Trügerische Sicherheit
Rund 70% fühlen sich fälschlicherweise aktuell nicht bedroht und knapp 42 % haben sich noch nicht ausreichend mit dem eigenen Cyber-Risiko befasst.
Cyberrisiken stellen eine ständige Bedrohung für Unternehmen dar, und oft wird angenommen, dass diese Risiken hauptsächlich von externen Angreifern ausgehen. Jedoch kann auch menschliches Versagen zu erheblichen Cybersicherheitsproblemen führen. Bedienfehler, wie zum Beispiel unbeabsichtigte Datenlecks oder das Öffnen von Phishing-E-Mails, sind eine der häufigsten Ursachen für Cybersicherheitsvorfälle. In diesem Artikel werden wir die Bedeutung von Cyberrisiken durch Bedienfehler beleuchten, die potenziellen Auswirkungen für Unternehmen aufzeigen und Präventionsmaßnahmen zur Minimierung dieses Risikos vorstellen.
Cyberrisiken durch Bedienfehler entstehen, wenn Mitarbeiter unbeabsichtigt Handlungen ausführen, die zu einer Sicherheitsverletzung führen. Diese Fehler können von einfachen Fehlern in der Anwendung von Sicherheitsrichtlinien bis hin zu unachtsamem Umgang mit sensiblen Informationen reichen. Da Mitarbeiter oft Zugang zu vertraulichen Daten und Unternehmenssystemen haben, ist es wichtig, die Risiken von Bedienfehlern zu erkennen und geeignete Maßnahmen zu ergreifen.
Szenario: Ein Unternehmen verwendet eine interne Software zur Verwaltung von Kundendaten und führt versehentlich einen Bedienfehler durch.
Ein Mitarbeiter des Unternehmens, der Zugriff auf die Kundendaten hat, führt eine ungewollte Aktion aus, beispielsweise das Löschen einer Kundendatenbank oder das Versenden vertraulicher Informationen an die falsche Person.
Der Bedienfehler kann auf unterschiedliche Weise entstehen, zum Beispiel aufgrund von Unaufmerksamkeit, mangelnder Schulung oder unklarer Anweisungen.
Sobald der Bedienfehler bemerkt wird, kann das Unternehmen vor Herausforderungen stehen, wie der Wiederherstellung verlorener Daten, der Benachrichtigung betroffener Kunden oder der Bewältigung von rechtlichen Konsequenzen.
Der Bedienfehler kann zu einem Vertrauensverlust bei den Kunden führen, da sie besorgt sein könnten, dass ihre Daten unsicher sind oder dass das Unternehmen nicht angemessen mit solchen Fehlern umgeht.
Das Unternehmen muss den Vorfall untersuchen, um die Ursachen des Bedienfehlers zu identifizieren und geeignete Maßnahmen zu ergreifen, um solche Fehler in Zukunft zu vermeiden. Dazu gehört möglicherweise die Verbesserung der Schulung der Mitarbeiter, die Überarbeitung interner Prozesse oder die Implementierung zusätzlicher Sicherheitsvorkehrungen.
In diesem Beispiel wird verdeutlicht, wie ein Bedienfehler in einem Unternehmen zu Cyberrisiken führen kann. Durch einen ungewollten Fehler bei der Handhabung von Kundendaten können vertrauliche Informationen gefährdet, Daten gelöscht oder an unerwünschte Empfänger gesendet werden.
Um Bedienfehler zu minimieren, sollten Unternehmen Schulungen und Schulungsprogramme für ihre Mitarbeiter durchführen, um sicherzustellen, dass sie mit den internen Systemen und Prozessen vertraut sind. Es ist wichtig, klare Richtlinien und Verfahren bereitzustellen, um Verwechslungen und Missverständnisse zu vermeiden
Des Weiteren ist es empfehlenswert, Sicherheitsmaßnahmen zu implementieren, die Bedienfehler begrenzen oder ihre Auswirkungen minimieren können. Dazu gehören beispielsweise Berechtigungsbeschränkungen, um den Zugriff auf sensible Daten zu kontrollieren, automatisierte Backupsysteme, um den Verlust von Daten zu verhindern, und Überprüfungsverfahren, um kritische Aktionen zu validieren.
Regelmäßige Überprüfungen und Audits können helfen, potenzielle Bedienfehler zu identifizieren und rechtzeitig zu korrigieren. Das Unternehmen sollte auch ein Incident-Response-Team einrichten, um schnell auf Bedienfehler zu reagieren und angemessene Maßnahmen zur Schadensbegrenzung zu ergreifen.
