung dauerhaft zu unterbrechen oder zu verlangsamen. Die Denial-of-Service-Angriffe ausführenden Hacker versuchen Lösegeld zu erpressen oder Programmierungen und Dateien betroffener Computersysteme zu zerstören. Von einer Lösegeldzahlung ist prinzipiell abzuraten, da das in der Regel nur zu weiteren Lösegeldforderung führt. Dieses Kapital sollte besser schon präventiv in die IT-Infrastruktur investiert werden.

Bei einem Social Engineering und Fake President Fraud spionieren die Hacker die internen Abläufe, Organisationsstrukturen und Hierarchien des Unternehmens aus, um mit diesen Informationen schädigende Täuschungen vornehmen zu können. Der Hacker versucht sich dabei, bspw mit einer duplizierten oder gefälschten Identität gegenüber autorisierten Mitarbeitern als Entscheidungsträger (Vorstand, Geschäftsführer oder Abteilungsleiter) einer großen und meist internationalen Unternehmensstruktur auszugeben, um auf diese Druck auszuüben oder sie zumindest zu einer Handlung, Duldung oder Unterlassung zu veranlassen. Durch diese Täuschungen werden autorisierte Mitarbeiter dazu gebracht, gefälschte Rechnungen zu begleichen oder dem Unternehmen andere Schäden zuzufügen.

Als Ransomware wird allgemein eine Erpressungssoftware in Form von Schadprogrammen wie Erpressungstrojaner oder Verschlüsselungstrojaner bezeichnet, mit deren Hilfe der Hacker dem Unternehmen die Nutzung des eigenen Computersystems durch digitale Blockaden unterbinden kann. Gleichzeitig mit der Blockierung des Computersystems erhält das Unternehmen zumeist eine Lösegeldforderung zugestellt. Auch hier ist prinzipiell von einer Lösegeldzahlung abzuraten, da das in der Regel erneut zu weiteren Lösegeldforderungen führt. Das geforderte Lösegeld sollte besser initial und prophylaktisch in die Beseitigung der Ransomware investiert werden.

Beim Phishing und Pharming versucht ein Hacker geheime Informationen wie Zugangsdaten und Kreditkartendaten zu erhalten oder den Nutzer auf gefälschte Websites umzuleiten, um sich nachgelagert dadurch zu bereichern. Am häufigsten erfolgt ein Phishing durch gefälschte E-Mails, die den Anschein erwecken, sie kämen von der Hausbank oder einem Geschäftspartner.

Da KMUs in der Regel keine eigene Cyber-Security Abteilung unterhalten, welche genügend Schutzvorkehrungen gegen solche Angriffe implementieren könnten, wird der Abschluss einer maßgeschneiderten Cyber-Versicherung als besonders relevant und sinnvoll erachtet.

Auf nachfolgende Punkte sollte bei einem Abschluss einer Cyber-Versicherung im Detail geachtet werden:

Schäden im Sinne einer Cyber-Versicherung sind meist ausschließlich Vermögensschäden also keine Personenschäden (Tod oder Verletzung eines Menschen). Schäden, die infolge eines Verlusts, einer Veränderung oder einer Blockade digitaler Daten resultieren, werden für gewöhnlich als von der Cyber-Versicherung umfasste Vermögensschäden angesehen.

Zusätzlich zu den durch den virtuellen Angriff eigentlich entstandenen Schäden muss beim Abschluss der Cyber-Versicherung auch auf die Deckung der aus dem Angriff resultierenden Folgeschäden geachtet werden. So sollten zumindest nachfolgende Kosten vom Deckungsumfang der Cyber-Versicherung umfasst sein:

  • Kosten der IT-Forensik: Kosten für externe IT-Forensik-Analysen zur Ermittlung der Ursache und zur Bestätigung des Hacker-Angriffes sowie für die Identifizierung      der vom Angriff betroffenen Personen und Unternehmen.
  • Kosten für die Anzeige und Bekanntmachung des Angriffes, wie:
    1. Kosten für die Honorare der Anwälte und Behördengebühren, welche bei der Abwicklung der gesetzlichen Melde- und Anzeigepflichten entstehen (bspw muss nach der Datenschutz Grundverordnung - DSGVO die Datenschutzbehörde mittels Data Breach Notification binnen 72 Stunden über einen Data Breach informiert werden);
    2. Interne als auch externe Kosten der Kommunikation, welche mit der Benachrichtigung von betroffenen Personen oder Unternehmen entstehen;
    3. Kosten für die Kreditüberwachungsdienstleistungen, welche mit der laufenden Beobachtung, Beurteilung und Auswertung von Konten entstehen;
    4. Kosten für das Krisenmanagement und die PR-Maßnahmen, welche durch die Wiederherstellung einer positiven Wahrnehmung des Unternehmens in der Öffentlichkeit entstehen;
    5. Kosten der Betriebsunterbrechung, welche sich durch einen vollständigen oder teilweisen Ausfall der Erwerbsfähigkeit des Unternehmens ergeben (sogenannte Ertragsausfallschäden);
    6. Kosten für Pönalen, welche sich aus Vertragsverletzungen ergeben;
    7. Kosten für die Wiederherstellung, welche durch die Reparatur der Website, des Intranets, des Netzwerks, des Computersystems, der Software oder der vom Unternehmen digital aufbewahrten Daten entstehen;
    8. Kosten der Sicherheitsanalyse und Sicherheitsverbesserungen, welche sich aus der Aufrüstung der zumindest notwenigen IT-Sicherheitsvorkehrungen ergeben; und
    9. Kosten für die Schadensminderung, welche im Zusammenhang mit Aufwendungen zur Verkürzung des Zeitraums einer Betriebsunterbrechung entstehen.

Opfern von Hackerangriffen entstehen oft nicht nur die dargestellten Kosten, sondern auch erhebliche und nachhaltige Reputationsschäden. Je nach Causa können geschädigte Unternehmen zusätzlich mit zivilrechtlichen Schadenersatzansprüchen von Kunden oder mitunter mit Verwaltungsstrafen ua durch die Datenschutzbehörde konfrontiert werden.

Wie bei allen wirtschaftlichen Unternehmungen ist auch in Bezug auf Cyber-Versicherungen eine detaillierte Kosten-Nutzen-Analyse geboten. Oft können präventive Evaluierungen in Bezug auf die Cyber-Security, Datenschutz und rechtliche Auswirkungen, die einem Hackerangriff nachgelagerten Aufwendungen und Maßnahmen gegenüber den zuständigen Verwaltungsbehörden minimieren. Dass jedoch auch Institutionen mit einem vermeintlich hohen Standard an Cyber-Security-Systemen nicht vor Cyber-Attacken gefeit sind, zeigt der tagelang andauernde Hackerangriff auf das Außenministerium der Republik Österreich zu Jahresbeginn.

Um zumindest das eigene Risiko bestmöglich abzudecken, empfiehlt sich eine vorgelagerte genaue (i) Evaluierung der aktuellen eigenen IT-Security-Systeme, (ii) Einschätzung des eigenen Gefährdungspotenziales sowie (iii) rechtliche Auseinandersetzung mit den verschiedenen Produkten und Konditionen der Versicherungsgesellschaften und deren Versicherungsbedingungen.

Andreas Pfeil, LL.M.

Weitere Beiträge aus unserem Journal