Cyberkriminalität bedroht ausnahmslos alle Unternehmen. Für Gießereien kommen noch zusätzliche Risiken hinzu, da die kritische Infrastruktur heute größtenteils von IT gesteuert wird. Was passieren kann, wenn Kriminelle die Steuerung übernehmen, kann sich jeder Verantwortliche ausmalen. Die „Übernahme“ eines deutschen Hochofens ist bereits einige Zeit her, die Gefahren haben allerdings tendenziell zugenommen.
Dass es in einer Gießerei bei einem Ausfall seiner IT sowohl in den kaufmännischen wie technischen Prozessen zum Stillstand kommt, ist traurige Realität, ebenso, dass der Verlust von Daten nicht nur zu zeitlichen Verzögerungen führt, sondern die wirtschaftliche Existenz bedroht.
Zwar mögen Mittelständler nicht im Fokus der Kriminellen stehen, gezielte Angriffe auf bekannte Organisation erfolgen allerdings zunehmend mittels sogenannter Bots, die im Netz Angriffsobjekte suchen, wahllos vorgehen und praktisch jeden treffen können.
Ein erfolgreicher Hacker-Angriff auf ein Großunternehmen verursacht einen wirtschaftlichen Schaden von durchschnittlich 1,8 Millionen Euro. Bei kleinen und mittelständischen Unternehmen liegt der Durchschnittswert bei 70.000 Euro.
Der weitere Text macht keinen Gießereiverantwortlichen zu einem IT- oder Cyberexperten, ermöglicht aber die konstruktiv-kritische Prüfung der aktuellen Schutzmaßnahmen um darauf aufbauend Schwachstellen zu beseitigen. Zu den Schutzmaßnahmen kann eine Versicherung für den Fall eines erfolgreichen Angriffs gehören.
Sicherheitsstandards einer Cyberversicherung
Ohne ein Mindestmaß an Sicherungen kann keine Cyber-Versicherung abgeschlossen werden. Die Mindestsicherheitsvorkehrungen, die von den Versicherern verlangt werden, sind vom Umsatz des Unternehmens als auch der gewünschten Versicherungssumme abhängig. Im Einzelfall erfolgt die Abstimmung der Sicherheitsvorkehrungen zwischen den eigenen IT-Spezialisten und dem Versicherer.
Für Unternehmen bis zu einem Jahresumsatz von 10 Millionen Euro sind folgende Sicherungen zu gewährleisten:
- Antivirenprogramme mit aktuellen Virendatenbanken
- regelmäßige Datensicherung auf Datenträgern oder separierten Systemen
- Firewalls an sämtlichen Übergängen in das Internet für stationäre IT-Systeme
Zusätzlich sollten die folgenden Schutzmaßnahmen gewährleistet sein:
- rasches Aufspielen von Updates und Sicherheitspatches.
Betriebssysteme oder Programme fordern häufig dazu auf, ein Update einzuspielen. Oft verbergen sich dahinter Sicherheitspatches, aktuelle Versionen einer Software, in der eine Sicherheitslücke geschlossen wurde. - sparsame Nutzung und Einrichtung von IT-Administratorenzugänge.
Wer einen Computer einrichtet, sollte ein Administratorprofil mit gesondertem Kennwort anlegen und dieses Profil nur benutzen, wenn neue Programme eingerichtet oder das Be-triebssystem konfiguriert werden. - Sicherung von Mobilgeräten.
Nicht auszuschließen ist, dass ein Laptop im Zug vergessen oder das Smartphone aus der Tasche gestohlen wird. Wenn diese Geräte ungeschützt sind, können Diebe Passwörter oder sensible Firmendaten abfischen. Deshalb sollten alle mobilen Datenträger vollverschlüsselt und mithilfe eines Passworts geschützt sein. Daten auf Laptops oder Handys sollten aus der Ferne gelöscht werden können. - komplexe Passwörter.
Einfach zu erratende Passwörter sind eines der häufigsten Einfallstore für Angreifer. Um es Hackern nicht zu einfach zu machen, sollte es einen Mindeststandard für Passwörter geben. Diese sollten eine bestimmte Passwortlänge (bspw. mindestens acht Zeichen) vorschreiben und die Nutzer dazu verpflichten, mindestens ein Sonderzeichen und eine Zahl für ihr Passwort zu verwenden. - Einrichtung individuelle Mitarbeiterzugänge.
Jeder Mitarbeiter sollte einen eigenen Benutzeraccount mit eigenem Passwort besitzen. Darüber definieren Administratoren, welche Berechtigungen ein Mitarbeiter hat und welche nicht. Zudem kann bei einem Angriff über einzelnen Nutzeraccounts besser nachvollzogen werden, wie der Eindringling in das Netzwerk gelangte. - Verhinderung der Manipulation von Sicherungskopien.