Indem Unternehmen die Bedeutung von sorgfältigem und sicheren Umgang mit internen Systemen betonen und entsprechende Maßnahmen ergreifen, können sie das Risiko von Bedienfehlern und damit verbundenen Cyberisiken in ihrem Unternehmen minimieren und die Sicherheit ihrer Daten und Systeme gewährleisten. Durch Schulungen, klare Richtlinien und technische Sicherheitsmaßnahmen können Bedienfehler verringert und die Auswirkungen im Falle eines Fehlers minimiert werden.
Es ist wichtig, dass alle Mitarbeiter die Bedeutung von korrektem und sicheren Umgang mit Unternehmenssystemen verstehen und sich bewusst sind, wie ihre Handlungen potenzielle Risiken beeinflussen können. Durch regelmäßige Schulungen können Mitarbeiter über bewährte Praktiken informiert werden und lernen, wie sie mögliche Bedienfehler erkennen und vermeiden können.
Zusätzlich dazu sollten Unternehmen klare Richtlinien und Verfahren für den Umgang mit sensiblen Daten und Systemen haben. Dies beinhaltet die Festlegung von Zugriffsrechten und Berechtigungen, um sicherzustellen, dass nur autorisierte Mitarbeiter auf bestimmte Daten oder Systeme zugreifen können. Durch die Implementierung von mehrstufigen Überprüfungsverfahren und Protokollierung können verdächtige Aktivitäten erkannt und schnell darauf reagiert werden.
Technische Sicherheitsmaßnahmen wie Firewalls, Antivirus-Software, Intrusion Detection Systems und regelmäßige Systemupdates tragen ebenfalls dazu bei, Bedienfehler zu minimieren und die Sicherheit der Unternehmenssysteme zu gewährleisten. Durch die regelmäßige Überprüfung und Aktualisierung dieser Maßnahmen können potenzielle Schwachstellen erkannt und behoben werden.
Im Falle eines Bedienfehlers ist es wichtig, dass Unternehmen über eine gut etablierte Incident-Response-Strategie verfügen. Dies beinhaltet die Benennung eines Incident-Response-Teams, das schnell auf Vorfälle reagieren kann, um den Schaden zu begrenzen und geeignete Maßnahmen zur Wiederherstellung und Prävention zukünftiger Bedienfehler zu ergreifen.
Zusammenfassend ist ein Cyberrisiko in Form von Bedienfehlern in einem Unternehmen ein ernstzunehmendes Problem. Durch Schulungen, klare Richtlinien, technische Sicherheitsmaßnahmen und eine gut etablierte Incident-Response-Strategie können Unternehmen jedoch das Risiko von Bedienfehlern minimieren und die Sicherheit ihrer Daten und Systeme verbessern. Indem Mitarbeiter sich bewusst sind und angemessene Vorsichtsmaßnahmen treffen, können Unternehmen ihre Widerstandsfähigkeit gegenüber Cyberrisiken stärken und ihre Geschäftskontinuität gewährleisten.
Präventionsmaßnahmen sind entscheidend, um Cyberrisiken durch Bedienfehler zu minimieren. Hier sind einige wichtige Maßnahmen:
Cyberrisiken durch Bedienfehler können erhebliche Auswirkungen auf Unternehmen haben. Daher ist es wichtig, dass Unternehmen Maßnahmen ergreifen, um diese Risiken zu minimieren. Schulungen und Sensibilisierung der Mitarbeiter, klare Richtlinien und Verfahren, Zugriffs- und Berechtigungsmanagement, technische Sicherheitslösungen, ein gut ausgearbeiteter Incident-Response-Plan sowie kontinuierliches Monitoring und Bewertung sind wesentliche Schritte, um Cyberrisiken durch Bedienfehler zu adressieren. Durch die Implementierung dieser Maßnahmen können Unternehmen das Bewusstsein für Cybersicherheit stärken, das Risiko von Bedienfehlern minimieren und die Sicherheit ihrer Systeme und Daten verbessern.
Es ist jedoch wichtig zu beachten, dass eine umfassende Cybersicherheitsstrategie nicht allein auf die Prävention von Bedienfehlern abzielen sollte. Unternehmen sollten auch andere Aspekte der Cybersicherheit wie externe Bedrohungen, technische Schwachstellen und interne Sicherheitsrichtlinien berücksichtigen.
Zusammenfassend lässt sich sagen, dass Cyberrisiken durch Bedienfehler eine bedeutende Gefahr für Unternehmen darstellen können. Durch gezielte Schulungen, klare Richtlinien, technische Sicherheitslösungen und einen gut ausgearbeiteten Incident-Response-Plan können Unternehmen jedoch das Bewusstsein für Cybersicherheit erhöhen und die Wahrscheinlichkeit von Bedienfehlern reduzieren. Eine umfassende und ganzheitliche Herangehensweise an die Cybersicherheit ist der Schlüssel, um das Risiko von Cyberrisiken insgesamt zu minimieren und die Geschäftskontinuität zu gewährleisten.
