Kleine Unternehmen sind schlechter geschützt gegen Cyberangriffe. Sie sind immer öfter das Ziel von Hackern. Schadsoftware verbreitet sich besonders leicht, wenn Firmen gemeinsame IT-Plattformen nutzen.
Der Wert von Unternehmen verlagert sich immer mehr von physischen zu virtuellen Gütern. Eine Studie besagt, dass geistiges Eigentum wie Patente, Trademarks, Copyrights und andere immaterielle Güter heute schon 85 % des Gesamtwerts der 500 umsatzstärksten Unternehmen der Welt ausmachen. Mit der zunehmenden «Digitalisierung» der Unternehmenswerte verschiebt sich auch das Unternehmensrisiko in diese Richtung.
Cyberangriffe breiten sich aus
Die Risiken sind vielfältig und nehmen zu: der Verlust immaterieller Güter, zerstörte oder geänderte Daten, Störungen kritischer Infrastrukturen, schwindendes Vertrauen der Öffentlichkeit oder Reputationsschäden nach einem Cyberangriff und neue rechtliche und regulatorische Sanktionen. Jedes dieser Risiken kann die Konkurrenzfähigkeit, den Aktienkurs oder den Shareholder-Value beeinträchtigen.
Noch vor wenigen Jahren verübten vor allem einzelne Hacker Cyberangriffe. Unternehmen konnten solche Ereignisse als ärgerlich und zeitaufwendig abtun, sie bedrohten ihre Existenz jedoch nicht. Heute sind Unternehmen Angriffen von hochspezialisierten Teams ausgesetzt, die Schadsoftware in mehrstufigen Angriffen gegen Systeme und Einzelpersonen einsetzen.
Während sich solche Angriffe zunächst vor allem gegen Regierungsstellen und Verteidigungsunternehmen richteten, haben sie sich inzwischen in der gesamten Wirtschaft ausgebreitet. Das bedeutet, dass praktisch jedes Unternehmen gefährdet ist. Zusätzliche Gefahren gehen von Subunternehmen und den eigenen Mitarbeitenden aus. Damit wird ein starkes und anpassungsfähiges Risikomanagement immer wichtiger, das auf die externen und internen Cyberbedrohungen ausgerichtet ist.
Vor allem KMU sind betroffen
Es ist ein verbreiteter Irrtum, dass kleinere und mittlere Unternehmen für Cyberangriffe uninteressant seien. Tatsächlich trifft die Mehrheit der Angriffe kleinere Unternehmen, die kaum über Sicherheitsmassnahmen verfügen. Gemäss einer Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich vom Herbst 2017 ist schon damals über ein Drittel der befragten KMU von einem Hackerangriff betroffen gewesen. Seither dürfte dieser Wert deutlich gestiegen sein.
Oft machen betroffene Unternehmen aus Angst vor einem Reputationsschaden solche Angriffe nicht publik, obwohl das als Warnung dienen könnte. Vor Kurzem schilderte allerdings der CEO eines Bürobedarf-Grossisten aus Aarburg
in der «NZZ» eindrücklich seine Erfahrungen mit einem Cyberangriff.
Ein weiteres Beispiel ist ein KMU aus dem Kanton Freiburg, das über eine Million Franken verlor, weil sich Hacker Zugriff auf die Firmenkonten verschafften. Nach Angaben der Polizei hackten Unbekannte den Server eines schweizweit tätigen Unternehmens. Von diesem Server aus wurden E-Mails mit einem angehängten Schadprogramm – einem sogenannten Trojaner – verschickt. Ein Buchhalter des Freiburger KMU öffnete den Mailanhang, und das Schadprogramm installierte sich auf seinem Computer. Als er sich am nächsten Tag im E-Banking seines Arbeitgebers einloggte, konnten die Betrüger auf die Firmenkonten zugreifen und Geld ins Ausland überweisen.
Auch Architektinnen und Ingenieure im Fokus
Cyberrisiken sind auch in der Planungsbranche ein Thema. Grundsätzlich können alle, die mit technischen, vertraulichen oder sonstigen sensiblen Daten arbeiten, ins Visier von Kriminellen geraten. Kundendaten sind für Hacker genauso interessant wie Konstruktionsdetails oder Unterlagen zu laufenden Ausschreibungen. Für Ingenieur- und Architekturbüros ist das ein grosses Risiko.