Backups sind die Rückversicherung für den Fall gelöschter und manipulierter Daten. Die Datensicherung sollte physisch getrennt vom Server aufbewahrt werden. - Prüfung der Sicherheitskopien
Von Zeit zu Zeit sollte geprüft werden, ob sie mithilfe der Sicherheitskopien die Daten tatsächlich wiederherstellen können. Der Notfall ist der schlechteste Zeitpunkt, um festzustellen, dass die Sicherungskopie fehlerhaft ist.
Was eine Cyberversicherung kostet
Für größere Unternehmen und Konzerne erfolgt die Beitragskalkulation individuell nach eingehender Risikoprüfung des Versicherten.
Für Unternehmen bis zu einem Jahresumsatz von 10 Millionen Euro bieten Cyberversicherer ein vereinfachtes Antragsmodellverfahren an. Die Beitragshöhe ist abhängig vom Umsatz der Gießerei, der gewünschten Versicherungssumme und dem gewünschten Versicherungsumfang. Die Vereinbarung einer höheren Selbstbeteiligung wirkt sich preislich zudem meist günstig aus.
Aktuell beträgt der Beitrag für ein Unternehmen mit einem Umsatz von 2,5 Millionen Euro und einer Absicherung für Cyber-Eigenschäden, Betriebsunterbrechung, Erpressung sowie Cyberhaftpflicht und einer vereinbarten Selbstbeteiligung von 500 Euro jährlich rund 1.000 Euro.
Was Cyberversicherungen leisten
Versichert sind die folgenden Schäden:
- Eigenschäden (insbesondere die Beschädigung, Blockierung, Zerstörung, Veränderung und/oder den Missbrauch der IT-Systeme, Programme oder elektronischen Daten infolge eines Hacker-Einbruchs),
- Haftpflichtansprüche (Drittschäden), die aus dem Missbrauch der Daten entstehen, die im Betrieb gespeichert waren. Die Haftpflicht deckt unter anderem Schäden für die Folgen von Verstößen gegen die Cyber-Sicherheit, den Datenschutz sowie gegen Geheimhaltungspflichten und Datenvertraulichkeitserklärungen.
Der Leistungsumfang einer „Cyber-Risk-Versicherung“ erstreckt sich primär auf Kosten, die aufgrund einer Attacke entstehen und auf Vermögensschäden, die durch eigenes Handeln oder Verschulden der Gießerei Dritten zugefügt werden:
- Kosten für IT-Forensik
- Informationskosten
- Kreditüberwachungsdienstleistungen
- Betriebsunterbrechungsschäden
- Rechtsberatung
- Kosten für PR-Beratung
- Kosten für Krisenmanagement
- Vertragsstrafen (PCI)
- Lösegeldzahlungen
- Wiederherstellungskosten
- Sicherheitsverbesserungen
Wie eine Cyberversicherung aufgebaut ist
Cyber-Versicherungskonzepte sind modular aufgebaut und auf die Bedürfnisse und Anforderung des jeweiligen Versicherungsnehmers abgestimmt. Bei der folgenden Aufstellung werden durchschnittliche Kosten mittelständischer Gießereien aufgeführt.
Cyber- und Dateneigenschäden
Grundbaustein der Datenforensik, Wiederherstellung und die weiteren Cyberschäden: Ein Mitarbeiter öffnet den Anhang einer E-Mail mit einem Verschlüsselungstrojaner. Die Daten auf den Systemen werden somit unlesbar gemacht. Die Kosten für die IT-Forensik sowie die Entfernung der Schadsoftware und Installation neuer Sicherheitssoftware betragen 25.000 Euro.
Cyber-Betriebsunterbrechung
Bei Stillstand oder Ertragsausfall des Betriebes durch einen Hackerangriff: Das Unternehmen wird mit einer Denial-of-Service Attacke (DDOS) angegriffen. Die Plattform und damit verbundene Dienste sind drei Tage für Geschäftspartner nicht erreichbar. Die Kosten für Anmietung zusätzlicher Serverkapazitäten sowie die Kosten der Betriebsunterbrechung und Wiederherstellung der ursprünglichen Homepage belaufen sich auf 70.000 Euro.
Cyber-Erpressung
Ein Zugriff auf den Computer ist unmöglich, weil Hacker diesen bis zur Zahlung einer Geldsumme gesperrt haben: Ein Hacker verschafft sich Zugriff auf die IT-Systeme und verschlüsselt wichtige Kundendaten. Kurze Zeit später erhalten die Geschädigten eine E-Mail mit der Forderung, den Betrag in Höhe von 30.000 Euro in Form von Bitcoins zu zahlen. Beim Um-gang mit den Erpressern unterschützt die Versicherung auch.
