Wenn Internet-Kriminelle den Onlineshop lahmlegen, Kundendaten erbeuten oder Lösegeld fordern, ist der Schreck groß. Die Zahl der Schadensfälle steigt, ebenso wie die durchschnittliche Schadenshöhe. Immer mehr Einzelhändler sichern sich deshalb gegen unkalkulierbare Risiken durch Cyberangriffe ab.

© IMAGO / Panthermedia

Ein Fünftel der IT-Budgets für Sicherheit

Wann muss ein Angriff gemeldet werden? Nach einem Cyber-Angriff sind Betroffene oft verunsichert: Muss der Vorfall den Datenschutzbehörden gemeldet werden? Seit 2018 regelt dies die europäische Datenschutzgrundverordnung (DSGVO). Laut Artikel 33 sind "Verletzungen des Schutzes personenbezogener Daten" den Behörden zu melden, und zwar innerhalb von 72 Stunden nach Bekanntwerden. Artikel 34 regelt, wie Betroffene, also etwa Kunden, informiert werden müssen. Die Klauseln seien allerdings etwas unkonkret, heißt es vom IT-Security-Anbieter Allgeier Secion, der anhand von Beispielen Orientierung geben will. Am häufigsten sorgt demnach Ransomware für Datenschutzverstöße. Doch nicht immer seien diese meldepflichtig.

Arbeitet das Unternehmen zum Beispiel selbst mit Verschlüsselung, die durch den Angriff nicht kompromittiert wurde, und stellt seine Daten per Backup wieder her, muss der Vorfall zwar nach Artikel 33 DSGVO dokumentiert, aber weder Behörden noch Dritten gemeldet werden. Gleiches gilt, wenn in Sendungen Rechnungen vertauscht wurden oder aus Versehen Daten an einen vertrauenswürdingen Drittanbieter übermittelt wurden. Eine Rolle spielt auch, wie umfangreich und sensibel Daten sind: Werde etwa ein Krankenhaus mit sehr vielen sensiblen Patientendaten angegriffen, müssten Behörden und Patienten informiert werden, selbst wenn keine Daten gestohlen wurden, heißt es. Wurden Daten gestohlen, sind stets Behörden und Betroffene zu informieren - es sei denn, sie waren sicher verschlüsselt.

Versicherung verhindert keine Angriffe

© IMAGO / Westend61

Zahl und Komplexität der Schäden steigt

Versicherer unterstützen Eigenvorsorge

Versicherungsvergleich Franke & Bornberg, Ratingagentur für Versicherungen, hat 2020 gut 200 Tarife von Cyber-Versicherungen für Unternehmen unter die Lupe genommen. Gut die Hälfte davon schnitt gut bis sehr gut ab. Die detaillierten Ergebnisse sind online abrufbar. 2021 hat die Agentur erstmals auch Cyber-Policen für Privatkunden analysiert. Die Online-Versicherungsplattform von Finlex bietet neuerdings auch einen Marktvergleich der Cyber-Versicherungen für Unternehmen mit einem Umsatz von bis zu 50 Millionen Euro an. Kunden von "Smart Cyber" erhalten vom Kooperationsmakler auch dann ein Angebot, wenn eine vom Versicherer geforderte Mindestanforderung an ihre IT-Sicherheit oder -Governance nicht gegeben ist. Denn in den meisten Fällen fehlt nicht viel zur Erfüllung der Anforderungen, und sobald die Deckungsvoraussetzung erfüllt ist, kann das Unternehmen das Angebot annehmen.

Ziel sind Zahlungs-, Personen- und Zugangsdaten

Polizei rät von Lösegeldzahlungen ab

Den Ernstfall spielerisch üben Versicherer Hiscox hat ein interaktives Cyber-Crime-Spiel entwickelt, in dem Entscheider ihre Reaktionen auf einen simulierten Hacker-Angriff testen können. Wird es unter Zeitdruck gelingen, die richtigen Entscheidungen zu treffen und den Schaden so klein wie möglich zu halten? Unterdessen hat der Versicherungsverband GDV ein Planspiel mit Security-Experten veranstaltet, bei dem ein mittelständisches Unternehmen angegriffen wurde. Die einstündige Session, bei welcher der Zuschauer der Angegriffene ist, findet sich auf Youtube.

