Cyberrisiken im Mittelstand - Ergebnisse einer Forsa-Befragung Frühjahr 2019
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesamtverband der Deutschen Versicherungswirtschaft e. V. Eine Initiative der deutschen Versicherer. Ergebnisse einer Forsa-Befragung Frühjahr 2019 Cyberrisiken im Mittelstand
02 Cyberrisiken im Mittelstand Der Mittelstand – Rückgrat der deutschen Wirtschaft 80,4 % Kleinstunternehmen1 99,3 % 16,0 % kleine und kleine Unternehmen2 mittlere Unternehmen 2,9 % mittlere Unternehmen3 0,7 % Großunternehmen 1 bis 9 Mitarbeiter/bis 2 Mio. Euro Jahresumsatz 2 10 bis 49 Mitarbeiter/2 bis 10 Mio. Euro Jahresumsatz 3 50 bis 249 Mitarbeiter/10 bis 50 Mio. Euro Jahresumsatz Quelle: Destatis, Werte für 2016 Über die Umfrage Über die Initiative „Cyberrisiken im Mittelstand 2019“ – Der GDV hat die Forsa Mit der Initiative CyberSicher sensibilisieren Politik- und Sozialforschung GmbH mit einer repräsen- die Versicherer für tativen Befragung von 300 Entscheidern in kleinen und die Gefahren aus mittleren Unternehmen beauftragt. Die Befragung wurde dem Cyberspace so angelegt, dass repräsentative Aussagen zu Kleinstun- und zeigen, wie sich ternehmen, kleinen Unternehmen und mittleren Unter- kleine und mitt- nehmen getroffen werden können. Die Interviews fanden lere Unternehmen Eine Initiative der Deutschen Versicherer. zwischen dem 11. März und dem 5. April 2019 statt. schützen können. #cybersicher
Inhalt 03 Cyberrisiken im Mittelstand Ergebnisse einer Forsa-Befragung im Frühjahr 2019 1 Welche Schäden drohen Wenn nichts mehr geht Erfolgreiche Cyberattacken können Unternehmen existenziell gefährden – denn in den meisten Fällen legen sie den kompletten Betrieb lahm. Dann beginnt der Kampf gegen die Zeit → Seite 4 Was eine Cyberattacke kosten kann Diese Folgen drohen, wenn ein Hacker die Patientendaten einer Arztpraxis stiehlt oder sämtliche Rechner eines Maschinenbauers sperrt → Seite 9 2 Wie Cyberkriminelle angreifen Schwachstelle Mensch: Zwei Drittel der erfolgreichen Angriffe kommen per E-Mail Das E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale Schnittstelle zu Kunden und Lieferanten. Mit immer ausgefeilteren Methoden bringen Hacker ihre Opfer dazu, die elektronische Post samt Anhängen zu öffnen → Seite 10 3 Wie Sie Ihr Unternehmen schützen Achtung: Dringender Sicherheitshinweis! Kaum ein Tag vergeht ohne großangelegte Cyberattacken – dabei greifen Hacker nicht immer gezielt an, sondern suchen vor allem nach leichten Opfern. Wenn Sie nicht dazugehören wollen, sollten Sie diese Tipps beherzigen → Seite 12 Selbsttest: Wie gut ist Ihre IT-Sicherheit? Absolute Sicherheit im Netz gibt es nicht. Doch Widerstand ist möglich. Wer die Gefahren realistisch einschätzt und bei seiner IT-Sicherheit einige Grundlagen beachtet, ist gegen viele Angriffe wirksam geschützt und kann die wirtschaftlichen Folgen eines erfolgreichen Angriffs eindämmen → Seite 16 #cybersicher
04 Welche Schäden drohen Wenn nichts mehr geht E rfolgreiche Cyberattacken können Unternehmen existenziell gefährden– denn in den meisten Fällen legen sie den kompletten Betrieb lahm. Dann beginnt der Kampf gegen die Zeit. W enn Gerhard Klein an den Auslieferung ist deshalb beson- Wenig tröstlich für den Unter- Oktober 2018 denkt, fällt ders wichtig. Zu allem Überfluss ist nehmer, dass er mit seinen Sorgen ihm vor allem ein Wort Monatsanfang und die Lohnabrech- nicht allein ist. Die deutsche Wirt- ein: „Desaster.“ In seiner Saarbrü- nung fällig. Geschäftsführer Klein schaft leidet flächendeckend unter cker Druckerei geht an diesem ist schnell klar: „Das ist ein Wettlauf Hackerangriffen. Längst sind nicht Herbstmorgen nichts mehr. Und gegen die Zeit.“ Auftrags- und Rech- mehr nur große Konzerne im Visier das wird auch noch für einige Tage so sein. Die Computer streiken. Pro- gramme lassen sich nicht öffnen, „Die sagen: Was soll mir schon passieren, wenn meine Daten das Mailsystem reagiert nicht, die abhandenkommen?“ Telefonanlage ist tot. Über eine bis dato nicht bekannte Lücke in der Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, über die fahrlässige Haltung vieler Unternehmen Firewall haben sich Cyberkriminel- le Zugang verschafft und sämtliche Daten auf den lokalen Festplatten verschlüsselt. nungserfassung sind unmöglich. der Kriminellen – auch der Mittel- Die Druckerei Braun und Klein Wenn der völlige Stillstand nicht stand wird täglich angegriffen. Es stellt unter anderem Werbe- und wenige Tage, sondern zwei bis drei trifft Autozulieferer und Maschi- Angebotsplakate für große Ein- Wochen andauert, „ist die Firma nenbauer, Hotels und Restaurants, zelhändler her, termingenaue platt“. Ärzte und Apotheker, Einzelhändler, #cybersicher