Cyber-Vertrauensschaden
Wenn Mitarbeiter oder Dritte im Betrieb z. B. Geld unterschlagen oder Zahlungen erschleichen: Ein Mitarbeiter hat Zugang zu mehreren Bankkonten. Diesen nutzt er, um sich über einen gewissen Zeitraum kleine Beträge auf sein Privatkonto zu überweisen. Der über ein Jahr entstandene Schaden beträgt insgesamt 28.000 Euro.
Cyber-Haftpflicht
Wenn z. B. versehentlich Viren an Kunden oder Dritte weitergegeben werden: Eine Gießerei stellt seinen Kunden kostenlose Dienstleistungs- oder Produktinformationen zum Download zur Verfügung. Eine Datei zum Download ist infiziert. Die IT-Systeme mehrerer Kunden werden dadurch infiziert. Der entstandene Gesamtschaden beläuft sich auf 28.000 Euro.
Cyber-Versicherungen sollte außerdem die folgenden Leistungen beinhalten:
- Soforthilfe durch eine 24-Stunden-Hotline ohne Anrechnung auf die Versicherungssumme und auf den Selbstbehalt
- Mitversicherung aller Arten von Cyber-Angriffen (z. B. DoS, DDoS)
- Mitversicherung aller Arten von Cyber-Einbrüchen (z. B. Golden-Tickets, Zero-Day-Lücken)
- Mitversicherung aller Arten von Schadsoftware-Infektionen (Viren, Würmer, Trojaner wie z. B. Locky)
- Mitversicherung aller Unternehmensdaten
- Vertragsstrafen bei Verletzung von Geheimhaltungspflichten und Datenvertraulichkeitserklärungen
- Mitversicherung von Bedienfehlern
- Mitversicherung von gezielten und ungezielten Angriffen
- Verstöße bei Marken- und Urheberrechten durch Werbung und Marketing
- Kosten für Sicherheitsanalyse und Sicherungsverbesserungen nach einem Schadenfall
- Absicherung aller IT-Systeme, Programme und Daten (auch auf mobilen Geräten)
- Abwehrkosten in Bezug auf behördliche Verfahren
- Straf- und Ordnungswidrigkeiten-Rechtsschutz bei Cyber-Verstößen
- bei internationalen Aktivitäten: Weltweiter Versicherungsschutz ohne Einschränkungen für die USA Zusätzliche Leistungen guter Cyberversicherer
Viele Versicherer stellen kostenlose Trainings- und Präventionsmaßnahmen zu Daten- und Cyber-Sicherheit zur Verfügung, welche die folgenden Sachverhalte beinhalten:
- Sensibilisierung und Schulung der Mitarbeiter
- „Führerschein“ für Datenschutz
- „Führerschein“ für Datensicherheit
- Passwort-Generator & Erinnerung
- Reportingbereich inklusive Trainingsstatistiken
- E-Mail-Scanner, Browser-Check, Angriffsalarm
- Regelmäßige Phishing-Tests
Was Cyberversicherungen ausschließen
Kein Versicherungsschutz ist für die folgenden Punkte zu bekommen:
- Ansprüche von Versicherten untereinander und von verbundenen Unternehmen, sofern nichts anderes vereinbart wurde
- vorsätzliche Herbeiführung des Versicherungsfalls, also Ansprüche wegen wissentlicher Pflichtverletzung, insbesondere wissentliches Abweichen von Gesetz, Vorschrift oder Anweisung des Auftraggebers. Versichert ist jedoch die Abwehr von Haftpflichtansprüchen bis zur Feststellung der wissentlichen Pflichtverletzung durch ein rechtskräftiges Urteil, Anerkenntnis oder anderweitige Vereinbarung. Bei Feststellung einer wissentlichen Pflichtverletzung sind die erbrachten Leistungen des Versicherers zu erstatten.
- Ansprüche auf geschuldete Leistungen und Garantiezusagen
- Krieg und Kernenergie
- Schäden infolge einer Organisation oder Ausrichtung von Lotterien, Preisausschreiben oder sonstigen Glücksspielen
- Schäden infolge von jedweder Form des Kaufs oder Verkaufs von Wertpapieren, Rohstoffen, Devisen, Derivaten, Anleihen oder vergleichbaren Wertanlagen
- Schäden im Zusammenhang mit einem hoheitlichen Eingriff, einschließlich staatlicher Verordnungen oder behördlichen Vollstreckungen
- Schäden aufgrund einer Störung oder eines Ausfalls der privaten oder öffentlichen Infrastruktur
- Vertragsstrafen, soweit diese nicht explizit in der Versicherung enthalten sind
- Rechtswidriges Erfassen von Daten durch die Gießerei oder infolge fahrlässig fehlender Kenntnis eines Repräsentanten
- Ansprüchen aufgrund von Kartellrechtsverletzungen sowie Patentrechtsverletzungen oder Schäden aus dem Verlust der Patentierbarkeit.