Trojaner, Erpresser-Software oder Viren verursachen immer größere Schäden. Betroffen sind auch Unternehmen der Gesundheits- und Sozialwirtschaft. Ein Ausfall der IT-Systeme kostet Zeit und Geld. Präventionsprogramme und das richtige Risikomanagement bieten Absicherungsmöglichkeiten dagegen. Wir haben die Schadenexperten Stefanie Berkel und Frank Schultz gefragt, worauf es dabei ankommt.

Es war eine freundlich klingende Bewerbung mit einem ansprechenden Foto einer jungen Frau. Warum sie für die ausgeschriebene Stelle bestens geeignet sei, so hieß es in dem Anschreiben der E-Mail, könne man in den angehängten Unterlagen sehen.

Doch wer die an die E-Mail angehängte ZIP-Datei entpackte und die darin enthaltene EXE-Datei anklickte, war schon gefangen. Die aufscheinende Meldung auf dem Monitor ließ daran keinen Zweifel mehr: „Alle Ihre Daten sind verschlüsselt“, hieß es da. „Nur wir können Ihnen den Schlüssel geben und Ihre Daten wiederherstellen.“ Und dafür wollten die Gauner natürlich Geld sehen – in diesem Fall in der Kryptowährung Bitcoins.

Ende August schlug das Landeskriminalamt Niedersachsen Alarm, dass „GandCrab“ diese neue Erpresser-Software (auch unter der englischen Bezeichnung Ransomware bekannt), unterwegs sei. Auch Unternehmen der Gesundheits- und Sozialwirtschaft waren davon betroffen, denn teilweise erkannten selbst die modernsten Schutzprogramme die Gefahr in der harmlos erscheinenden Mail, wie sie Firmen tagtäglich erreicht, nicht.

Der Fall hat einmal mehr ein Licht darauf geworfen, dass Cyberkriminalität ein erhebliches Risiko für Unternehmen jedweder Art darstellt. Nach einer Forsa-Umfrage des Gesamtverbandes der Deutschen Versicherungswirtschaft sind 30 Prozent der kleinen und mittelständischen Unternehmen bereits durch Cyber-Kriminelle attackiert worden. Und eine Umfrage der Unternehmensberatung Roland Berger im Mai 2017 ergab, dass allein 64 Prozent der deutschen Krankenhäuser schon einmal Opfer eines Hackerangriffs waren.

Im Gesundheits- und Sozialwesen oder der Wohlfahrtspflege bekommt die Cyberkriminalität noch einmal eine besondere Dimension. Denn hier geht es im Zweifelsfall um hoch sensible Daten und möglicherweise sogar um IT-Systeme, die zur kritischen Infrastruktur gehören. Im schlimmsten Fall kann durch einen Angriff auf die Informationstechnik sogar die Gesundheit der Patienten gefährdet werden.

Hohe Kosten für die Wiederherstellung der Daten und womöglich sogar eine vollständige Unterbrechung des Betriebes können die Folgen einer solchen Attacke sein.

Doch nicht nur von kriminellen Aktivitäten geht Gefahr für Daten und Systeme aus – auch viel profanere Dinge wie Feuer, Leitungswasser, übergroße Hitze – man denke nur an den jüngsten „Super-Sommer“ – können Betriebsausfälle und Datenverlust zur Folge haben. Das kostet Zeit und Geld – und ist damit ein Fall für eine versicherungstechnische Absicherung.

Eine Grundsicherung sollte möglichst den Ertragsausfall, die Kosten für Sachverständige und Forensik (also die Ermittlung der Ursachen) sowie die Ausgaben für Datenwiederherstellung abdecken, rät der Ecclesia-Cyberexperte Frank Schultz.

Erweiterten Schutz bieten Versicherungsleistungen für Krisenmanagement, Datenschutzrechts-Verletzungen, Vertrauensschäden, Schäden durch Erpressungen wie oben beschrieben oder eine Cyberhaftpflicht bei Schäden an Daten Dritter.

Auch die Haftungsrisiken für das Management werden berücksichtigt. „IT-Risiken fallen in den Verantwortungsbereich der Unternehmensleitung. Sie können nicht auf die IT-Abteilung abgewälzt werden“, betont Stefanie Berkel, tätig im Schaden- und Produktmanagement des Unternehmensbereiches Financial Lines der Ecclesia Gruppe. Diese Verantwortung müsse entsprechend abgesichert sein, empfiehlt die Expertin.

Die Ecclesia Gruppe hat Produkte entwickelt, die einen sehr weitgehenden, wirksamen Schutz gegen die Folgen von Cyberattacken bieten. Doch es geht nicht nur um Absicherung im Fall des Falles, es geht auch darum, das IT-Immunsystem schon im Vorfeld zu stärken. Im Falle der Erpressungen via Bewerbungsmail hätte auch die beste Firewall möglicherweise nichts genutzt. Aber entsprechend informierte und geschulte Mitarbeitende schon. Auch das Landeskriminalamt Niedersachsen weist auf seiner Internet-Seite darauf hin, wie wichtig neben technischen Lösungen die Sensibilisierung der Mitarbeiter für die Sicherheit der Systeme ist. Frank Schultz unterstreicht das: „Gerade die für solche Themen sensibilisierten Mitarbeitenden sind die effektivste Vorsorge.“

Die zur Ecclesia Gruppe gehörende Gesellschaft für Risikoberatung (GRB) hat daher gemeinsam mit den Berliner IT-Experten der Firma HiSolutions unter dem Namen „CyRis“ unterschiedliche Module einer Risikoabschätzung entwickelt. Die Fachleute überprüfen beispielsweise, auf welchem Feld der IT-Sicherung besonderer Handlungsbedarf herrscht. Bisher sind die Computer-Kenner zu der Erkenntnis gekommen, dass bei drei Viertel der untersuchten Unternehmen das Thema Cyber-Sicherheit nicht systematisch in den „Geschäftsverteilungsplan“ eingepasst ist, also die Bereiche Schulung und Vorgaben zum Umgang mit der IT nicht an einer Stelle verantwortet werden.

Die Cyber-Berater testen aber auf Wunsch auch, ob die neue Europäische Datenschutz-Grundverordnung beachtet ist und unterziehen die IT-Systeme einem Stresstest. Ferner entwickeln sie mit ihren Mandanten zusammen Management-Systeme, die zusätzliche Sicherheit bringen.

Bitkom, der Branchenverband der Digitalwirtschaft, spricht von rund 43 Milliarden Euro Schaden, der der deutschen Industrie allein durch Cyberkriminalität bereits entstanden ist. Diese enorme Summe ist für Anlass genug, sich in den nächsten Ausgaben des Informationsdienstes vertiefend dem Thema zu widmen.