Welche Schäden drohen 05 Handwerker, Dienstleister. Jedes Jedes vierte Unternehmen bereits betroffen vierte mittelständische Unterneh- Wurde Ihr Unternehmen men in Deutschland war bereits durch Cyberangriffe Opfer mindestens eines erfolgrei- geschädigt? chen Cyberangriffs, wie eine aktu- elle Forsa-Umfrage im Auftrag des 5% GDV zeigt. Vielen geht es dann wie der Druckerei von Gerhard Klein. Plötzlich geht nichts mehr, kommt 24 % der befragten Unternehmen der gesamte Geschäftsbetrieb zum waren Opfer erfolgreicher Erliegen. In der Forsa-Umfrage Angriffe, 5 % sogar mehrfach. berichten mehr als die Hälfte der betroffenen Unternehmen (59 Pro- zent) über Betriebsausfälle. Sie sind zusammen mit den Ausgaben für die Wiederherstellung der Daten Die Schäden und IT-Systeme die häufigsten Fol- Welche Schäden sind im Unternehmen durch den Cyberangriff entstanden? gen einer Cyberattacke – und stellen für die Opfer das größte unterneh- Unterbrechung des Betriebs merische Risiko eines erfolgreichen ablaufs/der Produktion 59 % Angriffs dar. Kosten für Aufklärung und Als beispielsweise im IT-System Datenwiederherstellung 53 % des Münchner Maschinenbauers Krauss Maffei im November 2018 Diebstahl unternehmenseigener Daten bzw. Betriebsgeheimnisse 10 % ein Trojaner aktiv wird, ist auch die Produktion betroffen. Und selbst Reputationsschaden 7% zwei Wochen später sind noch nicht alle Systeme wieder auf 100 Pro- zent. Das Bundesamt für Sicherheit Zahlung von Lösegeld 6% in der Informationstechnik (BSI) beobachtet steigende Fallzahlen bei deutschen Unternehmen. Beson- ders breit angelegte Spam-Kam- pagnen wie Emotet seien auf dem Vormarsch. Mit deren Hilfe gelinge Angriffspunkte in Unternehmen viele Firmen mit der Gefahr noch es Kriminellen in Firmennetzwerke bieten. In Hotels ist es das Buchungs- eher hemdsärmlig um. Auch BSI- einzudringen und diese nach viel- system, im Handel die Kasse, bei Chef Schönbohm beobachtet eine versprechenden Zielen zu durch- Ärzten und Apotheken sind es die fahrlässige Haltung von Unter- suchen. „Wir erleben derzeit die Rechner mit den Patientendaten, nehmen. „Die sagen: Was soll mir massenhafte Verbreitung von raf- in der Industrie die vernetzten Pro- schon passieren, wenn meine Daten finierten Angriffsmethoden durch duktionssysteme. Funktioniert die abhandenkommen?“. Gerade bei die Organisierte Kriminalität, die IT nicht mehr, liegen die meisten kleinen und mittelständischen bis vor einigen Monaten nachrich- Betriebe schnell komplett lahm. In Unternehmen ist das Bewusstsein tendienstlichen Akteuren vorbehal- der Forsa-Umfrage des GDV sind für Cybersicherheit eher gering ten waren“, sagt Behördenchef Arne ganze elf Prozent der Unterneh- ausgeprägt. Vor allem die Gefahr Schönbohm. men der Ansicht, dass sie auch ohne für das eigene Unternehmen sehen Keine besonders beruhigenden IT-Systeme problemlos weiterarbei- viele nicht, wie die Forsa-Studie für Aussichten – zumal sich Krimi- ten könnten, zwei Drittel wären deut- den GDV zeigt. Während beinahe nellen bei fortschreitender Digi- lich eingeschränkt. Doch obwohl drei Viertel (72 Prozent) der Mit- talisierung eher mehr als weniger die Abhängigkeit so groß ist, gehen telständler ein hohes Risiko von k #cybersicher
06 Welche Schäden drohen k Cyberkriminalität erkennen, analog gesteuert wurde, wird heute Größe, eine umfassende Datensi- bestätigt lediglich ein Drittel (34 Pro- über das Internet gemacht. Aber viel cherheit. Wer sich nicht an die Spiel- zent) diese Gefahr auch für den eige- zu oft geht bei den Themen Industrie regeln hält – zum Beispiel indem er nen Betrieb. 4.0 und Internet of Things Funktion Kunden und Datenschutzbehörden Die Folgen dieser Sorglosigkeit und Machbarkeit vor Sicherheit“, so nicht mitteilt, wenn es ein Daten- kennt Michael Wiesner genau. Als Wiesner. leck gibt – muss mit empfindlichen White-Hat-Hacker prüft er die IT- Mit ihrer laxen Einstellung Strafen rechnen. Bei schweren Ver- Sicherheit von Firmen. Und staunt zur IT-Sicherheit sind Firmen vor stößen, etwa der Nutzung persönli- nicht schlecht, als er im Auftrag des allem eines: einfache und lohnens- cher Daten ohne ausreichende Ein- GDV 25 Arztpraxen untersucht: In werte Ziele. BSI-Chef Schönbohm willigung der Betroffenen, drohen Geldstrafen bis maximal 20 Milli- onen Euro. Spätestens Beispiele wie das „Das beliebteste Passwort in einer Praxis ist ‚Praxis‘, der Chatplattform mit dem sympa- der beliebteste Benutzername ist auch ‚Praxis‘, gefolgt von thischen Namen Knuddels dürften ‚Behandlung‘ oder dem Namen des Arztes.