Bitte beachten Sie, dass dieser Text ausschließlich zu Informationszwecken dient und keine rechtliche oder technische Beratung darstellt. Es wird empfohlen, einen Fachexperten oder Berater zu konsultieren, um spezifische Fragen im Zusammenhang mit Cyberrisiken durch Bedienfehler zu klären.
Der Schutz vor Spam und Phishing ist eine komplexe Aufgabe, da Cyberkriminelle ständig neue Methoden entwickeln, um ihre Opfer zu täuschen. Eine Cyberschutz-Versicherung bietet finanziellen Schutz und Unterstützung im Falle eines Sicherheitsvorfalls.
Die Versicherung deckt in der Regel Kosten ab, die durch Datenschutzverletzungen, Datenwiederherstellung, rechtliche Beratung, PR-Maßnahmen und mögliche Schadenersatzforderungen von betroffenen Parteien entstehen. Darüber hinaus können Versicherungsgesellschaften auch Schulungen zur Sensibilisierung für Cyberbedrohungen und Präventionsmaßnahmen anbieten, um das Risiko von Angriffen zu reduzieren.
Indem Sie eine Cyber Schutz Versicherung abschließen, profitieren Sie von einer Reihe von Vorteilen:
Bei der Auswahl einer Cyberschutz-Versicherung sollten Sie bestimmte Kriterien beachten:
Die Bedrohungen durch Spam und Phishing nehmen stetig zu, und Unternehmen sowie Privatpersonen müssen Maßnahmen ergreifen, um sich zu schützen. Eine Cyberschutz-Versicherung bietet finanziellen Schutz, Unterstützung und Präventionsmaßnahmen, um das Risiko von Sicherheitsvorfällen zu minimieren. Bei der Auswahl einer Versicherung ist es wichtig, den Deckungsumfang, Ausschlüsse, Prämien und den Kundenservice zu berücksichtigen. Investieren Sie in eine Cyberschutz-Versicherung, um Ihr Unternehmen oder Ihre persönlichen Daten vor den Auswirkungen von Spam und Phishing zu schützen.
An einem Ganz normalen Tag in einem Unternehmen überfluteten die E-Mail-Postfächer der Mitarbeiter mit unzähligen Spam-E-Mails. Die E-Mails enthielten Werbung für zwielichtige Produkte und Dienstleistungen, und viele von ihnen enthielten auch Links zu gefährlichen Websites.
Einige Mitarbeiter erkannten schnell, dass es sich um Spam handelte, und löschten die E-Mails einfach. Andere jedoch öffneten die E-Mails und klickten auf die Links, in der Hoffnung, ein Schnäppchen zu machen oder mehr Informationen zu erhalten.
Was die Mitarbeiter nicht wussten, war, dass die Links in den Spam-E-Mails zu gefälschten Webseiten führten, die von Cyberkriminellen erstellt wurden. Diese gefälschten Webseiten sahen aus wie legitime E-Commerce-Seiten, aber tatsächlich wurden sie verwendet, um Malware und andere schädliche Software auf den Computern der Mitarbeiter zu installieren.
Als sich die Malware auf den Computern der Mitarbeiter ausbreitete, erhielten die Angreifer Zugriff auf vertrauliche Unternehmensdaten, einschließlich Kundeninformationen, Geschäftsgeheimnisse und Finanzinformationen. Die Sicherheit des gesamten Unternehmens war kompromittiert.
Es dauerte eine Weile, bis die Firma den Vorfall bemerkte. Als sie jedoch feststellten, dass ihre Daten gefährdet waren, starteten sie eine umfassende Untersuchung. Die IT-Abteilung fand schließlich heraus, dass es sich um einen raffinierten Spam-Angriff handelte, der das Unternehmen ins Visier genommen hatte.
Das Unternehmen musste Maßnahmen ergreifen, um den entstandenen Schaden zu beheben. Sie mussten die Systeme neu sichern, Malware entfernen und alle Mitarbeiter erneut schulen, um sie für Spam-Angriffe zu sensibilisieren. Der Ruf des Unternehmens wurde beschädigt, und es entstanden erhebliche finanzielle Verluste.