Unternehmen werden immer länger lahmgelegt



Gut 46% aller deutschen Firmen haben 2021 mindestens einen Cyber-Angriff erlebt. Dies geht aus dem aktuellen "Cyber Readiness Report" des Spezialversicherers Hiscox hervor. Der Digitalverband Bitcom kommt nach Befragung von 1.000 Firmen sogar auf einen viel höheren Wert: 86% für 2021 - und einen Schaden von 223 Milliarden Euro, nach 103 Milliarden im Jahr 2019.Was bei einem Cyber-Angriff passiert, zeigen regelmäßig prominente Beispiele: Im Januar 2022 etwa hatten Kriminelle eine Brute-Force-Attacke auf den Onlineshop des Buchhändlers Thalia gestartet. Dabei wurden systematisch Username-Passwort-Kombinationen getestet und offenbar mehrere zehntausend Nutzerkonten gehackt. Zwei Monate zuvor musste Mediamarkt-Saturn einen Angriff melden, Berichten zufolge wurden gut 3.000 Server von einem Krypto-Virus infiziert, Warenwirtschaft und Kassensysteme stürzten ab.Auch Lücken in der Shop-Software bieten Angriffsfläche: Im Herbst 2020 wurden fast 2.000 Onlineshops auf Magento1-Basis attackiert, kurz nachdem Adobe den Support für das System eingestellt hatte. Erst kürzlich mussten wieder Sicherheitslücken geschlossen werden.Die meisten Cyber-Angriffe schaffen es allerdings nicht in die Medien, zu klein sind die Schäden. Die mittlere Schadenhöhe beziffert Versicherer Hiscox für deutsche Unternehmen auf rund 23.000 Euro, der größte Einzelfall 2021 wird indes mit 5,1 Millionen Euro beziffert.Kein Wunder also, dass Cyber-Security für die meisten Firmen keine Nebensache mehr ist. Laut "Allianz Risk Barometer" 2022 sehen Unternehmen heute Cyber-Angriffe als größte Gefahr, vor Betriebsunterbrechungen, Naturkatastrophen oder Pandemien.Laut Hiscox haben sich die Ausgaben für IT-Sicherheit kräftig erhöht. 2021 machten sie 20% der IT-Budgets aus, 2020 erst 12%. Gleichzeitig werden Cyber-Versicherungen Standard - nur noch 15% der von Hiscox befragten Unternehmen hatten oder wollten keine.Wobei eine Cyber-Versicherung natürlich keinen einzigen Angriff verhindern, sondern lediglich den Schaden begrenzen kann, etwa indem Kosten für die Datenrettung, für Lösegelder oder für Schadenersatzforderungen von Kunden übernommen werden. Auch die Betriebsunterbrechung kann abgesichert werden, also der Verdienstausfall, solange die Systeme stehen.Ein wichtiger Punkt ist zudem die Soforthilfe: Ein guter Versicherer sollte eine 24-Stunden-Hotline bereithalten, unter der Experten - im Idealfall eines spezialisierten IT-Dienstleisters - direkte und konkrete Unterstützung leisten. Teilweise sind Cyber-Risiken übrigens bereits in einer Betriebsunterbrechungs-, Elektronik- oder sonstigen Versicherung abgedeckt. Dies sollte man prüfen.Bei den Versicherern ist die Nachfrage nach Cyber-Schutz seit Jahren ungebrochen, wie unisono etwa HDI, AXA oder Signal Iduna berichten. Und jedes Mal, wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Alarmstufe Rot ausruft, wie etwa zu Schwachstellen in MS Exchange oder Java Log4j im vergangenen Jahr, schnellen die Anfragen hoch.Das gilt auch für die Schäden. Es wachse nicht nur die Zahl, sondern auch die Komplexität der Schadenfälle, heißt es von HDI. Das dürfte sich auf die Prämien auswirken. Die seien zwar derzeit stabil, teilt Signal Iduna mit. Doch man komme "aus einer Marktphase mit einem harten Preis- und Bedingungswettbewerb", so HDI. Denn fast jeder Versicherer bietet heute Cyber-Schutz an.Wobei gerade Onlinehändler ohnehin bereits höhere Prämien