“ seither so manchen Unternehmer Michael Wiesner, White-Hat-Hacker aufgerüttelt haben: Hier knacken Hacker im vergangenen Jahr die Server des sozialen Netzwerks. Die E-Mail-Adressen und Passwörter von 22 der Praxen werden sehr einfache setzt darauf, dass sich mit der fort- mehr als 300.000 Knuddels-Nut- oder gleich gar keine Passwörter ver- schreitenden Digitalisierung nach zern tauchen kurz darauf im Netz wendet. „Das beliebteste Passwort in und nach ein anderes Verständnis auf. Zum Reputationsschaden, den einer Praxis ist ‚Praxis‘, der belieb- für die Cybersicherheit entwickelt. ein solches Datenleck ohne Zweifel teste Benutzername ist auch ‚Praxis‘, Noch sind es aber vor allem externe verursacht, kommt von den Daten- gefolgt von ‚Behandlung‘ oder dem Faktoren, die Unternehmen dazu schützern ein Bußgeldbescheid über Namen des Arztes“, berichtet Wies- bringen, sich abzusichern. So wie 20.000 Euro hinzu, der den Betrei- ner. Auch bei seinen Aufträgen im die europäische Datenschutzgrund- bern noch vor dem Jahreswechsel produzierenden Gewerbe findet er verordnung (DSGVO), die seit Mai auf den Schreibtisch flattert. Um immer wieder große Sicherheitslü- 2018 scharfgeschaltet ist. Sie ver- nicht in dieselbe Situation zu gera- cken: „Was in der Industrie früher langt von Betrieben, egal welcher ten, haben viele Unternehmen die k Eine nicht funktionierende Unternehmens-IT 46 % legt schnell auch die meisten Betriebe lahm Würde die IT mehrere Tage ausfallen, wäre ihr Betrieb ... (Angaben in Prozent) Nur 11 % geben an, dass Ihr Unternehmen ohne IT gar nicht eingeschränkt wäre. 17 % 15 % 11 % 11 % Fast 2 von 3 Unternehmen liegen ohne IT lahm nicht nur wenig nicht so stark eher stark sehr stark eingeschränkt eingeschränkt eingeschränkt eingeschränkt eingeschränkt #cybersicher
Welche Schäden drohen 07 So begrenzen Sie die Folgen eines erfolgreichen Cyberangriffs Die regelmäßige und richtige Sicherung Ihrer Daten 2. Halten Sie alles schriftlich fest (siehe Seite 14) ist die Basis jeder effektiven Krisenreak- Reden Sie nicht nur, sondern arbeiten Sie Ihre Notfallpläne, tion nach einem Cyberangriff. Sie allein reicht aber bei die Verantwortlichkeiten und alle wichtigen Kontaktdaten weitem nicht aus. Wie in jeder Krisensituation gilt auch schriftlich aus – und drucken Sie den Plan dann auch wirk- hier: Handeln Sie schnell, aber bewahren Sie trotzdem lich aus! Die digitale Fassung nützt Ihnen nach einem Cyber- einen kühlen Kopf. Das gelingt am besten, wenn Sie und angriff herzlich wenig. Wenn Sie mit einem IT-Dienstleis- Ihr Unternehmen gut vorbereitet sind. ter zusammenarbeiten, lassen Sie sich dessen Leistungen und Reaktionszeiten vertraglich zusichern. 1. Machen Sie einen Notfallplan Panikreaktionen und überstürzte Handlungen führen zu 3. Üben, üben, üben Fehlern. Arbeiten Sie mit den IT-Verantwortlichen oder Machen Sie den Notfallplan allen Mitarbeitern bekannt Ihrem IT-Dienstleister daher Notfallpläne für verschie- und stellen Sie sicher, dass jeder seine Rolle und Aufgabe dene Angriffs-Szenarien aus. Legen Sie fest wer, wann verstanden hat und der Plan auch wirklich funktioniert. und wie reagiert und werden Sie dabei so konkret wie Das finden Sie am besten heraus, indem Sie den Notfall möglich: Sollten Sie die betroffenen IT-Systeme aus- regelmäßig simulieren. So können Sie Ihr Notfallkonzept schalten? Oder besser laufen lassen und vom Netzwerk weiter optimieren, gleichzeitig sensibilisieren Sie Ihre Mit- trennen? Ist Ihr Dienstleister im Ernstfall auch nachts arbeiter für die Gefahren aus dem Cyberspace. und am Wochenende einsatzbereit? Unter welcher Nummer ist er dann erreichbar? Wo liegen die Datensi- 4. Schalten Sie die Polizei ein und erstatten Sie cherungen und wann können diese sicher wieder auf die Strafanzeige Systeme aufgespielt werden? Wer informiert betrof- In vielen Bundesländern haben Polizei und Justiz spezia- fene Kunden, Vertragspartner und Behörden? Bis wann lisierte Cybercrime-Dienststellen geschaffen. Sie helfen und in welcher Form? Denken Sie außerdem darüber Ihnen, Beweise zu sichern, kennen im Zweifel ähnliche nach, was in Ihrem Betrieb ohne IT noch möglich ist und Fälle und können Ihnen konkrete Empfehlungen geben. implementieren Sie Alternativen, mit denen Sie Ihren Darüber hinaus lässt sich das Geschäftsmodell der Cyber- Geschäftsbetrieb auch bei einem IT-Ausfall so gut und kriminellen langfristig nur dann wirksam bekämpfen, so lange wie möglich aufrecht erhalten können. wenn möglichst viele Täter ermittelt und bestraft werden. Die IT-Systeme wieder zum Laufen zu bringen, kann dauern ... Wie lange hat es gedauert, die IT-Systeme wiederherzustellen und die Schadsoftware zu beseitigen? Zwei Drittel sind tagelang offline 33 % der Betroffenen konnten die Systeme am ersten Tag wieder herstellen 48 % brauchten 18 % der Betroffenen bis zu drei Tage benötigten mehr als drei Tage 1 Tag 2 Tage 3 Tage #cybersicher