Dieser Fall verdeutlicht, wie gefährlich und schädlich Spam-Angriffe für Unternehmen sein können. Die Angreifer nutzen geschickte Taktiken, um die Mitarbeiter zu täuschen und Zugang zu vertraulichen Informationen zu erhalten. Es ist entscheidend, dass Unternehmen Schulungen zur Sensibilisierung für Spam-Angriffe durchführen, Sicherheitsrichtlinien implementieren und Mitarbeiter dazu ermutigen, verdächtige E-Mails zu melden. Durch erhöhte Wachsamkeit und Sicherheitsmaßnahmen können Unternehmen ihre Systeme besser schützen und Spam-Angriffe abwehren. Darüber hinaus ist es wichtig, dass Unternehmen robuste Sicherheitsmaßnahmen implementieren, wie z.B. Firewalls, Antivirensoftware und regelmäßige Sicherheitsaudits, um potenzielle Schwachstellen zu erkennen und zu beheben.
305 Entscheiderinnen und Entscheider wurden im Juni 2018 von INNOFACT im Auftrag der CyberDirekt GmbH befragt. Die Befragten stammen aus verschiedenen Branchen, darunter E-Commerce (24), Handel (94), Baugewerbe (86), Dienstleistungen (186) und IT (121). Über 86 % der Befragten gaben an, für ein Unternehmen mit 20 bis 249 Mitarbeitenden tätig zu sein. In Bezug auf den Jahresumsatz waren knapp 84 % der Befragten aus Unternehmen mit einem Umsatz zwischen einer und 50 Millionen Euro. Insgesamt zeigt die Studie, dass es sich hauptsächlich um kleine und mittelständische Unternehmen handelt. 70,8 % der Befragten waren leitende Angestellte, während 17,2 % selbstständig und 11,9 % Angehörige der Geschäftsführung waren. Die Umfrage umfasste zwölf Fragen, deren Antworten in die Kernthesen der Studie eingeflossen sind.
Rund 70% fühlen sich fälschlicherweise aktuell nicht bedroht und knapp 42 % haben sich noch nicht ausreichend mit dem eigenen Cyber-Risiko befasst.
Der Totalausfall der eigenen IT-Systeme ist mit 65 % die am meisten gefürchtete Auswirkung.
Der 24h-Notfall Support wird mit 63 % als größter Mehrwert einer Cyber-Versicherung gesehen, nahezu gleichauf liegen die Daten- und Systemwiederherstellungskosten.
Trotzdem haben erst rund 12 % eine solche Cyber-Versicherung abgeschlossen. Etwa 43 % haben sich bisher noch nicht mit einem Abschluss befasst.
Auf das PreisLeistungs-Verhältnis legen 94 % bei der Wahl einer Cyber-Versicherung Wert. Am wenigsten entscheidend ist der Bekanntheitsgrad des Anbieters
Über ein Viertel war innerhalb der letzten zwei Jahre bereits Opfer eines Cyber-Angriffs.
Die durchschnittliche Schadenhöhe durch erfolgreiche Cyber-Angriffe liegt bei über 190.000 Euro.
Erst ein gutes Drittel nutzen Patchmanagement zur Behebung von bekannten Schwachstellen. Nicht einmal die Hälfte macht wöchentliche externe Datensicherungen. Aktueller Virenschutz wird hingegen bei über 75 % eingesetzt.
Knapp ein Fünftel schult seine Mitarbeitenden noch nicht vor Cyber-Gefahren. Nur ein Viertel nutzt aktuell regelmäßig Phishing-Tests zur besseren Gefahrenerkennung.
Im Gegensatz zu Feuer oder Blitzschlag, die als greifbare Gefahren wahrgenommen werden können, stellt eine Cyber-Attacke eine abstrakte Bedrohung dar. Die Angriffe erfolgen lautlos und unsichtbar, wobei lediglich die schwerwiegenden Auswirkungen spürbar sind. Aufgrund dieser Abstraktheit werden Cyber-Angriffe von vielen Entscheidern immer noch unterschätzt. Laut einer Umfrage fühlen sich derzeit 69,5 % der befragten mittelständischen Unternehmen nicht durch einen Cyber-Angriff bedroht. Am wenigsten bedroht fühlen sich Unternehmen aus dem Handel mit 76,6 %, gefolgt vom Baugewerbe mit 75,6 % und der Dienstleistungsbranche mit 72,6 % (siehe Abbildung 1).
Die Ursachen für das trügerische Sicherheitsgefühl können zwar vielfältig sein, sind letztendlich jedoch irrelevant. Die Tatsache bleibt bestehen: Keine noch so fortschrittliche IT-Sicherheitsmaßnahme kann einen hundertprozentigen Schutz gewährleisten. Unternehmen aus der IT-Branche haben diese Realität am ehesten erkannt. Dort schätzen 43,8 % die Bedrohung durch Cyber-Angriffe als real ein, gefolgt von E-Commerce-Unternehmen mit 37,5 %.