zahlen. Denn ihre Abhängigkeit vom Webshop ist essenziell, die möglichen Schäden und Angriffspotenziale aus dem Internet, ob in der Cloud oder beim Online-Payment, sind deutlich größer als etwa bei einem Handwerksbetrieb.Letztlich aber gilt für alle - Unternehmen wie Versicherer: Der beste Schutz ist der, den man nicht braucht. Zwar stellen die Versicherer meist keine konkreten Bedingungen, drängen aber dennoch auf Vorsorge. Interessenten müssen auf Fragen nach Patchmanagement, Back-ups oder Antivirensoftware gefasst sein.Benutzerindividuelle Kennungen, wöchentliche Datensicherungen und aktueller Software-Stand seien schon wichtig, heißt es von Signal Iduna. Und wer seine IT-Sicherheit vorab vom Versicherer überprüfen lässt, erhält etwa bei HDI einen geringeren Selbstbehalt. Zudem unterstützen Versicherer aktiv den Aufbau von IT-Security - schon aus eigenem Interesse. Gemeinsam mit Partnern werden etwa Beratungen und Mitarbeiterschulungen angeboten.Doch mit welchen Risiken sind Händler überhaupt konfrontiert? Laut Digitalverband Bitkom ist es vor allem die Infizierung mit Schadsoftware (31%), gefolgt von DDoS-Attacken, bei denen Angreifer Server überlasten und in die Knie zwingen (27%). Es folgen Spoofing, das Vortäuschen einer falschen Identität, und Phishing, das Abfangen persönlicher Daten.Laut dem internationalen "Verizon Data Breach Investigation Report 2021" für den Einzelhandel geht es fast immer um Habgier (99%), selten um Spionage (1%). Betroffen sind meist Zahlungsdaten (42%), personenbezogene Daten (41%) und Zugangsdaten (33%).Aus der Praxis berichtet Versicherer Signal Iduna von Firmen, die keine Rechnungen, und Apotheken, die keine Rezepte mehr ausstellen können, von der Manipulation von Überwachungs- und Klimatechnik und von automatisierten Hochregallagern, vom Hacken des EC-Transfers und der Warenbestandssoftware "in größeren Dimensionen".Die IT-Experten der Polizeibehörden sind in ihrer alltäglichen Arbeit vor allem mit Ransomware konfrontiert, die Systeme verschlüsselt und Lösegeld fordert. Das US-Unternehmen Cybersecurity Ventures schätzt, dass 2021 mit Ransomware weltweit rund 20 Milliarden US-Dollar erpresst wurden, Tendenz steigend. Laut Hiscox kommen die Lösegeld-Trojaner am häufigsten per E-Mail, gefolgt von gestohlenen Identitäten.Professionelle Lösegeld-Attacken sind nicht zuletzt deshalb oft erfolgreich, da die geforderten Beträge individuell an die Möglichkeiten des vorher ausspionierten Unternehmens angepasst werden.Die Polizeit rät - bei allem Verständnis für den Einzelfall - grundsätzlich vom Bezahlen ab. Denn damit züchte man eine digitale Mafia heran, die irgendwann nicht nur für Unternehmen, sondern die ganze Gesellschaft zur Bedrohung werden könne, so das Argument.Eine beunruhigende Nachricht kommt auch vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Nach dessen Analyse legen Cyber-Attacken Unternehmen immer länger lahm. 2021 brauchten 39% der betroffenen Firmen vier Tage und mehr, um ihre Systeme wiederherzustellen, 2019 waren dies erst 18%.Auch hier zeigt sich: Die Angriffe werden nicht nur häufiger, sondern auch komplexer. Grund genug, sich aktiv mit dem Thema zu beschäftigen und Vorsorge zu treffen - mit Firewall, Virenschutz, strukturiertem Patchmanagement, Offline-Backups, regelmäßiger Mitarbeiterschulung und einem schriftlich (auf Papier) dokumentierten Notfallplan mit klaren Verantwortlichkeiten.Dieser Artikel erschien zuerst in Der Handel