08 Welche Schäden drohen k DSGVO-Vorschriften für ein untypische Schadensbilanz. Bei Cyberkriminalität für viele Firmen- umfassendes Sicherheitsupdate einem Maschinenbauer mit einem chefs noch immer zu abstrakt sei. genutzt. Nach den Daten der For- Jahresumsatz von 40 Millionen Euro „Warum sollten Freaks, die in Nord- sa-Umfrage rüstete jedes zweite schlägt bereits eine Woche Betrieb- korea, Rumänien oder Russland sit- Unternehmen (50 Prozent) anläss- sunterbrechung – etwa durch einen zen, meine Firma angreifen?!“ lich der EU-Verordnung auch die Verschlüsselungs-Trojaner – mit eigene IT-Sicherheit auf. rund 45.000 Euro zu Buche. Hinzu Auch in der Druckerei von kommen Kosten für IT-Forensiker Gerhard Klein war das Risiko alles und Datenwiederherstellung. „Das andere als unbekannt: „Wir haben ist eine umfangreiche Arbeit, für „Kleine Firmen denken immer, sie sehr genau gewusst, welche Gefah- die man bis zu 20.000 Euro ver- sind kein Ziel für Hackerangriffe. ren existieren, und hatten Maßnah- anschlagen kann“, weiß Gert Bau- Das ist falsch.“ men ergriffen, um einen Angriff meister, Vorsitzender der Projekt- Gerhard Klein, Unternehmer zu verhindern.“ Insofern hat Klein gruppe Cyberversicherung im GDV. sich und seinen Mitarbeitern auch Sind dann noch personenbezogene nichts vorzuwerfen. „Bei uns hat kei- Daten wie etwa die Lohnabrechnung ner einen Fehler gemacht, sondern betroffen, drohen auch Ansprüche wir sind von Verbrechern attackiert nach der DSGVO. Da kann es kaum worden.“ verwundern, dass die Schäden durch Tun sie aber. Und damit es Wie in den meisten Fällen hatten Cyberkriminalität für die deutsche auch dem Letzten klar wird, gibt es die Kriminellen beim Angriff auf Wirtschaft bei mehr als 20 Milliar- es für Klein nur einen Weg: Der Kleins Druckerei auf schnelles Geld den Euro jährlich liegen. Das schät- Weckruf muss aus der Wirtschaft abgesehen: Von außen hinzugeru- zen jedenfalls das Bundesamt für selbst kommen. Klein und seine fene IT-Forensiker entdecken in den Verfassungsschutz und Bitkom in Kollegen gehen in die Offensive. Tiefen des Systems einen Erpresser- einer gemeinsamen Studie. Die Geschichte vom Cyberangriff brief. Die Forderung der Kriminel- landet auf dem Firmenblog und in len scheint zunächst überschaubar: den Nachrichten. Der Schaden durch rund 4500 Euro in Bitcoin. Nachdem den erfolgreichen Cyberangriff soll 70.000 Euro er die Erpresser um 1000 Euro her- kein Tabu sein. „Unternehmen soll- untergehandelt hat, entschließt sich ten klar kommunizieren, wenn sie Klein zu zahlen. Nicht ohne einen kostete Gerhard Klein die Attacke angegriffen werden“, appelliert er. Beweis zu verlangen, dass diese die auf seine Druckerei Eine solche Strategie – würde sie Verschlüsselung wirklich aufheben denn von vielen gewählt – würde können. Und tatsächlich: Das Mail- Cyberkriminellen auf Dauer das system mit dem gesamten Archiv Leben schwermachen. bekommen sie wieder ans Laufen. Angesichts solcher Zahlen und Ein halbes Jahr nach der Atta- Mehr aber auch nicht – für die Ent- des durchaus vorhandenen Bewusst- cke weiß Klein: Seine Strategie war schlüsselung weiterer Daten fordern seins für die Gefahren durch Cyber richtig. Kunden seien nicht davon- die Erpresser nun ein Vielfaches an attacken mutet es paradox an, dass gelaufen und auch von anderen Lösegeld. gut die Hälfte (57 Prozent) der klei- Unternehmen habe es viel positives Klein bricht den Kontakt ab. nen und mittelständischen Betriebe Feedback gegeben. „Wir haben uns In mühevoller Handarbeit setzen annimmt, ihr eigenes Unternehmen erholt – gedanklich, finanziell – und Mitarbeiter und externe IT-Spezi- sei für Kriminelle nicht interessant. schauen positiv nach vorne. Wir wis- alisten die Systeme in den nächs- „Kleine Firmen denken immer, sie sen aber auch: Der nächste Angriff ten Tagen und Wochen wieder auf. sind kein Ziel für Hackerangriffe“, kommt bestimmt.“ v Rund 70.000 Euro habe die Attacke weiß auch Unternehmer Klein. „Das das Unternehmen allein finanziell ist falsch.“ Er führt den Widerspruch gekostet, resümiert Klein. Keine darauf zurück, dass das Thema #cybersicher
Welche Schäden drohen 09 Was eine Cyberattacke kosten kann – und eine Cyberversicherung deckt ( ) Musterszenario Diebstahl sensibler Daten: Musterszenario Ransomware: Hacker attackieren die IT-Systeme einer Arztpraxis. Sie kopieren die Patientendaten und versprechen, gegen die Zahlung von Lösegeld Hacker attackieren mit einem Ver- auf eine Veröffentlichung der Daten zu verzichten. schlüsselungs-Trojaner die IT-Systeme eines Maschinenbauers. Sie wollen die Angriff gesperrten Rechner erst wieder frei- geben, wenn sie Lösegeld bekommen. Die Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen be- haupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie kompromittierende Daten über fünf Patienten, die tatsächlich in der be- Angriff troffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu ver- Sämtliche Rechner und die vernetzten öffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen. Produktionssysteme des Maschinen- bauers sind ohne Funktion. Auf den Informationen an Patienten und Behörden Bildschirmen der Steuerungsrechner erscheint lediglich eine Nachricht der Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt Erpresser. kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Pa- tienten über den Verlust der sensiblen Daten informieren. Um sicher IT-Forensik und zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt, Datenwiederherstellung holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach der Information verunsichert und haben intensiven Gesprächsbedarf. Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt das Unter- Informationskosten: Anwaltskosten: nehmen kein Lösegeld. IT-Spezialisten 4.000 Euro 2.000 Euro arbeiten mehrere Tage daran, den Trojaner von sämtlichen Systemen Security-Initiative zu entfernen; anschließend müs- sen sie alle Daten aus den Backups IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zu- wiederherstellen. griff zu den Daten erlaubte. Die Systeme werden desinfiziert und gehärtet. Kosten für IT-Forensik und Daten- Kosten für IT-Forensik: wiederherstellung: 20.000 Euro 5.000 Euro Betriebsunterbrechung Betriebsunterbrechung Bis die Systeme wieder laufen, kann Bis die Schwachstellen geschlossen und weitere Datendiebstähle das Unternehmen nicht produzieren. verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrech- Die Mitarbeiter aus Fertigung und nung mit den Krankenkassen ist unmöglich. Verwaltung bleiben zuhause. Kosten für 2 Tage Betriebsunterbrechung: Kosten für 5 Tage Betriebs 5.000 Euro unterbrechung: 45.000 Euro Datenmissbrauch Information von Kunden und Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die Vertragspartnern Betroffenen beauftragen Spezialisten mit der Löschung der unrecht- Die IT-Forensiker können nicht mäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz. ausschließen, dass Daten nicht nur Schadensersatz: gesperrt, sondern auch entwendet 20.000 Euro nach Art. 82 DSGVO wurden. In diesem Fall wären auch Betriebsgeheimnisse von Vertrags- partnern betroffen, die vorsorglich Vertrauenskrise informiert werden müssen. Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden Informationskosten und Rechts sich zahlreiche Patienten von der Praxis ab, der Patientenstamm beratung: 20.000 Euro schrumpft deutlich. Krisenkommunikation: Vertrauenskrise 1.000 Euro Der bisher tadellose Ruf des Unterneh- Der Umsatzrückgang ist nicht gedeckt mens nimmt in wichtigen Kundenbran- chen Schaden; einige Kunden wenden Aufarbeitung sich vom Unternehmen ab, der Umsatz sinkt spürbar. Die Datenschutzbehörden verhängen aufgrund des Datenverlustes ein hohes Bußgeld. Krisenkommunikation: 30.000 Euro Das Bußgeld ist nicht gedeckt Der Umsatzrückgang ist nicht gedeckt #cybersicher
10 Wie Cyberkriminelle angreifen Schwachstelle Mensch: Zwei Drittel der erfolgreichen Angriffe kommen per E-Mail as E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale Schnittstelle zu Kunden und Lieferanten. D Mit immer ausgefeilteren Methoden bringen Hacker ihre Opfer dazu, die elektronische Post samt Anhängen zu öffnen – und legen mit ihrer Schadsoftware nicht nur die IT-Systeme, sondern ganze Betriebe lahm. S ie haben 10.000 Euro gewon- runterzuladen oder Passwörter von ihnen klang der Inhalt derartig nen! Klicken Sie hier!“ – Über herauszugeben. verlockend, dass sie die Mail sogar derartige E-Mails werden Auch einfache Reize wie Neu- extra aus ihrem Spam-Ordner her- die meisten nur müde lächeln. gierde helfen den Tätern ans Ziel: vorholte und öffnete. Falls sie es durch den Spam-Filter So wurde die renommierte ameri- Für die Cyberkriminellen loh- schaffen, werden sie ungelesen kanische IT-Sicherheitsfirma RSA nen sich die gezielten Attacken auf gelöscht. Dabei wird unterschätzt: Security gehackt, indem eine infi- die Schwachstelle Mensch: 70 Pro- Beim E-Mail-Angriff auf Unterneh- zierte Excel-Datei mit dem Namen zent aller erfolgreichen Angriffe men gehen Kriminelle inzwischen „Stellenbesetzungsplan“ an die Mit- treffen über das E-Mail-Postfach deutlich professioneller vor. „Social arbeiter verschickt wurde. Für eine der Unternehmen ins Ziel. Nur bei Hacking“ nennt sich die Kunst, po- rund einem Viertel der Attacken ver- tentielle Opfer möglichst geschickt schafften sich Hacker gezielt Zugriff zu manipulieren. Kriminelle geben „Technische Hilfsmittel können auf die IT-Systeme, andere Angriffs- sich mit zuvor gesammelten Daten den gesunden Menschenverstand wege wie beispielsweise DDoS-Atta- eines Unternehmens zum Beispiel und eine gewisse Skepsis nicht cken spielen kaum eine Rolle. als Abteilungsleiter oder Kunde ersetzen.“ Die hohe Zahl erfolgreicher Atta- aus – und bringen den Empfän- Peter Graß, Cyberversicherungsexperte cken per Mail ist eine gute und eine ger so dazu, Schadsoftware he- im GDV schlechte Nachricht zugleich. Die #cybersicher
Wie Cyberkriminelle angreifen 11 schlechte: In vielen Firmen gehen Chefs wie Mitarbeiter noch viel zu fahrlässig Die Einfallstore Erfolgreiche Cyberangriffe erfolgten durch ... 1 mit eingehenden E-Mails um und ver- lassen sich einzig und allein auf Firewall und Virenscanner. Doch die erkennen E-Mails 70 % nicht jede Schadsoftware. „Die techni- schen Hilfsmittel können den gesunden Menschenverstand und eine gewisse Hackerangriffe 27 % Skepsis nicht ersetzen“, sagt GDV-Cyber- versicherungsexperte Peter Graß. DDoS-Attacken 2% Er empfiehlt regelmäßige Schulun- gen und verbindliche Vorsichtsmaßnah- USB-Stick/ande- rer Datenträger 3% men für den Umgang mit E-Mails (siehe Kasten). Dann – und das ist die gute Ursache 2% ungeklärt Nachricht – könnten viele Angriffe per 1 Mehrfachnennungen möglich Mail rechtzeitig erkannt und das Öffnen gefährlicher Software verhindert werden. So schützen Sie Ihr Unternehmen vor schädlichen E-Mails Nur ein einziger falscher Klick auf einen verseuchten verhindern Sie, dass sich schädliche Mails automatisch Mail-Anhang oder einen Link kann Ihre Unterneh- öffnen und Viren oder Würmer sofort aktiv werden. mens-IT lahmlegen. Wenn Sie Ihre Mitarbeiter regelmä- ßig für die Gefahren sensibilisieren und einige grundle- 4. Vor dem Öffnen: Prüfen Sie Absender und Betreff gende Regeln für den Umgang mit E-Mails aufstellen, Cyberkriminelle verstecken sich gern hinter seriös wir- können Sie sich vor vielen Angriffen schützen. kenden Absenderadressen. Ist Ihnen der Absender der Mail bekannt? Und wenn ja: Ist der Absender wirklich 1. Arbeiten Sie mit hohen Sicherheitseinstellungen echt? Achten Sie auf kleine Fehler in der Schreibweise Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs- oder ungewöhnliche Domain-Angaben hinter dem @. systems und Ihrer Software zu Ihrem Schutz. Im Office- In betrügerischen E-Mails ist auch der Betreff oft nur Paket sollten zum Beispiel Makros dauerhaft deaktiviert unpräzise formuliert, z. B. „Ihre Rechnung“. sein und nur bei Bedarf und im Einzelfall aktiviert wer- den können – denn auch über diese kleinen Unterpro- 5. Öffnen Sie Links und Anhänge nur von wirklich ver- gramme in Word-Dokumenten oder Excel-Listen kann trauenswürdigen Mails sich Schadsoftware verbreiten. Wollen Banken, Behörden oder Geschäftspartner sensible Daten wissen? Verweist eine kryptische Mail auf wei- 2. Halten Sie Virenscanner und Firewall immer auf tere Informationen im Anhang? Dann sollten Sie stutzig dem neuesten Stand werden und auf keinen Fall auf die Mail antworten, Links Die meisten schädlichen E-Mails können Sie mit einem folgen oder Anhänge öffnen. In Zweifelsfällen fragen Sie Virenscanner und einer Firewall automatisch herausfil- beim Absender nach – aber nicht per Mail, sondern am tern lassen. Wirksam geschützt sind Sie aber nur, wenn Telefon! Auch eine Google-Suche nach den ersten Sätzen Sie die Sicherheits-Updates auch schnell installieren. der verdächtigen Mail kann sinnvoll sein – weil Sie so auch Warnungen vor der Betrugsmasche finden. 3. Öffnen Sie E-Mails nicht automatisch Firewall und Virenscanner erkennen nicht alle schäd- 6. Löschen Sie lieber eine Mail zu viel als eine zu wenig lichen Mails. Öffnen Sie also nicht gedankenlos jede Erscheint Ihnen eine Mail als nicht glaubwürdig, löschen Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie Sie die Mail aus Ihrem Postfach – und leeren Sie danach in Ihrem E-Mail-Programm die „Autovorschau“ aus. So auch den Papierkorb Ihres Mailprogramms. #cybersicher
12 Wie Sie Ihr Unternehmen schützen Achtung! Dringender Sicherheitshinweis aum ein Tag vergeht ohne großangelegte K Cyberattacken– dabei greifen Hacker nicht immer gezielt an, sondern suchen vor allem nach leichten Opfern. Wenn Sie nicht dazugehören wollen, sollten Sie mindestens diese vier Tipps beherzigen. 1. Unterschätzen Sie die Gefahr nicht! (Zu) hohes Vertrauen in den In weiten Teilen des deutschen Mittel- standes regiert das Prinzip Hoffnung. eigenen Schutz Auch wenn eine deutliche Mehrheit Ist das eigene Unternehmen ausreichend gegen das Cyberrisiko für mittelständische Cyberkriminalität geschützt? Unternehmen als hoch und damit Ja Nein, Unternehmen müsste mehr tun durchaus realistisch einschätzt, blen- den viele die Gefahr für das eigene Unternehmen aus. Sie sagen: Mein Unternehmen ist zu klein. Meine 80 80 % meinen, 20 Daten sind nicht interessant. Mein Schutz reicht bestimmt aus. Richtig gut geschützt ist aber: Für Hacker gibt es kein zu zu sein klein. Die Daten müssen nicht inter- essant, sondern für Sie wertvoll sein. Und nein: Virenscanner und Firewall sind noch lange kein Rundumschutz, sondern nur ein Anfang. „Das Risiko gibt es – aber mein Unternehmen betrifft es nicht“ „Das Risiko von Cyber- kriminalität für mittel ständische Unternehmen in Deutschland ist eher 72 % bzw. sehr hoch“ „Das Risiko von Cyber kriminalität für das eigene Unternehmen ist 34 % ? eher bzw. sehr hoch“ #cybersicher
Wie Sie Ihr Unternehmen schützen 13 2. Verwenden Sie starke Passwörter! Ist Ihr Passwort auch 12345? Sicherheit durch Zwang 26 % Qwertz? Passwort? Der Name Werden Mindestanforderungen Ihrer Tochter? Das ist nicht gut, an Passwörter technisch denn Passwörter sollen in ers- erzwungen? lassen einfache ter Linie nicht leicht zu merken, Passwörter zu Ja Nein sondern schwer zu knacken sein. Machen Sie es Hackern also nicht zu leicht. Am besten stellen Sie Ihre Computer-Sys- teme so ein, dass sie zu einfa- 74 26 che Passwörter gar nicht erst akzeptieren. Drei Tipps für sichere Passwörter 1. Denken Sie sich laaaaaaaange Passwörter aus merken müssen; das übernimmt der Manager. Da die Sonderzeichen und Großbuchstaben helfen nur bedingt Anbieter ihre Daten in aller Regel verschlüsseln, sind weiter, ebenso das ständige Wechseln von Passwörtern. die Passwörter auch gegen Hackerangriffe geschützt. Wichtiger ist die Länge. Hacker „raten“ Passwörter in Sie brauchen für alle Passwörter hingegen nur noch das der Regel nicht, sondern probieren in kurzer Zeit große „Master-Kennwort“ – das natürlich wiederum sehr sicher Mengen möglicher Kombinationen aus. Je länger das sein sollte. Passwort ist, desto länger braucht auch der Computer. Ein einfaches Beispiel, das Sie bitte nicht direkt verwen- 3. Nutzen Sie die Zwei-Faktor-Authentifizierung den: Um „Pa$$W0rt“ zu knacken, braucht ein herkömm- Auch wenn es etwas komplizierter ist, sollten Sie ernst- licher PC nach Auskunft der Webseite checkdeinpass- haft eine Zwei-Faktor-Authentifizierung in Betracht wort.de gerade mal sechs Stunden, für „Pa$$W0rt- ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am Hallo123“ mehrere Milliarden Jahre. Geldautomaten brauchen Sie ihre Giro-Karte (1. Fak- tor) und die PIN (2. Faktor), auch eine Überweisung 2. Verwenden Sie einen Passwort-Manager beim Online-Banking funktioniert in aller Regel nur mit Sie und Ihre Mitarbeiter können und wollen sich die vie- PIN und TAN. Den Zugang zu Ihren Systemen können len langen und komplizierten Passwörter nicht merken? Sie genauso schützen – dann bekommen Sie nach der Dann fangen Sie auf keinen Fall an, immer das gleiche Eingabe Ihres Passwortes zum Beispiel noch einen Code oder nur ein leicht abgewandeltes Passwort einzu- auf Ihr Smartphone geschickt. Alternativ bekommt jeder geben. Das macht es Hackern zu einfach. Die bessere Mitarbeiter eine Chipkarte, mit der er sich identifizie- Alternative sind Passwort-Manager. Sie generieren und ren kann. Mit dem Passwort allein können Hacker dann verwalten starke (=lange) Passwörter, die Sie sich nicht nichts mehr anfangen. #cybersicher
14 Wie Sie Ihr Unternehmen schützen 3. Sichern Sie Ihre Daten richtig! Je öfter, desto besser Datensicherungen sind Ihre letzte Rückver- sicherung für den Fall gelöschter oder mani- Erstellen Sie mindestens wöchentlich eine Sicherungskopie Ihrer Daten? pulierter Daten. Das Backup kann Sie auch dann vor dem Verlust Ihrer Daten schützen, Ja Nein wenn Sie keinen physischen Zugriff mehr auf Ihre Systeme haben, etwa nach einem Brand oder einem Diebstahl. Doch dafür dürfen Sie 32 % können aktuelle die Kopien nicht in der Nähe der laufenden Systeme aufbewahren. Noch wichtiger und Daten nicht leider noch zu oft ignoriert: Stellen Sie durch wiederherstellen regelmäßige Testläufe sicher, dass Ihr Backup auch wirklich funktioniert. Im Fall von verlo- renen oder manipulierten Daten zählt oft jede Minute – das ist der schlechteste Zeitpunkt 68 32 um festzustellen, dass Ihre Sicherungskopie fehlerhaft ist. So sichern Sie Ihre Daten richtig Wie sicher ist das Backup? Was? Vom Smartphone bis zum Desk- Wird das Wiederherstellen der Daten aus der Sicherungskopie top-Rechner sollten alle Geräte gesichert wer- regelmäßig getestet?? den. Kritische Daten sollten besser mehrfach gesichert werden. Ja Nein Wie oft? So oft und so regelmäßig wie mög- lich. Stellen Sie am besten mit einem auto- matisierten Zeitplan sicher, dass keine Lücken 54 % wissen nicht, ob entstehen. Wohin? Speichern Sie das Backup auf jeden ihre Sicherungen Fall isoliert vom Hauptsystem, also auf einer funktionieren externen Festplatte, einem Netzwerkspeicher oder in einer Cloud. Kritische Daten sollten auf mindestens zwei unterschiedlichen Speicher- medien liegen, von denen eines außerhalb Ihres Unternehmens liegt (z. B. in der Cloud). 46 54 Wie aufbewahren? Achten Sie darauf, dass Ihr Backup nicht mit Ihrem Hauptsystem ver- bunden ist – weder über Kabel noch über das WLAN. Was noch? Testen Sie regelmäßig, ob sich die Daten Ihrer Backups im Ernstfall auch wirklich wiederherstellen lassen. #cybersicher