Obwohl fast 70 % der befragten mittelständischen Unternehmen sich derzeit nicht von einer Cyber-Bedrohung bedroht fühlen, gibt über ein Viertel an, in den letzten beiden Jahren Opfer eines erfolgreichen Cyber-Angriffs geworden zu sein (siehe Abbildung 2a). Insbesondere IT-Unternehmen waren mit einer Quote von 40,5 % betroffen, während die Zahl bei Unternehmen der Dienstleistungsbranche mit 16,7 % vergleichsweise niedrig war. Interessanterweise war die Betroffenheit unabhängig von der Unternehmensgröße nach Umsatz mit Werten zwischen 25,5 % und 28 % relativ gleichmäßig verteilt.
Die durchschnittliche Höhe des Schadens für alle betroffenen Unternehmen betrug 193.697 Euro. Bei Unternehmen mit einem Jahresumsatz von weniger als 10 Millionen Euro kann dies schnell zu einer ernsthaften finanziellen Bedrohung werden, die für fast zwei Drittel (64 %) der befragten Unternehmen zutrifft. Der finanzielle Schaden war mit durchschnittlich 511.400 Euro im Baugewerbe besonders hoch. Fast die Hälfte (46,8 %) der Unternehmen mit einem Jahresumsatz von über 10 Millionen Euro hatten einen Schaden von mehr als 10.000 Euro erlitten.
42,7% der befragten mittelständischen Unternehmen gaben an, dass sie jemanden in ihrem direkten Umfeld kennen, der von einem Cyber-Angriff betroffen war. Im Vergleich zu unserer letzten Studie im Jahr 2018 (30,5%) ist dieser Wert gestiegen. Obwohl die Anzahl der Unternehmen, die noch keinen Berührungspunkt mit erfolgreichen Cyber-Angriffen hatten, abnimmt, wird die tatsächliche Gefahr nach wie vor unterschätzt. Es ist wichtig zu betonen, dass erfolgreiche Cyber-Angriffe in jeder Branche und Unternehmensgröße auftreten können und schnell existenzbedrohend werden können.
Fast zwei Drittel (65 %) der Befragten befürchten nach einem Cyber-Angriff den Totalausfall ihres IT-Systems als die schlimmste Folge. Unternehmen, die größer und professioneller sind, sind sich der Gefahr bewusster.
Auf Platz 2 folgen Umsatzeinbußen mit 48,9 %. Insbesondere E-Commerce-Unternehmen machen sich hier große Sorgen (66,7 %). Kleine Unternehmen mit einem Jahresumsatz von unter 500.000 Euro haben mit nur 28 % am wenigsten Angst vor Umsatzeinbußen.
Die ungewollte Veröffentlichung von Kundendaten belegt den dritten Platz der meist gefürchteten Auswirkungen nach einem Cyber-Angriff mit 48,5 %. Dieses Risiko bereitet 58,1 % der Dienstleister die größten Sorgen (siehe Abbildung 3).
Bei 54,4 % der befragten Unternehmen wurde Cyber-Security in allen Branchen als wichtig oder sehr wichtig eingestuft. IT-Unternehmen erreichten mit 62,8 % den höchsten Wert, während Dienstleistungsunternehmen mit 47,8 % das Schlusslicht bildeten.
Zusätzlich zu branchenspezifischen Einschätzungen gibt es Unterschiede im Bewusstsein für Cybergefahren je nach Unternehmensgröße. Die größten Unternehmen mit einem Jahresumsatz von mehr als 10 Millionen Euro bewerten das Thema Cyber-Security mit 58,2 % am häufigsten als wichtig oder sehr wichtig. Für 52 % der kleinen Unternehmen mit einem Jahresumsatz von unter 500.000 Euro ist Cyber-Security eher unwichtig.
Insgesamt gaben 8,4 % der Unternehmen an, dass sie Cyber-Security entweder nicht wichtig oder überhaupt nicht wichtig finden (siehe Abbildung 4).
Das Thema "Cyber-Security" ist bei 70,1 % aller Befragten im gesamten Unternehmen, einschließlich aller Abteilungen, (sehr) bekannt. Mit einem Bekanntheitsgrad von 86 % erreichen IT-Unternehmen die höchste Aufklärungsquote (siehe Abbildung 4).
Allerdings ist Cyber-Security für 2,9 % der befragten Unternehmen entweder unbekannt oder gänzlich unbekannt.
Unter den Befragten werden schwache Passwörter mit 57,3 % und die Nutzung öffentlicher WLAN-Netzwerke mit 47,6 % als die größten Cyber-Gefahrenquellen im Arbeitsumfeld genannt. Diese beiden Gefahrenquellen führten auch bei unserer Studie von 2018 die Liste an, allerdings nur mit 36,1 % für schwache Passwörter und 34,4 % für die Nutzung öffentlicher WLAN-Netzwerke. Verspätete System-Updates (42,5 % im Vergleich zu 27,5 % im Jahr 2018) und eigene Geräte der Mitarbeiter im internen WLAN-Netzwerk (41,9 % im Vergleich zu 23,3 % im Jahr 2018) folgen dicht dahinter.
In der Befragung wurden der Einsatz der Firmenkreditkarte (20,7 %) und die Website mit Terminbuchung und Kontaktformular (20,4 %) als die geringsten Gefahrenquellen eingestuft. Lediglich 25,4 % der Befragten fürchten sich vor einem behördlichen Datenschutzverfahren und Bußgeldern (siehe Abbildung 5).
Mittelständische Unternehmen setzen am häufigsten auf Virenschutz als Maßnahme zur Absicherung gegen Cyber-Risiken, wie 75,3 % der Befragten angeben. Im Vergleich dazu wird Patch-Management nur von 35,8 % genutzt. Über die Hälfte der Unternehmen nutzen Virenschutz, Firewall, starke Passwörter, VPN-Verschlüsselung und regelmäßige Passwortänderungen als Basisabsicherung. Dies entspricht weitgehend den Ergebnissen der Studie von 2018, bei der ebenfalls Virenschutz, Firewall und starke Passwörter an erster Stelle standen. Interessanterweise setzen kleine Unternehmen bis 500.000 Euro Jahresumsatz die regelmäßige Passwortänderung nur halb so oft ein wie der Durchschnitt aller Unternehmensgrößen. In der wissenschaftlichen Debatte gibt es kontroverse Erkenntnisse darüber, wie komplex Passwörter sein sollten und wie oft sie geändert werden sollten. Die Zwei-Faktor-Authentifizierung wird im Vergleich dazu mit 41,9 % als deutlich sicherere Variante betrachtet und hat bereits eine hohe Akzeptanz und Verbreitung. Nur 48,1 % der Befragten geben an, wöchentlich eine externe Datensicherung durchzuführen, die damit auf Rang 6 landet.
Nur knapp die Hälfte (42,7 %) der mittelständischen Unternehmen führt regelmäßige Schulungen durch, um die Mitarbeitenden für Cyber-Risiken zu sensibilisieren. In kleinen Unternehmen mit weniger als einer Million Euro Jahresumsatz erfolgt dies sogar nur bei weniger als einem Drittel (27,3 %), bei Unternehmen bis zu 500.000 Euro Jahresumsatz sogar nur bei 12 %. Ein Krisenplan als Instrument zur besseren Reaktion bei erfolgreichen Cyber-Angriffen wurde bisher nur von einem Fünftel (21,9 %) der Unternehmen umgesetzt. Die Vorbereitung auf den Ernstfall hat sich jedoch als wichtiges Instrument zur Schadensbegrenzung und Kontrolle der Lage erwiesen (Abb. 6). Nur knapp über ein Viertel (25,2 %) der Unternehmen führt regelmäßig Phishing-Tests durch. Etwa ein Fünftel (18,4 %) der Unternehmen schult ihre Mitarbeitenden überhaupt nicht (Abb. 7b). Besonders kritisch ist die Situation bei kleinen Unternehmen mit einem Umsatz von bis zu einer halben Million Euro, wo 28 % der Unternehmen angeben, derzeit keine regelmäßigen Schulungen durchzuführen.
Lediglich ein Viertel (24,7 %) der Entscheiderinnen und Entscheider betrachtet eine Cyber-Versicherung als effektive Maßnahme zur Absicherung des Restrisikos (Abb. 6). Im Vergleich zur Studie von 2018 hat sich dieser Wert zwar erhöht, bleibt jedoch erschreckend niedrig. Die geringe Akzeptanz kann damit zusammenhängen, dass die Mehrwerte einer Cyber-Versicherung nur langsam verstanden werden.
Als höchsten Mehrwert einer Cyber-Versicherung sehen die befragten mittelständischen Unternehmen mit 63 % aktuell einen 24h-Notfall Support. In der Studie 2018 lag diese Leistung noch auf Platz 3. Die Unterstützung durch spezialisierte IT-Krisenexperten, die den Unternehmen sofort zur Seite stehen und bei der Bewältigung des Vorfalls helfen, haben also stark an Bedeutung gewonnen.
Dicht gefolgt kommt auf Rang 2 der wichtigsten Mehrwerte einer Cyber-Versicherung die Kostenübernahme für die Wiederherstellung der IT-Systeme und der Daten mit 62,8 %. Vor vier Jahren war diese Leistung noch auf Platz 1. Danach folgen die Kostenübernahme für IT-Forensik und Entfernung der Schadsoftware mit 59,3 %, die 2018 noch auf Platz 4 lagen. Die Kompensation des Umsatzausfalls während der Betriebsunterbrechung ist mit 58,5 % auf Rang 4 geklettert und konnte deutlich an Bedeutung zu legen. 2018 war sie noch auf Platz 6.
Eher unwichtig werden die Benachrichtigungskosten (45,6 %), die bei der letzten Studie den letzten Rang ausgemacht haben, sowie das Krisenmanagement und die Kommunikationsberatung (48,9 %) eingeschätzt. Vor allem den Befragten im Onlinehandel ist eine Kompensation von Umsatzausfällen mit 87,5 % wichtig. Dies deckt sich mit der höchsten Gefahreneinschätzung.
Die Mehrheit der Befragten (57,3 %) haben sich schon aktiv mit dem Abschluss einer Cyber-Versicherung auseinandergesetzt. Mit knapp drei Viertel (73,6 %) ist die Gruppe der befragten mittelständischen Unternehmen aus dem IT-Segment Spitzenreiter, gefolgt vom E-Commerce Unternehmen mit zwei Drittel (66,7 %). Digital affine Unternehmen scheinen eine deutlich ausgeprägteres Risikobewusstsein für Cyber-Gefahren zu haben. Aktuell suchen 17,8 % der befragten Unternehmen nach einer passenden Cyber-Versicherung.
Das Preis-Leistungsverhältnis stellt für 94,1 % der Unternehmen eine entscheidende Rolle bei der Auswahl einer Cyber-Versicherung dar. Hier können spezialisierte Maklerhäuser und Marktvergleiche bei der Bewertung und Auswahl unterstützen. Als weiteren besonders wichtigen Punkt wird die Deckungssumme erachtet.
Für 94,5 % aller Befragten kommt es entscheidend auf dieses Kriterium bei der Auswahl an. Der Bekanntheitsgrad des Versicherers spielt hingegen für nur 74,2 % eine entscheidende Rolle und ist
damit am unwichtigsten. Große Markennamen dürften es damit nicht automatisch leichter haben.
Unter den vielen verschiedenen Cyber-Angriffsarten ist der "Fake President"-Angriff eine sehr verbreitete Variante. Dabei geben sich Betrüger:innen beispielsweise als Geschäftsführer:in aus und bitten Mitarbeiter:innen auf verschiedene Arten, eine kurzfristige Überweisung zu veranlassen. Diese Anfragen können per E-Mail, Telefon oder sogar per Instant-Messaging-App erfolgen. Oft verwenden die Angreifer:innen gefälschte Absenderadressen oder kopieren das Aussehen von legitimen E-Mails, um den Anschein zu erwecken, dass es sich um eine legitime Anfrage handelt. Wenn die Mitarbeitenden dann auf diese Anfragen eingehen, kann dies zu erheblichen finanziellen Schäden für das Unternehmen führen. Daher ist es wichtig, dass Mitarbeitende in solchen Fällen vorsichtig sind und Überweisungsanfragen immer sorgfältig prüfen und verifizieren, bevor sie ihnen nachkommen.
In den meisten Tarifen einer Cyber-Versicherung ist ein solcher Fall abgedeckt oder kann als optionaler Baustein hinzugefügt werden. Allerdings unterscheiden sich die Bedingungen für den Versicherungsschutz oft erheblich, sodass es ratsam ist, die Tarifbedingungen vorab sorgfältig zu vergleichen. Eine umfassende und angemessene Cyber-Versicherung kann für Unternehmen von großer Bedeutung sein, um sich gegen die ständig wachsenden digitalen Bedrohungen zu schützen und wirtschaftliche Schäden abzuwenden. Was sollte abgedeckt werden?
In Versicherungsverträgen werden Cyberattacken oder Hackerangriffe als "Informationssicherheitsverletzung" oder "Netzwerksicherheitsverletzung" bezeichnet. Versicherungsunternehmen können in den Bedingungen die verschiedenen Szenarien einschränken, die den Versicherungsfall auslösen können. In der Regel greift der Versicherungsschutz, wenn eines der drei Schutzbedürfnisse der IT-Sicherheit beeinträchtigt ist.
