Cyberversicherung bei Hackerangriff: Was sie kann – und wo man selbst aktiv werden muss
Es gibt kein 100% sicheres IT-System. Wenn ein Hacker etwa Kundendaten löscht oder verschlüsselt, ist Feuer am Dach. Denn dann steht nicht nur die Arbeit still, sondern es drohen auch Strafen wegen Verstößen gegen die DSGVO. Was bringt eine Cyberversicherung in diesem Fall? Anton Alt gab beim Zoom-Webinar der Fachgruppe Werbung und Marktkommunikation am 14. November 2022 Antworten.
Es gibt kein Unternehmen ohne IT-System, egal ob Spenglerei oder Werbeagentur. Die „Industrie 4.0“ macht uns aber auch verwundbar. Nicht nur dass der gesamte Betrieb an einem funktionsfähigen IT-Netzwerk hängt: Sobald Personendaten im Spiel sind, spricht auch die DSGVO ein Wörtchen mit. Jedes Unternehmen haftet seit 2018 bei Androhung hoher Geldbußen für diese Daten. Werden sie kompromittiert, etwa durch einen Cyberangriff, ist guter Rat teuer. Ein Beispiel war die österreichische Post, die „Parteiaffininäten“ von Kundinnen und Kunden für Wahlwerbung verkauft hatte: Nur ein Formfehler im Verfahren verhinderte eine Strafzahlung von 18 Millionen (!) Euro.
Hacker: So gehen sie vor und das müssen Unternehmen tun – können es aber oft nicht
Cyberkriminalität gilt laut „Allianz Risk Barometer“ heute als größeres Risiko als Naturkatastrophen oder Pandemien (selbst in Coronazeiten war das so). Ein typischer Angriff geht über Schwachstellen im IT-Netzwerk: Ein Hacker dringt über Schadsoftware ein, knackt ein Admin-Passwort, überwindet die Firewall und verschlüsselt sämtliche Daten auf den Servern des Unternehmens. Wer in der Früh im Büro den PC startet, wird mit einem blauen Bildschirm und Lösegeldforderungen begrüßt. Der Betrieb steht still. Aber das ist nicht das größte Problem für das Unternehmen: Wenn personenbezogene Daten in „Geiselhaft“ sind, schlägt die DSGVO zu. Betroffene Kundinnen und Kunden müssen etwa informiert werden. Es muss gehandelt werden, sofort, und oft wissen Unternehmen nicht, wie. Wenn das nicht passiert: siehe österreichische Post.
Cyberversicherung: Das kann sie – und das nicht
Eine Versicherung gegen Cyberkriminalität kann hier helfen. Nicht nur die Schadenssumme lässt sich abdecken, noch wichtiger ist die Soforthilfe: IT-Forensik-Profis schauen sich den Fall sofort an und ergreifen Maßnahmen. Je nach Unternehmensgröße und Branche (nicht alle tragen dasselbe Risiko) starten die jährlichen Prämien bei etwa 1.000 Euro. Zahlt sich das aus? Der Experte sagt ja, warnt aber vor Fallen. Cyberversicherungen verlangen „Mindestsicherungen“ des IT-Systems. Das sind grundlegende Dinge wie etwa: keine werkseingestellten Passwörter („1234“) verwenden, Zwei-Faktor-Authentifizierung bei Zugriffen ins interne Netzwerk, 4‑Augen-Prinzip bei großen Überweisungen etc. Was versichert ist: ein Eindringen ins Netzwerk, Bedienfehler, Datenschutzverletzung oder Cyber-Erpressung. Phishing-Versuche am Telefon durch Vorspiegelung falscher Identitäten (etwa „Ich bin der Konzernchef, überweisen Sie mir 10.000 Euro!“), sind nicht abgedeckt. Der Experte warnt auch vor Versicherungen, die schwammige, unerfüllbare Bedingungen in ihre Klauseln schreiben: „Sicherheitsmaßnahmen nach Stand der Technik“ etwa. Im Schadensfall lässt sich dann darüber streiten, was „der Stand der Technik“ nun sei – und die Versicherung hält sich schadlos. Klarheit ist hier gefragt!
Webinar Präsentation
Webinar-Aufzeichnung: