CYBERRISIKEN IM MITTELSTAND - ERGEBNISSE EINER FORSA-BEFRAGUNG FRÜHJAHR 2019 - GDV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesamtverband der Deutschen Versicherungswirtschaft e. V.
Eine Initiative der
deutschen Versicherer.
Ergebnisse einer Forsa-Befragung
Frühjahr 2019
Cyberrisiken
im Mittelstand
02 Cyberrisiken im Mittelstand
Der Mittelstand – Rückgrat der
deutschen Wirtschaft
80,4 %
Kleinstunternehmen1
99,3 % 16,0 %
kleine und
kleine Unternehmen2
mittlere
Unternehmen
2,9 %
mittlere Unternehmen3
0,7 %
Großunternehmen
1 bis 9 Mitarbeiter/bis 2 Mio. Euro Jahresumsatz
2 10 bis 49 Mitarbeiter/2 bis 10 Mio. Euro Jahresumsatz
3 50 bis 249 Mitarbeiter/10 bis 50 Mio. Euro Jahresumsatz
Quelle: Destatis, Werte für 2016
Über die Umfrage Über die Initiative
„Cyberrisiken im Mittelstand 2019“ – Der GDV hat die Forsa Mit der Initiative CyberSicher sensibilisieren
Politik- und Sozialforschung GmbH mit einer repräsen- die Versicherer für
tativen Befragung von 300 Entscheidern in kleinen und die Gefahren aus
mittleren Unternehmen beauftragt. Die Befragung wurde dem Cyberspace
so angelegt, dass repräsentative Aussagen zu Kleinstun- und zeigen, wie sich
ternehmen, kleinen Unternehmen und mittleren Unter- kleine und mitt-
nehmen getroffen werden können. Die Interviews fanden lere Unternehmen Eine Initiative der
Deutschen Versicherer.
zwischen dem 11. März und dem 5. April 2019 statt. schützen können.
#cybersicher
Inhalt 03
Cyberrisiken im Mittelstand
Ergebnisse einer Forsa-Befragung im Frühjahr 2019
1 Welche Schäden drohen
Wenn nichts mehr geht
Erfolgreiche Cyberattacken können Unternehmen existenziell gefährden –
denn in den meisten Fällen legen sie den kompletten Betrieb lahm.
Dann beginnt der Kampf gegen die Zeit → Seite 4
Was eine Cyberattacke kosten kann
Diese Folgen drohen, wenn ein Hacker die Patientendaten einer Arztpraxis
stiehlt oder sämtliche Rechner eines Maschinenbauers sperrt → Seite 9
2 Wie Cyberkriminelle angreifen
Schwachstelle Mensch: Zwei Drittel der erfolgreichen
Angriffe kommen per E-Mail
Das E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale
Schnittstelle zu Kunden und Lieferanten. Mit immer ausgefeilteren
Methoden bringen Hacker ihre Opfer dazu, die elektronische Post
samt Anhängen zu öffnen → Seite 10
3 Wie Sie Ihr Unternehmen schützen
Achtung: Dringender Sicherheitshinweis!
Kaum ein Tag vergeht ohne großangelegte Cyberattacken –
dabei greifen Hacker nicht immer gezielt an, sondern suchen vor allem
nach leichten Opfern. Wenn Sie nicht dazugehören wollen, sollten Sie
diese Tipps beherzigen → Seite 12
Selbsttest: Wie gut ist Ihre IT-Sicherheit?
Absolute Sicherheit im Netz gibt es nicht. Doch Widerstand ist möglich.
Wer die Gefahren realistisch einschätzt und bei seiner IT-Sicherheit
einige Grundlagen beachtet, ist gegen viele Angriffe wirksam
geschützt und kann die wirtschaftlichen Folgen eines erfolgreichen
Angriffs eindämmen → Seite 16
#cybersicher
04 Welche Schäden drohen
Wenn nichts mehr geht
E rfolgreiche Cyberattacken können Unternehmen existenziell
gefährden– denn in den meisten Fällen legen sie den kompletten
Betrieb lahm. Dann beginnt der Kampf gegen die Zeit.
W
enn Gerhard Klein an den Auslieferung ist deshalb beson- Wenig tröstlich für den Unter-
Oktober 2018 denkt, fällt ders wichtig. Zu allem Überfluss ist nehmer, dass er mit seinen Sorgen
ihm vor allem ein Wort Monatsanfang und die Lohnabrech- nicht allein ist. Die deutsche Wirt-
ein: „Desaster.“ In seiner Saarbrü- nung fällig. Geschäftsführer Klein schaft leidet flächendeckend unter
cker Druckerei geht an diesem ist schnell klar: „Das ist ein Wettlauf Hackerangriffen. Längst sind nicht
Herbstmorgen nichts mehr. Und gegen die Zeit.“ Auftrags- und Rech- mehr nur große Konzerne im Visier
das wird auch noch für einige Tage
so sein. Die Computer streiken. Pro-
gramme lassen sich nicht öffnen,
„Die sagen: Was soll mir schon passieren, wenn meine Daten
das Mailsystem reagiert nicht, die
abhandenkommen?“
Telefonanlage ist tot. Über eine bis
dato nicht bekannte Lücke in der Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der
Informationstechnik, über die fahrlässige Haltung vieler Unternehmen
Firewall haben sich Cyberkriminel-
le Zugang verschafft und sämtliche
Daten auf den lokalen Festplatten
verschlüsselt. nungserfassung sind unmöglich. der Kriminellen – auch der Mittel-
Die Druckerei Braun und Klein Wenn der völlige Stillstand nicht stand wird täglich angegriffen. Es
stellt unter anderem Werbe- und wenige Tage, sondern zwei bis drei trifft Autozulieferer und Maschi-
Angebotsplakate für große Ein- Wochen andauert, „ist die Firma nenbauer, Hotels und Restaurants,
zelhändler her, termingenaue platt“. Ärzte und Apotheker, Einzelhändler,
#cybersicherWelche Schäden drohen 05
Handwerker, Dienstleister. Jedes Jedes vierte Unternehmen bereits betroffen
vierte mittelständische Unterneh- Wurde Ihr Unternehmen
men in Deutschland war bereits durch Cyberangriffe
Opfer mindestens eines erfolgrei- geschädigt?
chen Cyberangriffs, wie eine aktu-
elle Forsa-Umfrage im Auftrag des 5%
GDV zeigt.
Vielen geht es dann wie der
Druckerei von Gerhard Klein.
Plötzlich geht nichts mehr, kommt
24 %
der befragten Unternehmen
der gesamte Geschäftsbetrieb zum waren Opfer erfolgreicher
Erliegen. In der Forsa-Umfrage Angriffe, 5 % sogar mehrfach.
berichten mehr als die Hälfte der
betroffenen Unternehmen (59 Pro-
zent) über Betriebsausfälle. Sie sind
zusammen mit den Ausgaben für
die Wiederherstellung der Daten Die Schäden
und IT-Systeme die häufigsten Fol- Welche Schäden sind im Unternehmen durch den Cyberangriff entstanden?
gen einer Cyberattacke – und stellen
für die Opfer das größte unterneh- Unterbrechung des Betriebs
merische Risiko eines erfolgreichen ablaufs/der Produktion
59 %
Angriffs dar.
Kosten für Aufklärung und
Als beispielsweise im IT-System Datenwiederherstellung
53 %
des Münchner Maschinenbauers
Krauss Maffei im November 2018 Diebstahl unternehmenseigener
Daten bzw. Betriebsgeheimnisse
10 %
ein Trojaner aktiv wird, ist auch die
Produktion betroffen. Und selbst
Reputationsschaden 7%
zwei Wochen später sind noch nicht
alle Systeme wieder auf 100 Pro-
zent. Das Bundesamt für Sicherheit Zahlung von Lösegeld 6%
in der Informationstechnik (BSI)
beobachtet steigende Fallzahlen bei
deutschen Unternehmen. Beson-
ders breit angelegte Spam-Kam-
pagnen wie Emotet seien auf dem
Vormarsch. Mit deren Hilfe gelinge Angriffspunkte in Unternehmen viele Firmen mit der Gefahr noch
es Kriminellen in Firmennetzwerke bieten. In Hotels ist es das Buchungs- eher hemdsärmlig um. Auch BSI-
einzudringen und diese nach viel- system, im Handel die Kasse, bei Chef Schönbohm beobachtet eine
versprechenden Zielen zu durch- Ärzten und Apotheken sind es die fahrlässige Haltung von Unter-
suchen. „Wir erleben derzeit die Rechner mit den Patientendaten, nehmen. „Die sagen: Was soll mir
massenhafte Verbreitung von raf- in der Industrie die vernetzten Pro- schon passieren, wenn meine Daten
finierten Angriffsmethoden durch duktionssysteme. Funktioniert die abhandenkommen?“. Gerade bei
die Organisierte Kriminalität, die IT nicht mehr, liegen die meisten kleinen und mittelständischen
bis vor einigen Monaten nachrich- Betriebe schnell komplett lahm. In Unternehmen ist das Bewusstsein
tendienstlichen Akteuren vorbehal- der Forsa-Umfrage des GDV sind für Cybersicherheit eher gering
ten waren“, sagt Behördenchef Arne ganze elf Prozent der Unterneh- ausgeprägt. Vor allem die Gefahr
Schönbohm. men der Ansicht, dass sie auch ohne für das eigene Unternehmen sehen
Keine besonders beruhigenden IT-Systeme problemlos weiterarbei- viele nicht, wie die Forsa-Studie für
Aussichten – zumal sich Krimi- ten könnten, zwei Drittel wären deut- den GDV zeigt. Während beinahe
nellen bei fortschreitender Digi- lich eingeschränkt. Doch obwohl drei Viertel (72 Prozent) der Mit-
talisierung eher mehr als weniger die Abhängigkeit so groß ist, gehen telständler ein hohes Risiko von k
#cybersicher06 Welche Schäden drohen
k Cyberkriminalität erkennen, analog gesteuert wurde, wird heute Größe, eine umfassende Datensi-
bestätigt lediglich ein Drittel (34 Pro- über das Internet gemacht. Aber viel cherheit. Wer sich nicht an die Spiel-
zent) diese Gefahr auch für den eige- zu oft geht bei den Themen Industrie regeln hält – zum Beispiel indem er
nen Betrieb. 4.0 und Internet of Things Funktion Kunden und Datenschutzbehörden
Die Folgen dieser Sorglosigkeit und Machbarkeit vor Sicherheit“, so nicht mitteilt, wenn es ein Daten-
kennt Michael Wiesner genau. Als Wiesner. leck gibt – muss mit empfindlichen
White-Hat-Hacker prüft er die IT- Mit ihrer laxen Einstellung Strafen rechnen. Bei schweren Ver-
Sicherheit von Firmen. Und staunt zur IT-Sicherheit sind Firmen vor stößen, etwa der Nutzung persönli-
nicht schlecht, als er im Auftrag des allem eines: einfache und lohnens- cher Daten ohne ausreichende Ein-
GDV 25 Arztpraxen untersucht: In werte Ziele. BSI-Chef Schönbohm willigung der Betroffenen, drohen
Geldstrafen bis maximal 20 Milli-
onen Euro.
Spätestens Beispiele wie das
„Das beliebteste Passwort in einer Praxis ist ‚Praxis‘, der Chatplattform mit dem sympa-
der beliebteste Benutzername ist auch ‚Praxis‘, gefolgt von thischen Namen Knuddels dürften
‚Behandlung‘ oder dem Namen des Arztes.“ seither so manchen Unternehmer
Michael Wiesner, White-Hat-Hacker
aufgerüttelt haben: Hier knacken
Hacker im vergangenen Jahr die
Server des sozialen Netzwerks. Die
E-Mail-Adressen und Passwörter von
22 der Praxen werden sehr einfache setzt darauf, dass sich mit der fort- mehr als 300.000 Knuddels-Nut-
oder gleich gar keine Passwörter ver- schreitenden Digitalisierung nach zern tauchen kurz darauf im Netz
wendet. „Das beliebteste Passwort in und nach ein anderes Verständnis auf. Zum Reputationsschaden, den
einer Praxis ist ‚Praxis‘, der belieb- für die Cybersicherheit entwickelt. ein solches Datenleck ohne Zweifel
teste Benutzername ist auch ‚Praxis‘, Noch sind es aber vor allem externe verursacht, kommt von den Daten-
gefolgt von ‚Behandlung‘ oder dem Faktoren, die Unternehmen dazu schützern ein Bußgeldbescheid über
Namen des Arztes“, berichtet Wies- bringen, sich abzusichern. So wie 20.000 Euro hinzu, der den Betrei-
ner. Auch bei seinen Aufträgen im die europäische Datenschutzgrund- bern noch vor dem Jahreswechsel
produzierenden Gewerbe findet er verordnung (DSGVO), die seit Mai auf den Schreibtisch flattert. Um
immer wieder große Sicherheitslü- 2018 scharfgeschaltet ist. Sie ver- nicht in dieselbe Situation zu gera-
cken: „Was in der Industrie früher langt von Betrieben, egal welcher ten, haben viele Unternehmen die k
Eine nicht funktionierende Unternehmens-IT 46 %
legt schnell auch die meisten Betriebe lahm
Würde die IT mehrere Tage ausfallen, wäre ihr Betrieb ...
(Angaben in Prozent)
Nur 11 % geben an,
dass Ihr Unternehmen ohne IT
gar nicht eingeschränkt wäre.
17 %
15 %
11 % 11 % Fast 2 von 3 Unternehmen
liegen ohne IT lahm
nicht nur wenig nicht so stark eher stark sehr stark
eingeschränkt eingeschränkt eingeschränkt eingeschränkt eingeschränkt
#cybersicherWelche Schäden drohen 07
So begrenzen Sie die Folgen eines erfolgreichen Cyberangriffs
Die regelmäßige und richtige Sicherung Ihrer Daten 2. Halten Sie alles schriftlich fest
(siehe Seite 14) ist die Basis jeder effektiven Krisenreak- Reden Sie nicht nur, sondern arbeiten Sie Ihre Notfallpläne,
tion nach einem Cyberangriff. Sie allein reicht aber bei die Verantwortlichkeiten und alle wichtigen Kontaktdaten
weitem nicht aus. Wie in jeder Krisensituation gilt auch schriftlich aus – und drucken Sie den Plan dann auch wirk-
hier: Handeln Sie schnell, aber bewahren Sie trotzdem lich aus! Die digitale Fassung nützt Ihnen nach einem Cyber-
einen kühlen Kopf. Das gelingt am besten, wenn Sie und angriff herzlich wenig. Wenn Sie mit einem IT-Dienstleis-
Ihr Unternehmen gut vorbereitet sind. ter zusammenarbeiten, lassen Sie sich dessen Leistungen
und Reaktionszeiten vertraglich zusichern.
1. Machen Sie einen Notfallplan
Panikreaktionen und überstürzte Handlungen führen zu 3. Üben, üben, üben
Fehlern. Arbeiten Sie mit den IT-Verantwortlichen oder Machen Sie den Notfallplan allen Mitarbeitern bekannt
Ihrem IT-Dienstleister daher Notfallpläne für verschie- und stellen Sie sicher, dass jeder seine Rolle und Aufgabe
dene Angriffs-Szenarien aus. Legen Sie fest wer, wann verstanden hat und der Plan auch wirklich funktioniert.
und wie reagiert und werden Sie dabei so konkret wie Das finden Sie am besten heraus, indem Sie den Notfall
möglich: Sollten Sie die betroffenen IT-Systeme aus- regelmäßig simulieren. So können Sie Ihr Notfallkonzept
schalten? Oder besser laufen lassen und vom Netzwerk weiter optimieren, gleichzeitig sensibilisieren Sie Ihre Mit-
trennen? Ist Ihr Dienstleister im Ernstfall auch nachts arbeiter für die Gefahren aus dem Cyberspace.
und am Wochenende einsatzbereit? Unter welcher
Nummer ist er dann erreichbar? Wo liegen die Datensi- 4. Schalten Sie die Polizei ein und erstatten Sie
cherungen und wann können diese sicher wieder auf die Strafanzeige
Systeme aufgespielt werden? Wer informiert betrof- In vielen Bundesländern haben Polizei und Justiz spezia-
fene Kunden, Vertragspartner und Behörden? Bis wann lisierte Cybercrime-Dienststellen geschaffen. Sie helfen
und in welcher Form? Denken Sie außerdem darüber Ihnen, Beweise zu sichern, kennen im Zweifel ähnliche
nach, was in Ihrem Betrieb ohne IT noch möglich ist und Fälle und können Ihnen konkrete Empfehlungen geben.
implementieren Sie Alternativen, mit denen Sie Ihren Darüber hinaus lässt sich das Geschäftsmodell der Cyber-
Geschäftsbetrieb auch bei einem IT-Ausfall so gut und kriminellen langfristig nur dann wirksam bekämpfen,
so lange wie möglich aufrecht erhalten können. wenn möglichst viele Täter ermittelt und bestraft werden.
Die IT-Systeme wieder zum Laufen zu bringen,
kann dauern ...
Wie lange hat es gedauert, die IT-Systeme wiederherzustellen
und die Schadsoftware zu beseitigen? Zwei Drittel
sind tagelang offline
33 % der Betroffenen konnten die
Systeme am ersten Tag wieder herstellen
48 % brauchten 18 % der Betroffenen
bis zu drei Tage
benötigten mehr als drei Tage
1 Tag 2 Tage 3 Tage
#cybersicher08 Welche Schäden drohen
k DSGVO-Vorschriften für ein untypische Schadensbilanz. Bei Cyberkriminalität für viele Firmen-
umfassendes Sicherheitsupdate einem Maschinenbauer mit einem chefs noch immer zu abstrakt sei.
genutzt. Nach den Daten der For- Jahresumsatz von 40 Millionen Euro „Warum sollten Freaks, die in Nord-
sa-Umfrage rüstete jedes zweite schlägt bereits eine Woche Betrieb- korea, Rumänien oder Russland sit-
Unternehmen (50 Prozent) anläss- sunterbrechung – etwa durch einen zen, meine Firma angreifen?!“
lich der EU-Verordnung auch die Verschlüsselungs-Trojaner – mit
eigene IT-Sicherheit auf. rund 45.000 Euro zu Buche. Hinzu
Auch in der Druckerei von kommen Kosten für IT-Forensiker
Gerhard Klein war das Risiko alles und Datenwiederherstellung. „Das
andere als unbekannt: „Wir haben ist eine umfangreiche Arbeit, für „Kleine Firmen denken immer, sie
sehr genau gewusst, welche Gefah- die man bis zu 20.000 Euro ver- sind kein Ziel für Hackerangriffe.
ren existieren, und hatten Maßnah- anschlagen kann“, weiß Gert Bau- Das ist falsch.“
men ergriffen, um einen Angriff meister, Vorsitzender der Projekt- Gerhard Klein, Unternehmer
zu verhindern.“ Insofern hat Klein gruppe Cyberversicherung im GDV.
sich und seinen Mitarbeitern auch Sind dann noch personenbezogene
nichts vorzuwerfen. „Bei uns hat kei- Daten wie etwa die Lohnabrechnung
ner einen Fehler gemacht, sondern betroffen, drohen auch Ansprüche
wir sind von Verbrechern attackiert nach der DSGVO. Da kann es kaum
worden.“ verwundern, dass die Schäden durch Tun sie aber. Und damit es
Wie in den meisten Fällen hatten Cyberkriminalität für die deutsche auch dem Letzten klar wird, gibt
es die Kriminellen beim Angriff auf Wirtschaft bei mehr als 20 Milliar- es für Klein nur einen Weg: Der
Kleins Druckerei auf schnelles Geld den Euro jährlich liegen. Das schät- Weckruf muss aus der Wirtschaft
abgesehen: Von außen hinzugeru- zen jedenfalls das Bundesamt für selbst kommen. Klein und seine
fene IT-Forensiker entdecken in den Verfassungsschutz und Bitkom in Kollegen gehen in die Offensive.
Tiefen des Systems einen Erpresser- einer gemeinsamen Studie. Die Geschichte vom Cyberangriff
brief. Die Forderung der Kriminel- landet auf dem Firmenblog und in
len scheint zunächst überschaubar: den Nachrichten. Der Schaden durch
rund 4500 Euro in Bitcoin. Nachdem den erfolgreichen Cyberangriff soll
70.000 Euro
er die Erpresser um 1000 Euro her- kein Tabu sein. „Unternehmen soll-
untergehandelt hat, entschließt sich ten klar kommunizieren, wenn sie
Klein zu zahlen. Nicht ohne einen kostete Gerhard Klein die Attacke angegriffen werden“, appelliert er.
Beweis zu verlangen, dass diese die auf seine Druckerei Eine solche Strategie – würde sie
Verschlüsselung wirklich aufheben denn von vielen gewählt – würde
können. Und tatsächlich: Das Mail- Cyberkriminellen auf Dauer das
system mit dem gesamten Archiv Leben schwermachen.
bekommen sie wieder ans Laufen. Angesichts solcher Zahlen und Ein halbes Jahr nach der Atta-
Mehr aber auch nicht – für die Ent- des durchaus vorhandenen Bewusst- cke weiß Klein: Seine Strategie war
schlüsselung weiterer Daten fordern seins für die Gefahren durch Cyber richtig. Kunden seien nicht davon-
die Erpresser nun ein Vielfaches an attacken mutet es paradox an, dass gelaufen und auch von anderen
Lösegeld. gut die Hälfte (57 Prozent) der klei- Unternehmen habe es viel positives
Klein bricht den Kontakt ab. nen und mittelständischen Betriebe Feedback gegeben. „Wir haben uns
In mühevoller Handarbeit setzen annimmt, ihr eigenes Unternehmen erholt – gedanklich, finanziell – und
Mitarbeiter und externe IT-Spezi- sei für Kriminelle nicht interessant. schauen positiv nach vorne. Wir wis-
alisten die Systeme in den nächs- „Kleine Firmen denken immer, sie sen aber auch: Der nächste Angriff
ten Tagen und Wochen wieder auf. sind kein Ziel für Hackerangriffe“, kommt bestimmt.“ v
Rund 70.000 Euro habe die Attacke weiß auch Unternehmer Klein. „Das
das Unternehmen allein finanziell ist falsch.“ Er führt den Widerspruch
gekostet, resümiert Klein. Keine darauf zurück, dass das Thema
#cybersicherWelche Schäden drohen 09
Was eine Cyberattacke kosten kann –
und eine Cyberversicherung deckt ( )
Musterszenario Diebstahl sensibler Daten: Musterszenario
Ransomware:
Hacker attackieren die IT-Systeme einer Arztpraxis. Sie kopieren die
Patientendaten und versprechen, gegen die Zahlung von Lösegeld Hacker attackieren mit einem Ver-
auf eine Veröffentlichung der Daten zu verzichten. schlüsselungs-Trojaner die IT-Systeme
eines Maschinenbauers. Sie wollen die
Angriff gesperrten Rechner erst wieder frei-
geben, wenn sie Lösegeld bekommen.
Die Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen be-
haupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie
kompromittierende Daten über fünf Patienten, die tatsächlich in der be- Angriff
troffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu ver- Sämtliche Rechner und die vernetzten
öffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen. Produktionssysteme des Maschinen-
bauers sind ohne Funktion. Auf den
Informationen an Patienten und Behörden Bildschirmen der Steuerungsrechner
erscheint lediglich eine Nachricht der
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt Erpresser.
kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Pa-
tienten über den Verlust der sensiblen Daten informieren. Um sicher IT-Forensik und
zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt, Datenwiederherstellung
holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach
der Information verunsichert und haben intensiven Gesprächsbedarf. Nach Rücksprache mit Polizei und
Staatsanwaltschaft zahlt das Unter-
Informationskosten: Anwaltskosten: nehmen kein Lösegeld. IT-Spezialisten
4.000 Euro 2.000 Euro arbeiten mehrere Tage daran, den
Trojaner von sämtlichen Systemen
Security-Initiative zu entfernen; anschließend müs-
sen sie alle Daten aus den Backups
IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zu- wiederherstellen.
griff zu den Daten erlaubte. Die Systeme werden desinfiziert und gehärtet.
Kosten für IT-Forensik und Daten-
Kosten für IT-Forensik: wiederherstellung: 20.000 Euro
5.000 Euro
Betriebsunterbrechung
Betriebsunterbrechung
Bis die Systeme wieder laufen, kann
Bis die Schwachstellen geschlossen und weitere Datendiebstähle das Unternehmen nicht produzieren.
verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrech- Die Mitarbeiter aus Fertigung und
nung mit den Krankenkassen ist unmöglich. Verwaltung bleiben zuhause.
Kosten für 2 Tage Betriebsunterbrechung: Kosten für 5 Tage Betriebs
5.000 Euro unterbrechung: 45.000 Euro
Datenmissbrauch Information von Kunden und
Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die Vertragspartnern
Betroffenen beauftragen Spezialisten mit der Löschung der unrecht- Die IT-Forensiker können nicht
mäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz. ausschließen, dass Daten nicht nur
Schadensersatz: gesperrt, sondern auch entwendet
20.000 Euro nach Art. 82 DSGVO wurden. In diesem Fall wären auch
Betriebsgeheimnisse von Vertrags-
partnern betroffen, die vorsorglich
Vertrauenskrise informiert werden müssen.
Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden Informationskosten und Rechts
sich zahlreiche Patienten von der Praxis ab, der Patientenstamm beratung: 20.000 Euro
schrumpft deutlich.
Krisenkommunikation: Vertrauenskrise
1.000 Euro
Der bisher tadellose Ruf des Unterneh-
Der Umsatzrückgang ist nicht gedeckt mens nimmt in wichtigen Kundenbran-
chen Schaden; einige Kunden wenden
Aufarbeitung sich vom Unternehmen ab, der Umsatz
sinkt spürbar.
Die Datenschutzbehörden verhängen aufgrund des
Datenverlustes ein hohes Bußgeld. Krisenkommunikation:
30.000 Euro
Das Bußgeld ist nicht gedeckt Der Umsatzrückgang ist nicht gedeckt
#cybersicher10 Wie Cyberkriminelle angreifen
Schwachstelle Mensch:
Zwei Drittel der erfolgreichen
Angriffe kommen per E-Mail
as E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale Schnittstelle zu Kunden und Lieferanten.
D
Mit immer ausgefeilteren Methoden bringen Hacker ihre Opfer dazu, die elektronische Post samt Anhängen
zu öffnen – und legen mit ihrer Schadsoftware nicht nur die IT-Systeme, sondern ganze Betriebe lahm.
S
ie haben 10.000 Euro gewon- runterzuladen oder Passwörter von ihnen klang der Inhalt derartig
nen! Klicken Sie hier!“ – Über herauszugeben. verlockend, dass sie die Mail sogar
derartige E-Mails werden Auch einfache Reize wie Neu- extra aus ihrem Spam-Ordner her-
die meisten nur müde lächeln. gierde helfen den Tätern ans Ziel: vorholte und öffnete.
Falls sie es durch den Spam-Filter So wurde die renommierte ameri- Für die Cyberkriminellen loh-
schaffen, werden sie ungelesen kanische IT-Sicherheitsfirma RSA nen sich die gezielten Attacken auf
gelöscht. Dabei wird unterschätzt: Security gehackt, indem eine infi- die Schwachstelle Mensch: 70 Pro-
Beim E-Mail-Angriff auf Unterneh- zierte Excel-Datei mit dem Namen zent aller erfolgreichen Angriffe
men gehen Kriminelle inzwischen „Stellenbesetzungsplan“ an die Mit- treffen über das E-Mail-Postfach
deutlich professioneller vor. „Social arbeiter verschickt wurde. Für eine der Unternehmen ins Ziel. Nur bei
Hacking“ nennt sich die Kunst, po- rund einem Viertel der Attacken ver-
tentielle Opfer möglichst geschickt schafften sich Hacker gezielt Zugriff
zu manipulieren. Kriminelle geben „Technische Hilfsmittel können auf die IT-Systeme, andere Angriffs-
sich mit zuvor gesammelten Daten den gesunden Menschenverstand wege wie beispielsweise DDoS-Atta-
eines Unternehmens zum Beispiel und eine gewisse Skepsis nicht cken spielen kaum eine Rolle.
als Abteilungsleiter oder Kunde ersetzen.“ Die hohe Zahl erfolgreicher Atta-
aus – und bringen den Empfän- Peter Graß, Cyberversicherungsexperte
cken per Mail ist eine gute und eine
ger so dazu, Schadsoftware he- im GDV schlechte Nachricht zugleich. Die
#cybersicherWie Cyberkriminelle angreifen 11
schlechte: In vielen Firmen gehen Chefs
wie Mitarbeiter noch viel zu fahrlässig
Die Einfallstore
Erfolgreiche Cyberangriffe erfolgten durch ... 1
mit eingehenden E-Mails um und ver-
lassen sich einzig und allein auf Firewall
und Virenscanner. Doch die erkennen
E-Mails 70 %
nicht jede Schadsoftware. „Die techni-
schen Hilfsmittel können den gesunden
Menschenverstand und eine gewisse Hackerangriffe 27 %
Skepsis nicht ersetzen“, sagt GDV-Cyber-
versicherungsexperte Peter Graß. DDoS-Attacken 2%
Er empfiehlt regelmäßige Schulun-
gen und verbindliche Vorsichtsmaßnah- USB-Stick/ande-
rer Datenträger 3%
men für den Umgang mit E-Mails (siehe
Kasten). Dann – und das ist die gute Ursache
2%
ungeklärt
Nachricht – könnten viele Angriffe per 1 Mehrfachnennungen möglich
Mail rechtzeitig erkannt und das Öffnen
gefährlicher Software verhindert werden.
So schützen Sie Ihr Unternehmen vor schädlichen E-Mails
Nur ein einziger falscher Klick auf einen verseuchten verhindern Sie, dass sich schädliche Mails automatisch
Mail-Anhang oder einen Link kann Ihre Unterneh- öffnen und Viren oder Würmer sofort aktiv werden.
mens-IT lahmlegen. Wenn Sie Ihre Mitarbeiter regelmä-
ßig für die Gefahren sensibilisieren und einige grundle- 4. Vor dem Öffnen: Prüfen Sie Absender und Betreff
gende Regeln für den Umgang mit E-Mails aufstellen, Cyberkriminelle verstecken sich gern hinter seriös wir-
können Sie sich vor vielen Angriffen schützen. kenden Absenderadressen. Ist Ihnen der Absender der
Mail bekannt? Und wenn ja: Ist der Absender wirklich
1. Arbeiten Sie mit hohen Sicherheitseinstellungen echt? Achten Sie auf kleine Fehler in der Schreibweise
Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs- oder ungewöhnliche Domain-Angaben hinter dem @.
systems und Ihrer Software zu Ihrem Schutz. Im Office- In betrügerischen E-Mails ist auch der Betreff oft nur
Paket sollten zum Beispiel Makros dauerhaft deaktiviert unpräzise formuliert, z. B. „Ihre Rechnung“.
sein und nur bei Bedarf und im Einzelfall aktiviert wer-
den können – denn auch über diese kleinen Unterpro- 5. Öffnen Sie Links und Anhänge nur von wirklich ver-
gramme in Word-Dokumenten oder Excel-Listen kann trauenswürdigen Mails
sich Schadsoftware verbreiten. Wollen Banken, Behörden oder Geschäftspartner sensible
Daten wissen? Verweist eine kryptische Mail auf wei-
2. Halten Sie Virenscanner und Firewall immer auf tere Informationen im Anhang? Dann sollten Sie stutzig
dem neuesten Stand werden und auf keinen Fall auf die Mail antworten, Links
Die meisten schädlichen E-Mails können Sie mit einem folgen oder Anhänge öffnen. In Zweifelsfällen fragen Sie
Virenscanner und einer Firewall automatisch herausfil- beim Absender nach – aber nicht per Mail, sondern am
tern lassen. Wirksam geschützt sind Sie aber nur, wenn Telefon! Auch eine Google-Suche nach den ersten Sätzen
Sie die Sicherheits-Updates auch schnell installieren. der verdächtigen Mail kann sinnvoll sein – weil Sie so
auch Warnungen vor der Betrugsmasche finden.
3. Öffnen Sie E-Mails nicht automatisch
Firewall und Virenscanner erkennen nicht alle schäd- 6. Löschen Sie lieber eine Mail zu viel als eine zu wenig
lichen Mails. Öffnen Sie also nicht gedankenlos jede Erscheint Ihnen eine Mail als nicht glaubwürdig, löschen
Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie Sie die Mail aus Ihrem Postfach – und leeren Sie danach
in Ihrem E-Mail-Programm die „Autovorschau“ aus. So auch den Papierkorb Ihres Mailprogramms.
#cybersicher12 Wie Sie Ihr Unternehmen schützen
Achtung! Dringender
Sicherheitshinweis
aum ein Tag vergeht ohne großangelegte
K
Cyberattacken– dabei greifen Hacker nicht immer
gezielt an, sondern suchen vor allem nach leichten
Opfern. Wenn Sie nicht dazugehören wollen, sollten
Sie mindestens diese vier Tipps beherzigen.