In der Regel wird dies als "unbefugte Nutzung" oder "unautorisierte Eingriffe" in das geschützte IT-System beschrieben. Einige Versicherungsunternehmen verwenden hierbei unvollständige Aufzählungen, was für Sie als Versicherungsnehmer von Vorteil sein kann. Dadurch wird der Auslöser einer Cyber-Versicherung sehr weit definiert und greift bereits frühzeitig.
Eine Cyber-Erpressung tritt auf, wenn jemandem illegal mit einer Verletzung der Netzwerksicherheit, Informations- oder Datenverletzung gedroht wird und zur Abwendung ein Lösegeld gefordert wird, in der Regel in Form von Bitcoin.
Jede Form von Gegenleistung, wie Geld, Waren oder Handlungen, die von einem Versicherten oder einer mitversicherten natürlichen Person gefordert wird, gilt als Lösegeld.
Ein praktisches Beispiel für eine Cyber-Erpressung wäre der Fall, in dem ein Arzt oder eine Ärztin gehackt wird und dessen Praxissoftware sowie sensible Patientendaten verschlüsselt werden. Die Freigabe erfolgt nur gegen Zahlung eines Lösegeldes. Obwohl es sich wie eine Krimigeschichte anhört, ist dies oft die Realität.
In vielen Fällen ist die Verletzung des Datenschutzes eine direkte Folge der bereits erwähnten Informationssicherheitsverletzung. Die Cyber-Versicherung erkennt jedoch auch eine Datenschutzverletzung als alleinigen Auslöser des Schadensfalls an, wobei die verwendeten Begriffe je nach Tarif unterschiedlich sein können. "Datenschutzverletzung", "Datenrechtsverletzung" oder "Verletzung von Datenschutzbestimmungen" beziehen sich jedoch alle auf den gleichen Tatbestand.
Eine Datenschutzverletzung kann durch den Verlust, die Erstellung unautorisierte Kopien, Veröffentlichung, Veränderung oder Löschung von Datensätzen sowie durch einen Verstoß gegen gesetzliche oder vertragliche Datenschutzbestimmungen entstehen.
Eine interessante Neuerung vieler Cyber-Versicherungen besteht in der Erweiterung der Begriffsdefinition von "Daten". Oft sind sowohl elektronische als auch physische Daten (z.B. Papierakten) eingeschlossen. Eine Cyber-Versicherung deckt in diesem Fall auch das Risiko einer Datenschutzverletzung ab, das z.B. auf Verlust, Diebstahl oder unbefugten Zugriff auf physische Daten zurückzuführen ist. Beispiele dafür können der Diebstahl eines elektronischen Geräts (Laptops/Firmenhandys) oder einer Aktentasche sein.
In der Cyber-Versicherung wird der Begriff "Bedienfehler" verwendet, um die unsachgemäße Nutzung von IT-Systemen (Hard- und Software) durch Mitarbeiter zu beschreiben, sei es durch fahrlässiges oder sogar grob fahrlässiges Handeln oder Unterlassen. Wenn ein solcher Fehler dazu führt, dass Daten verändert, beschädigt, gelöscht, verschlüsselt oder verloren gehen, ist der daraus entstehende Schaden durch die Cyber-Versicherung abgedeckt. Es ist jedoch nicht nur das Unternehmen selbst, sondern auch beauftragte freie Mitarbeiter oder Mitglieder der Geschäftsführung, die unter den Versicherungsschutz fallen.
Ein typisches Beispiel für einen Bedienfehler wäre das versehentliche Löschen einer Datei oder einer großen Menge an Kundendaten. Auch das unbeabsichtigte Mitwirken eines Nutzers bei der Aktivierung oder dem Herunterladen von Schadsoftware kann als Bedienfehler angesehen werden.
Durchführung regelmäßiger Datensicherungen auf externen Systemen.
Fortlaufender Virenschutz, der sich stets auf dem aktuellsten Stand befindet.
Betreiben einer Firewall, die unerwünschte eingehende und ausgehende Kommunikationsverbindungen unterbindet.
Deckungsumme | Jahresbeitrag (netto) Selbstbehalt 500 EUR |
Jahresbeitrag (netto) Selbstbehalt 1.000 EUR |
|
---|---|---|---|
€ 100.000 | |||
€ 250.000 | |||
€ 500.000 | |||
€ 1.000.000 | |||
€ 2.000.000 |
Berufshaftpflicht Vergleich als unabhängiger Fachmakler berücksichtigt in Ihrem Sinne den Versicherungsmarkt und bietet speziell für Steuerberater, Rechtsanwälte und Wirtschaftsprüfer maßgeschneiderte Cyber Schutz Versicherungsangebote.