Fach­grup­pe

Voll­kas­ko auf den Daten­high­way – was bringt eine Cyberversicherung?

17/11/2022

© Die Abbilderei

Cyber­ver­si­che­rung bei Hacker­an­griff: Was sie kann – und wo man selbst aktiv werden muss

Es gibt kein 100% siche­res IT-System. Wenn ein Hacker etwa Kun­den­da­ten löscht oder ver­schlüs­selt, ist Feuer am Dach. Denn dann steht nicht nur die Arbeit still, sondern es drohen auch Strafen wegen Ver­stö­ßen gegen die DSGVO. Was bringt eine Cyber­ver­si­che­rung in diesem Fall? Anton Alt gab beim Zoom-Webinar der Fach­grup­pe Werbung und Markt­kom­mu­ni­ka­ti­on am 14. Novem­ber 2022 Antworten.

Es gibt kein Unter­neh­men ohne IT-System, egal ob Speng­le­rei oder Wer­be­agen­tur. Die „Indus­trie 4.0“ macht uns aber auch ver­wund­bar. Nicht nur dass der gesamte Betrieb an einem funk­ti­ons­fä­hi­gen IT-Netz­werk hängt: Sobald Per­so­nen­da­ten im Spiel sind, spricht auch die DSGVO ein Wört­chen mit. Jedes Unter­neh­men haftet seit 2018 bei Andro­hung hoher Geld­bu­ßen für diese Daten. Werden sie kom­pro­mit­tiert, etwa durch einen Cyber­an­griff, ist guter Rat teuer. Ein Bei­spiel war die öster­rei­chi­sche Post, die „Par­tei­af­fi­ni­nä­ten“ von Kun­din­nen und Kunden für Wahl­wer­bung ver­kauft hatte: Nur ein Form­feh­ler im Ver­fah­ren ver­hin­der­te eine Straf­zah­lung von 18 Mil­lio­nen (!) Euro.

Hacker: So gehen sie vor und das müssen Unter­neh­men tun – können es aber oft nicht
Cyber­kri­mi­na­li­tät gilt laut „Allianz Risk Baro­me­ter“ heute als grö­ße­res Risiko als Natur­ka­ta­stro­phen oder Pan­de­mien (selbst in Coro­na­zei­ten war das so). Ein typi­scher Angriff geht über Schwach­stel­len im IT-Netz­werk: Ein Hacker dringt über Schad­soft­ware ein, knackt ein Admin-Pass­wort, über­win­det die Fire­wall und ver­schlüs­selt sämt­li­che Daten auf den Servern des Unter­neh­mens. Wer in der Früh im Büro den PC startet, wird mit einem blauen Bild­schirm und Löse­geld­for­de­run­gen begrüßt. Der Betrieb steht still. Aber das ist nicht das größte Problem für das Unter­neh­men: Wenn per­so­nen­be­zo­ge­ne Daten in „Gei­sel­haft“ sind, schlägt die DSGVO zu. Betrof­fe­ne Kun­din­nen und Kunden müssen etwa infor­miert werden. Es muss gehan­delt werden, sofort, und oft wissen Unter­neh­men nicht, wie. Wenn das nicht pas­siert: siehe öster­rei­chi­sche Post.

Cyber­ver­si­che­rung: Das kann sie – und das nicht
Eine Ver­si­che­rung gegen Cyber­kri­mi­na­li­tät kann hier helfen. Nicht nur die Scha­dens­sum­me lässt sich abde­cken, noch wich­ti­ger ist die Sofort­hil­fe: IT-Foren­sik-Profis schauen sich den Fall sofort an und ergrei­fen Maß­nah­men. Je nach Unter­neh­mens­grö­ße und Branche (nicht alle tragen das­sel­be Risiko) starten die jähr­li­chen Prämien bei etwa 1.000 Euro. Zahlt sich das aus? Der Experte sagt ja, warnt aber vor Fallen. Cyber­ver­si­che­run­gen ver­lan­gen „Min­dest­si­che­run­gen“ des IT-Systems. Das sind grund­le­gen­de Dinge wie etwa: keine werks­ein­ge­stell­ten Pass­wör­ter („1234“) ver­wen­den, Zwei-Faktor-Authen­ti­fi­zie­rung bei Zugrif­fen ins interne Netz­werk, 4‑Augen-Prinzip bei großen Über­wei­sun­gen etc. Was ver­si­chert ist: ein Ein­drin­gen ins Netz­werk, Bedien­feh­ler, Daten­schutz­ver­let­zung oder Cyber-Erpres­sung. Phis­hing-Ver­su­che am Telefon durch Vor­spie­ge­lung fal­scher Iden­ti­tä­ten (etwa „Ich bin der Kon­zern­chef, über­wei­sen Sie mir 10.000 Euro!“), sind nicht abge­deckt. Der Experte warnt auch vor Ver­si­che­run­gen, die schwam­mi­ge, uner­füll­ba­re Bedin­gun­gen in ihre Klau­seln schrei­ben: „Sicher­heits­maß­nah­men nach Stand der Technik“ etwa. Im Scha­dens­fall lässt sich dann darüber strei­ten, was „der Stand der Technik“ nun sei – und die Ver­si­che­rung hält sich schad­los. Klar­heit ist hier gefragt!

Webinar Prä­sen­ta­ti­on

 

Webinar-Auf­zeich­nung:

Vorherige | Nächste Seite › ›