1. Unterschätzen Sie die Gefahr nicht!
(Zu) hohes Vertrauen in den In weiten Teilen des deutschen Mittel-
standes regiert das Prinzip Hoffnung.
eigenen Schutz Auch wenn eine deutliche Mehrheit
Ist das eigene Unternehmen ausreichend gegen das Cyberrisiko für mittelständische
Cyberkriminalität geschützt?
Unternehmen als hoch und damit
Ja Nein, Unternehmen müsste mehr tun durchaus realistisch einschätzt, blen-
den viele die Gefahr für das eigene
Unternehmen aus. Sie sagen: Mein
Unternehmen ist zu klein. Meine
80
80 %
meinen, 20
Daten sind nicht interessant. Mein
Schutz reicht bestimmt aus. Richtig
gut geschützt ist aber: Für Hacker gibt es kein zu
zu sein klein. Die Daten müssen nicht inter-
essant, sondern für Sie wertvoll sein.
Und nein: Virenscanner und Firewall
sind noch lange kein Rundumschutz,
sondern nur ein Anfang.
„Das Risiko gibt es – aber mein
Unternehmen betrifft es nicht“
„Das Risiko von Cyber-
kriminalität für mittel
ständische Unternehmen
in Deutschland ist eher
72 %
bzw. sehr hoch“
„Das Risiko von Cyber
kriminalität für das
eigene Unternehmen ist
34 % ?
eher bzw. sehr hoch“
#cybersicherWie Sie Ihr Unternehmen schützen 13
2. Verwenden Sie starke Passwörter!
Ist Ihr Passwort auch 12345? Sicherheit durch Zwang
26 %
Qwertz? Passwort? Der Name Werden Mindestanforderungen
Ihrer Tochter? Das ist nicht gut, an Passwörter technisch
denn Passwörter sollen in ers- erzwungen? lassen einfache
ter Linie nicht leicht zu merken, Passwörter zu
Ja Nein
sondern schwer zu knacken
sein. Machen Sie es Hackern
also nicht zu leicht. Am besten
stellen Sie Ihre Computer-Sys-
teme so ein, dass sie zu einfa- 74 26
che Passwörter gar nicht erst
akzeptieren.
Drei Tipps für sichere Passwörter
1. Denken Sie sich laaaaaaaange Passwörter aus merken müssen; das übernimmt der Manager. Da die
Sonderzeichen und Großbuchstaben helfen nur bedingt Anbieter ihre Daten in aller Regel verschlüsseln, sind
weiter, ebenso das ständige Wechseln von Passwörtern. die Passwörter auch gegen Hackerangriffe geschützt.
Wichtiger ist die Länge. Hacker „raten“ Passwörter in Sie brauchen für alle Passwörter hingegen nur noch das
der Regel nicht, sondern probieren in kurzer Zeit große „Master-Kennwort“ – das natürlich wiederum sehr sicher
Mengen möglicher Kombinationen aus. Je länger das sein sollte.
Passwort ist, desto länger braucht auch der Computer.
Ein einfaches Beispiel, das Sie bitte nicht direkt verwen- 3. Nutzen Sie die Zwei-Faktor-Authentifizierung
den: Um „Pa$$W0rt“ zu knacken, braucht ein herkömm- Auch wenn es etwas komplizierter ist, sollten Sie ernst-
licher PC nach Auskunft der Webseite checkdeinpass- haft eine Zwei-Faktor-Authentifizierung in Betracht
wort.de gerade mal sechs Stunden, für „Pa$$W0rt- ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am
Hallo123“ mehrere Milliarden Jahre. Geldautomaten brauchen Sie ihre Giro-Karte (1. Fak-
tor) und die PIN (2. Faktor), auch eine Überweisung
2. Verwenden Sie einen Passwort-Manager beim Online-Banking funktioniert in aller Regel nur mit
Sie und Ihre Mitarbeiter können und wollen sich die vie- PIN und TAN. Den Zugang zu Ihren Systemen können
len langen und komplizierten Passwörter nicht merken? Sie genauso schützen – dann bekommen Sie nach der
Dann fangen Sie auf keinen Fall an, immer das gleiche Eingabe Ihres Passwortes zum Beispiel noch einen Code
oder nur ein leicht abgewandeltes Passwort einzu- auf Ihr Smartphone geschickt. Alternativ bekommt jeder
geben. Das macht es Hackern zu einfach. Die bessere Mitarbeiter eine Chipkarte, mit der er sich identifizie-
Alternative sind Passwort-Manager. Sie generieren und ren kann. Mit dem Passwort allein können Hacker dann
verwalten starke (=lange) Passwörter, die Sie sich nicht nichts mehr anfangen.
#cybersicher14 Wie Sie Ihr Unternehmen schützen
3. Sichern Sie Ihre Daten richtig!
Je öfter, desto besser Datensicherungen sind Ihre letzte Rückver-
sicherung für den Fall gelöschter oder mani-
Erstellen Sie mindestens wöchentlich eine Sicherungskopie Ihrer
Daten? pulierter Daten. Das Backup kann Sie auch
dann vor dem Verlust Ihrer Daten schützen,
Ja Nein wenn Sie keinen physischen Zugriff mehr auf
Ihre Systeme haben, etwa nach einem Brand
oder einem Diebstahl. Doch dafür dürfen Sie
32 %
können aktuelle
die Kopien nicht in der Nähe der laufenden
Systeme aufbewahren. Noch wichtiger und
Daten nicht leider noch zu oft ignoriert: Stellen Sie durch
wiederherstellen regelmäßige Testläufe sicher, dass Ihr Backup
auch wirklich funktioniert. Im Fall von verlo-
renen oder manipulierten Daten zählt oft jede
Minute – das ist der schlechteste Zeitpunkt
68 32 um festzustellen, dass Ihre Sicherungskopie
fehlerhaft ist.
So sichern Sie Ihre Daten richtig
Wie sicher ist das Backup? Was? Vom Smartphone bis zum Desk-
Wird das Wiederherstellen der Daten aus der Sicherungskopie top-Rechner sollten alle Geräte gesichert wer-
regelmäßig getestet?? den. Kritische Daten sollten besser mehrfach
gesichert werden.
Ja Nein
Wie oft? So oft und so regelmäßig wie mög-
lich. Stellen Sie am besten mit einem auto-
matisierten Zeitplan sicher, dass keine Lücken
54 %
wissen nicht, ob
entstehen.
Wohin? Speichern Sie das Backup auf jeden
ihre Sicherungen Fall isoliert vom Hauptsystem, also auf einer
funktionieren
externen Festplatte, einem Netzwerkspeicher
oder in einer Cloud. Kritische Daten sollten auf
mindestens zwei unterschiedlichen Speicher-
medien liegen, von denen eines außerhalb
Ihres Unternehmens liegt (z. B. in der Cloud).
46 54
Wie aufbewahren? Achten Sie darauf, dass Ihr
Backup nicht mit Ihrem Hauptsystem ver-
bunden ist – weder über Kabel noch über das
WLAN.
Was noch? Testen Sie regelmäßig, ob sich die
Daten Ihrer Backups im Ernstfall auch wirklich
wiederherstellen lassen.
#cybersicherWie Sie Ihr Unternehmen schützen 15
4. Reagieren Sie auf neue Sicherheitslücken!
Mitte Januar 2019 landeten mit der Collec- Werden solche Datenlecks bekannt, ist also
tion#1 und später mit den Collection #2-#5 eine schnelle Reaktion gefragt: Die Passwörter
mehrere Milliarden von E-Mail-Adressen und sollten umgehend geändert werden. Und zwar
Passwörtern im Netz. Für Kriminelle kön- nicht nur auf der betroffenen Seite, sondern
nen diese Daten Gold wert sein, denn viele bei allen Zugängen, die mit demselben oder
nutzen immer dieselben Zugangsdaten für einem ähnlichen Passwort geschützt sind.
die Anmeldung bei verschiedenen Diensten Zwei Drittel der befragten Unternehmen lässt
oder Portalen. Werden sie bekannt, können diese Gefahr aber völlig kalt – sie haben sich
Angreifer leicht gleich mehrere Accounts ka- nicht mal die Mühe gemacht, ihre Daten zu
pern oder sogar die ganze Identität ihrer Opfer überprüfen. Dabei lohnte sich der Aufwand
übernehmen. in vielen Fällen: Jedes neunte Unternehmen
fand heraus, dass seine Zugangsdaten betrof-
fen waren.
„Datenlecks? Uns doch egal!“
Haben Sie geprüft, ob Ihr Unternehmen vom
Datenleck im Januar 2019 betroffen war?
65 %
habe nicht überprüft
habe überprüft, war aber nicht betroffen
habe überprüft, war betroffen
wissen nicht, ob
keine Angabe/weiß nicht
ihre Daten bereits
kursieren
2%
4%
Von denjenigen die ihre Daten überprüft
haben, war etwa jeder 9. betroffen.
29 %
Sind Sie betroffen? Hier finden Sie es heraus.
Der Service „Have I Been Pwned?“ (Pwned wird gespro- Das Hasso-Plattner-Institut bietet den „HPI Identity
chen wie „poned“) hat über 6 Milliarden Datensätze aus Leak Checker“ an. Sie können anhand Ihrer E-Mail-
mehr als 300 Datenlecks gesammelt. Wenn Sie über- Adresse prüfen, ob die Adresse in Verbindung mit ande-
prüfen wollen, ob auch Ihre Mail-Adresse darunter ist, ren persönlichen Daten wie Geburtsdatum oder Adresse
geben Sie diese einfach in der entsprechenden Such- im Internet offengelegt wurde und missbraucht werden
maske ein, das Ergebnis wird sofort angezeigt. könnte. Anders als bei „Have I been Pwned?“ erhalten
p https://haveibeenpwned.com/ Sie das Ergebnis per Mail. p https://sec.hpi.de/ilc/
#cybersicher16 Wie Sie Ihr Unternehmen schützen
Wie gut ist Ihre Der Cyber-Sicherheits-
IT-Sicherheit?
check des GDV unter
www.gdv.de/cybercheck stellt
Ihnen die wichtigsten Fragen rund um
Absolute Sicherheit im Netz gibt es nicht. Doch Ihre IT-Sicherheit. So finden Sie schnell
Widerstand ist möglich. Wer die Gefahren heraus, wie sicher Ihre Systeme sind, wo
Sie Schwachstellen haben und wie Sie
realistisch einschätzt und bei seiner IT-Sicherheit
diese schließen können. Ob Sie die zehn
die folgenden Grundlagen beachtet, ist gegen
grundlegenden Anforderungen erfüllen,
viele Angriffe wirksam geschützt und kann die
können Sie gleich hier beantworten. Wie
wirtschaftlichen Folgen eines erfolgreichen gut Sie dabei abgeschnitten haben und
Angriffs eindämmen. Die Forsa-Umfrage des GDV ob es andere besser machen, können Sie
zeigt aber: An vielen Stellen klaffen Lücken in der auf Seite 18 herausfinden.
IT-Sicherheit (Angaben in Prozent).
Anteil der Unternehmen, die den Schutz nicht erfüllen; nach Unternehmensgröße: Selbsttest
Kleinstunternehmen Mittlere Unternehmen Große Unternehmen
1. Sicherheitsupdates automatisch und zeitnah einspielen und
alle Systeme auf dem aktuellen Stand halten 25
Die meiste Software erhält regelmäßig Updates. Sie dienen oft dazu, 23 14
13
bekannt gewordene Sicherheitslücken zu schließen. Das Installie-
ren der Updates schützt die Systeme vor Angreifern.
2. Mindestens einmal wöchentlich Sicherungskopien machen
Daten und digitale Systeme können gezielt angegriffen, versehent- 35
lich gelöscht oder durch Hardware zerstört werden. Deshalb ist 32 14
20
es dringend nötig, die vorhandenen Daten regelmäßig zu sichern.
Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern, desto besser.
3. Administratoren-Rechte nur an Administratoren vergeben
Wer mit Administrator-Rechten an einem IT-System arbeitet, kann 22
dabei verheerende Schäden anrichten. Deshalb ist es ratsam, solche 20 13
14
Rechte nur sehr sparsam zu vergeben und nur dann zu nutzen,
wenn sie für die aktuelle Aufgabe wirklich nötig sind.
4. Alle Systeme, die über das Internet erreichbar oder im
mobilen Einsatz sind, zusätzlich schützen 25
Mobile Geräte können leicht verloren gehen oder gestohlen werden. 24 18
18
Sind die darauf gespeicherten Daten nicht verschlüsselt, können
sie vollständig ausgelesen werden – selbst wenn sie mit einem
Passwort geschützt sind. Server sind über das Internet ständig er-
reichbar und daher für Angriffe besonders beliebte Ziele. Sie sollten
am besten mit einer 2-Faktor-Authentifizierung gesichert werden.
#cybersicherWie Sie Ihr Unternehmen schützen 17
5. Manipulationen und unberechtigten Zugriff auf
Sicherungskopien verhindern 33
Backups sind die Rückversicherung für den Fall gelöschter oder 29 13
14
manipulierter Daten. Gesonderte Authentifizierungsstufen und ein
entsprechendes Rechtemanagement sollten daher die versehentli-
che oder absichtliche Manipulation gesicherter Daten ausschließen.
6. Alle Systeme mit einem Schutz gegen Schadsoftware
ausstatten und diesen automatisch aktualisieren lassen 37
Viren, Trojaner oder Ransomware: Die meisten Schäden entstehen 36 31
32
durch das unbeabsichtigte Infizieren der Systeme mit so genannter
Schadsoftware. Auch wenn Virenscanner hier keinen hundertpro-
zentigen Schutz bieten, sollte mindestens einer auf den Systemen
installiert sein und regelmäßig aktualisiert werden.
7. Sicherungskopien physisch vom gesicherten System trennen
Datensicherungen können auch dann vor dem Verlust Ihrer Daten 25
schützen, wenn die Systeme gestohlen oder durch einen Brand zer- 25 22
26
stört wurden. Deshalb ist es ratsam, die Backups nicht in der Nähe
der laufenden Systeme aufzubewahren, sondern mindestens in an-
deren Brandabschnitten, besser jedoch an einem ganz anderen Ort.
8. Mindestanforderungen für Passwörter (z.B. Länge, Sonder
zeichen) verlangen und technisch erzwingen 26
Gerade wenn Passwörter das einzige Authentifizierungsmittel sind, 26 24
26
sollte eine geeignete Passwortstärke technisch erzwungen wer-
den. Andernfalls sind IT-Systeme schon durch einfachste Angriffe
gefährdet.
9. Jeden Nutzer mit eigener Zugangskennung und
individuellem Passwort ausstatten 34
Ohne benutzerindividuelle Kennungen ist es nicht möglich, den 31 18
19
Zugang zu Systemen zu sichern. Die individuelle Authentifizierung
ist auch deswegen wichtig, weil nur so später nachvollzogen werden
kann, wer das System wann verwendet hat.
10. Wiederherstellen der Daten aus der Sicherungskopie
regelmäßig testen 57
Regelmäßige Testläufe stellen sicher, dass bei der Sicherungskopie
54 26
45
keine Datenquelle fehlt und die Wiederherstellung tatsächlich funk-
tioniert. Der Notfall ist der schlechteste Zeitpunkt um festzustellen,
dass eine Sicherungskopie fehlerhaft ist.
Ergebnis: Ich erfülle von 10 Maßnahmen
#cybersicher18 Wie Sie Ihr Unternehmen schützen
So gut ist Ihre IT-Sicherheit –
und so gut sind die anderen
Die Schutzmaßnahmen auf den Seiten 16/17 sind nicht der Goldstandard und auch kein Garant für volle
Sicherheit, sondern nur die Basis – doch schon hier haben die meisten Unternehmen Lücken. Wie viele
der zehn Schutzmaßnahmen haben Sie umgesetzt?
10
Herzlichen Glückwunsch! Durch das hohe Niveau Ihrer IT-Sicherheit halten Sie
das Risiko einer erfolgreichen Cyberattacke so gering wie möglich.
8-9
Das Niveau Ihrer IT-Sicherheit ist überdurchschnittlich, aber leider noch nicht
perfekt – beachten Sie unsere Hinweise und schließen sie die noch vorhandenen
Sicherheitslücken.
6-7
Über gute Ansätze kommt Ihre IT-Sicherheit leider nicht hinaus. Machen Sie es
Cyberkriminellen nicht zu einfach und kümmern Sie sich möglichst schnell darum,
Ihre Sicherheitslücken zu schließen.
0-5
Achtung, Ihre IT-Sicherheit weist deutliche Schwächen auf und kann Ihr Unter-
nehmen zur leichten Beute für Hacker machen. Beachten Sie unsere Hinweise und
holen Sie sich am besten professionelle Hilfe, um Ihren Schutz gegen Cyberrisiken
schnell zu verbessern.
Die Mehrheit hat akuten
Handlungsbedarf 35 %
Vielen Unternehmen fehlt schon die Basis
für umfassende IT-Sicherheit
27 %
19 %
16 %
5 von 6 Unternehmen haben Lücken
Erfüllen 0-5 Erfüllen 6-7 Erfüllen 8-9 Erfüllen alle 10
Maßnahmen Maßnahmen Maßnahmen Maßnahmen
#cybersicherWie Sie Ihr Unternehmen schützen 19
Das leistet eine
Cyberversicherung
Der Gesamtverband der Deutschen Versicherungswirtschaft hat unverbindliche
Musterbedingungen für eine Cyberversicherung entwickelt. Sie sind speziell auf die
Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und richten sich sowohl an Arztpraxen
oder Anwaltskanzleien als auch an Handwerksbetriebe und Industriezulieferer. Die Versicherung übernimmt
nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte,
sondern steht den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite: Nach einem
erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte
Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie
möglich zu halten.
Schaden Leistung
Eigen- Wirtschaftliche Schäden durch
Betriebsunterbrechung.
Zahlung eines Tagessatzes.
schäden Kosten der Datenwiederherstellung
Übernahme der Kosten.
und System-Rekonstruktion.
Dritt- Schadenersatzforderungen von
Kunden wegen Datenmissbrauch
Entschädigung und
Abwehr unberechtigter
schäden und/oder Lieferverzug. Forderungen.
Service- IT-Forensik-Experten zur Analyse, Beweis-
sicherung und Schadenbegrenzung.
Leistungen Anwälte für IT- und Datenschutzrecht
Jeweils
Vermittlung und
zur Beratung.
Kostenübernahme.
PR-Spezialisten für Krisenkommunikation
zur Eindämmung des Imageschadens.
Impressum V.i.S.d.P.:
Christoph Hardt
Herausgeber: Redaktion:
Gesamtverband der Deutschen Lucas Fömpe, Simon Frost, Christian Siemens
Versicherungswirtschaft e. V.
Wilhelmstraße 43 / 43 G Bildnachweis:
S. 1: shutterstock/TippaPatt
10117 Berlin S. 4: shutterstock/Anucha Cheechang
Tel. +49 30 2020-5000 S. 10: shutterstock/Monkey Business Images
Eine Initiative der
berlin@gdv.de, www.gdv.de S. 12: shutterstock/13_Phunkod deutschen Versicherer.Wilhelmstraße 43 / 43 G 51, rue Montoyer www.gdv.de 10117 Berlin B-1000 Brüssel www.DieVERSiCHERER.de Tel. +49 30 2020-5000 Tel. +32 2 28247-30 facebook.com/DieVERSiCHERER.de Fax +49 30 2020-6000 Fax +32 2 28247-39 Twitter: @gdv_de E-Mail: berlin@gdv.de E-Mail: bruessel@gdv.de www.youtube.com/user/GDVBerlin
Sie können auch lesen
