KMU: Das neue Ziel von Ha­ckern

espazium, 22.08.2019

Von Marco Meili, Versicherungsexperte beim VZ VerögensZentrum in Zürich

Kleine Unternehmen sind schlechter geschützt gegen Cyberangriffe. Sie sind immer öfter das Ziel von Hackern. Schadsoftware verbreitet sich besonders leicht, wenn Firmen gemeinsame IT-Plattformen nutzen.

Der Wert von Unternehmen verlagert sich immer mehr von physischen zu virtuellen Gütern. Eine Studie besagt, dass geistiges Eigentum wie Patente, Trademarks, Copyrights und andere immaterielle Güter heute schon 85 % des Gesamtwerts der 500 umsatzstärksten Unternehmen der Welt ausmachen. Mit der zunehmenden "Digitalisierung" der Unternehmenswerte verschiebt sich auch das Unternehmensrisiko in diese Richtung.

Cyberangriffe breiten sich aus

Die Risiken sind vielfältig und nehmen zu: der Verlust immaterieller Güter, zerstörte oder geänderte Daten, Störungen kritischer Infrastrukturen, schwindendes Vertrauen der Öffentlichkeit oder Reputationsschäden nach einem Cyberangriff und neue rechtliche und regulatorische Sanktionen. Jedes dieser Risiken kann die Konkurrenzfähigkeit, den Aktienkurs oder den Shareholder-Value beeinträchtigen.

Noch vor wenigen Jahren verübten vor allem einzelne Hacker Cyberangriffe. Unternehmen konnten solche Ereignisse als ärgerlich und zeitaufwendig abtun, sie bedrohten ihre Existenz jedoch nicht. Heute sind Unternehmen Angriffen von hochspezialisierten Teams ausgesetzt, die Schadsoftware in mehrstufigen Angriffen gegen Systeme und Einzelpersonen einsetzen.

Während sich solche An­griffe zunächst vor allem gegen Regierungsstellen und Verteidigungsunternehmen richteten, haben sie sich inzwischen in der gesamten Wirtschaft ausgebreitet. Das bedeutet, dass praktisch jedes Unternehmen gefährdet ist. Zusätzliche Gefahren gehen von Subunternehmen und den eigenen Mitarbeitenden aus. Damit wird ein starkes und anpassungsfähiges Risikomanagement immer wichtiger, das auf die externen und internen Cyberbedrohungen ausgerichtet ist.

Vor allem KMU sind ­betroffen

Es ist ein verbreiteter Irrtum, dass kleinere und mittlere Unternehmen für Cyberangriffe uninteressant seien. Tatsächlich trifft die Mehrheit der Angriffe kleinere Unternehmen, die kaum über Sicherheitsmassnahmen verfügen. Gemäss einer Umfrage des Markt- und Sozialforschungsinstituts gfs-zürich vom Herbst 2017 ist schon damals über ein Drittel der befragten KMU von einem Hackerangriff betroffen gewesen. Seither dürfte dieser Wert deutlich gestiegen sein.

Oft machen betroffene Unternehmen aus Angst vor einem Reputationsschaden solche Angriffe nicht publik, obwohl das als Warnung dienen könnte. Vor Kurzem schilderte allerdings der CEO eines Bürobedarf-Grossisten aus Aarburg in der "NZZ" eindrücklich seine Erfahrungen mit einem Cyberangriff.

Ein weiteres Beispiel ist ein KMU aus dem Kanton Freiburg, das über eine Million Franken verlor, weil sich Hacker Zugriff auf die ­Firmenkonten verschafften. Nach Angaben der Polizei hackten Unbekannte den Server eines schweizweit tätigen Unternehmens. Von diesem Server aus wurden E-Mails mit einem angehängten Schadprogramm – einem sogenannten Trojaner – verschickt. Ein Buchhalter des Frei­burger KMU öffnete den Mail­anhang, und das Schadprogramm installierte sich auf seinem Computer. Als er sich am nächsten Tag im E-Banking seines Arbeitgebers einloggte, konnten die Betrüger auf die Firmenkonten zugreifen und Geld ins Ausland überweisen.

Auch Architektinnen und Ingenieure im Fokus

Cyberrisiken sind auch in der Planungsbranche ein Thema. Grundsätzlich können alle, die mit ­technischen, vertraulichen oder sonstigen sensiblen Daten arbeiten, ins Visier von Kriminellen geraten. Kundendaten sind für Hacker genauso interessant wie Konstruk­tionsdetails oder Unterlagen zu laufenden Ausschreibungen. Für Ingenieur- und Architekturbüros ist das ein grosses Risiko.

Arbeits- und Planungsgemeinschaften, die wichtige Dokumente auf gemeinsam betriebene IT- oder Filesharing-Plattformen hochladen, müssen besonders vorsichtig sein. Unterschiedliche Sicherheitsstandards der einzelnen Teilnehmer erleichtern eine Kontaminierung der Plattform, die von der Verschlüsselung der Dokumente bis zur Vernichtung von Plänen führen kann. Daraus kann eine ­Bauverzögerung entstehen, die zu einer Konventionalstrafe führt. In solchen Fällen ist nur sehr schwer zu eruieren, wer für diesen Schaden haftbar gemacht werden kann.

Cyberrisiken versichern

Die Folgen eines Cyberangriffs sind einschneidender, als es auf den ersten Blick scheint. Nach wie vor werden die wirtschaftlichen Konsequenzen eines Betriebsstillstands oder schadenersatzrechtliche Folgen eines Hackerangriffs häufig unterschätzt – ganz zu schweigen vom Imageschaden.

Seit einigen Jahren können Unternehmen solche Schäden über eine Cyber-Versicherung decken. Diese Versicherung übernimmt die Kosten von berechtigten Haftpflichtansprüchen Dritter sowie die Kosten für die Abwehr ungerechtfertigter Ansprüche. Auch Schäden, die die Firma selbst erleidet, können mitversichert werden. Grund- und Zusatzdeckungen sind nach dem Baukastenprinzip aufgebaut.

Priorität hat natürlich die Vermeidung solcher Schäden. Es lohnt sich, die technischen Möglichkeiten mit IT-Experten zu prüfen und geeignete Massnahmen um­zusetzen. Wichtig sind auch regelmässige Kontrollen und laufende Updates der eingesetzten Schutzprogramme. Gleichzeitig sollten die Mitarbeitenden für Sicherheitsrisiken sensibilisiert werden. Ergänzend dazu kann eine Cyber-Versicherung je nach Ausgestaltung der Deckung unterschiedliche Folgen von Angriffen abdecken.

Diese Seite teilen