Arbeits- und Planungsgemeinschaften, die wichtige Dokumente auf gemeinsam betriebene IT- oder Filesharing-Plattformen hochladen, müssen besonders vorsichtig sein. Unterschiedliche Sicherheitsstandards der einzelnen Teilnehmer erleichtern eine Kontaminierung der Plattform, die von der Verschlüsselung der Dokumente bis zur Vernichtung von Plänen führen kann. Daraus kann eine Bauverzögerung entstehen, die zu einer Konventionalstrafe führt. In solchen Fällen ist nur sehr schwer zu eruieren, wer für diesen Schaden haftbar gemacht werden kann.
Cyberrisiken versichern
Die Folgen eines Cyberangriffs sind einschneidender, als es auf den ersten Blick scheint. Nach wie vor werden die wirtschaftlichen Konsequenzen eines Betriebsstillstands oder schadenersatzrechtliche Folgen eines Hackerangriffs häufig unterschätzt – ganz zu schweigen vom Imageschaden.
Seit einigen Jahren können Unternehmen solche Schäden über eine Cyber-Versicherung decken. Diese Versicherung übernimmt die Kosten von berechtigten Haftpflichtansprüchen Dritter sowie die Kosten für die Abwehr ungerechtfertigter Ansprüche. Auch Schäden, die die Firma selbst erleidet, können mitversichert werden. Grund- und Zusatzdeckungen sind nach dem Baukastenprinzip aufgebaut.
Priorität hat natürlich die Vermeidung solcher Schäden. Es lohnt sich, die technischen Möglichkeiten mit IT-Experten zu prüfen und geeignete Massnahmen umzusetzen. Wichtig sind auch regelmässige Kontrollen und laufende Updates der eingesetzten Schutzprogramme. Gleichzeitig sollten die Mitarbeitenden für Sicherheitsrisiken sensibilisiert werden. Ergänzend dazu kann eine Cyber-Versicherung je nach Ausgestaltung der Deckung unterschiedliche Folgen von Angriffen abdecken.
Cyber-Versicherung
Grunddeckung
Cyber-Haftpflicht: Vermögensschäden aufgrund gesetzlicher Haftpflichtbestimmungen, die eine Firma verschuldet, weil sie Pflichten verletzt hat. Beispiele: Hacker verschaffen sich Zugang zu einer Kundendatenbank und entwenden sensible Daten; die Kunden verklagen die Firma auf Schadenersatz. Oder einem Mitarbeitenden wird ein Laptop gestohlen. Versichert ist die Haftpflicht aus der missbräuchlichen Verwendung der Daten, die auf dem Laptop gespeichert sind.
Benachrichtigung: Kosten für die Benachrichtigung von Behörden und Personen, die vom Schaden betroffen sind.
Krisenmanagement: Kosten für Sofortmassnahmen, Beratung in juristischen oder forensischen Fragen sowie für professionelle Unterstützung bei der Öffentlichkeitsarbeit.
Datenbeschädigung: Kosten für die Wiederherstellung oder den Ersatz von Daten nach einem Cyberangriff (eigene Daten oder Daten, für die man gegenüber Dritten haftet).
Fehlbedienungen: Kosten für Schäden, die Mitarbeitende bei der Wartung oder der Aufrüstung des Computersystems fahrlässig verursachen.
Mögliche Zusatzdeckungen (je nach Anbieter unterschiedlich)
Multimedia-Haftpflicht: Ansprüche bei Verstössen gegen geistiges Eigentum Dritter im Zusammenhang mit Inhalten, die das Unternehmen des Versicherten elektronisch publiziert.
Betriebsunterbrechung: Ersatz von entgangenen Gewinnen und Mehrkosten für die Fortsetzung der Geschäftstätigkeit, wenn der Betrieb nach einem Cyberangriff stillsteht.
Cyber-Erpressung: Lösegeldzahlungen sowie die Zerstörung, Beschlagnahmung, Wegnahme oder das Abhandenkommen solcher Zahlungen, wenn Erpresser ein Computersystem ohne die geforderte Gegenleistung zu missbrauchen drohen.
Cyber-Diebstahl: Kosten von nicht autorisierten Überweisungen und Zahlungen, wenn externe Angreifer sich Zugang zu Computersystemen der Versicherten verschaffen.
Externe Dienstleister: Kosten von Sicherheitsausfällen externer Serviceprovider, die zu einem Verlust oder einer Nichtverfügbarkeit der eigenen Daten führen oder den Zugang zu Dienstleistungen verunmöglichen.