Wie Sie Ihr Unternehmen schützen 15 4. Reagieren Sie auf neue Sicherheitslücken! Mitte Januar 2019 landeten mit der Collec- Werden solche Datenlecks bekannt, ist also tion#1 und später mit den Collection #2-#5 eine schnelle Reaktion gefragt: Die Passwörter mehrere Milliarden von E-Mail-Adressen und sollten umgehend geändert werden. Und zwar Passwörtern im Netz. Für Kriminelle kön- nicht nur auf der betroffenen Seite, sondern nen diese Daten Gold wert sein, denn viele bei allen Zugängen, die mit demselben oder nutzen immer dieselben Zugangsdaten für einem ähnlichen Passwort geschützt sind. die Anmeldung bei verschiedenen Diensten Zwei Drittel der befragten Unternehmen lässt oder Portalen. Werden sie bekannt, können diese Gefahr aber völlig kalt – sie haben sich Angreifer leicht gleich mehrere Accounts ka- nicht mal die Mühe gemacht, ihre Daten zu pern oder sogar die ganze Identität ihrer Opfer überprüfen. Dabei lohnte sich der Aufwand übernehmen. in vielen Fällen: Jedes neunte Unternehmen fand heraus, dass seine Zugangsdaten betrof- fen waren. „Datenlecks? Uns doch egal!“ Haben Sie geprüft, ob Ihr Unternehmen vom Datenleck im Januar 2019 betroffen war? 65 % habe nicht überprüft habe überprüft, war aber nicht betroffen habe überprüft, war betroffen wissen nicht, ob keine Angabe/weiß nicht ihre Daten bereits kursieren 2% 4% Von denjenigen die ihre Daten überprüft haben, war etwa jeder 9. betroffen. 29 % Sind Sie betroffen? Hier finden Sie es heraus. Der Service „Have I Been Pwned?“ (Pwned wird gespro- Das Hasso-Plattner-Institut bietet den „HPI Identity chen wie „poned“) hat über 6 Milliarden Datensätze aus Leak Checker“ an. Sie können anhand Ihrer E-Mail- mehr als 300 Datenlecks gesammelt. Wenn Sie über- Adresse prüfen, ob die Adresse in Verbindung mit ande- prüfen wollen, ob auch Ihre Mail-Adresse darunter ist, ren persönlichen Daten wie Geburtsdatum oder Adresse geben Sie diese einfach in der entsprechenden Such- im Internet offengelegt wurde und missbraucht werden maske ein, das Ergebnis wird sofort angezeigt. könnte. Anders als bei „Have I been Pwned?“ erhalten p https://haveibeenpwned.com/ Sie das Ergebnis per Mail. p https://sec.hpi.de/ilc/ #cybersicher
16 Wie Sie Ihr Unternehmen schützen Wie gut ist Ihre Der Cyber-Sicherheits- IT-Sicherheit? check des GDV unter www.gdv.de/cybercheck stellt Ihnen die wichtigsten Fragen rund um Absolute Sicherheit im Netz gibt es nicht. Doch Ihre IT-Sicherheit. So finden Sie schnell Widerstand ist möglich. Wer die Gefahren heraus, wie sicher Ihre Systeme sind, wo Sie Schwachstellen haben und wie Sie realistisch einschätzt und bei seiner IT-Sicherheit diese schließen können. Ob Sie die zehn die folgenden Grundlagen beachtet, ist gegen grundlegenden Anforderungen erfüllen, viele Angriffe wirksam geschützt und kann die können Sie gleich hier beantworten. Wie wirtschaftlichen Folgen eines erfolgreichen gut Sie dabei abgeschnitten haben und Angriffs eindämmen. Die Forsa-Umfrage des GDV ob es andere besser machen, können Sie zeigt aber: An vielen Stellen klaffen Lücken in der auf Seite 18 herausfinden. IT-Sicherheit (Angaben in Prozent). Anteil der Unternehmen, die den Schutz nicht erfüllen; nach Unternehmensgröße: Selbsttest Kleinstunternehmen Mittlere Unternehmen Große Unternehmen 1. Sicherheitsupdates automatisch und zeitnah einspielen und alle Systeme auf dem aktuellen Stand halten 25 Die meiste Software erhält regelmäßig Updates. Sie dienen oft dazu, 23 14 13 bekannt gewordene Sicherheitslücken zu schließen. Das Installie- ren der Updates schützt die Systeme vor Angreifern. 2. Mindestens einmal wöchentlich Sicherungskopien machen Daten und digitale Systeme können gezielt angegriffen, versehent- 35 lich gelöscht oder durch Hardware zerstört werden. Deshalb ist 32 14 20 es dringend nötig, die vorhandenen Daten regelmäßig zu sichern. Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern, desto besser. 3. Administratoren-Rechte nur an Administratoren vergeben Wer mit Administrator-Rechten an einem IT-System arbeitet, kann 22 dabei verheerende Schäden anrichten. Deshalb ist es ratsam, solche 20 13 14 Rechte nur sehr sparsam zu vergeben und nur dann zu nutzen, wenn sie für die aktuelle Aufgabe wirklich nötig sind. 4. Alle Systeme, die über das Internet erreichbar oder im mobilen Einsatz sind, zusätzlich schützen 25 Mobile Geräte können leicht verloren gehen oder gestohlen werden. 24 18 18 Sind die darauf gespeicherten Daten nicht verschlüsselt, können sie vollständig ausgelesen werden – selbst wenn sie mit einem Passwort geschützt sind. Server sind über das Internet ständig er- reichbar und daher für Angriffe besonders beliebte Ziele. Sie sollten am besten mit einer 2-Faktor-Authentifizierung gesichert werden. #cybersicher
Wie Sie Ihr Unternehmen schützen 17 5. Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern 33 Backups sind die Rückversicherung für den Fall gelöschter oder 29 13 14 manipulierter Daten. Gesonderte Authentifizierungsstufen und ein entsprechendes Rechtemanagement sollten daher die versehentli- che oder absichtliche Manipulation gesicherter Daten ausschließen. 6. Alle Systeme mit einem Schutz gegen Schadsoftware ausstatten und diesen automatisch aktualisieren lassen 37 Viren, Trojaner oder Ransomware: Die meisten Schäden entstehen 36 31 32 durch das unbeabsichtigte Infizieren der Systeme mit so genannter Schadsoftware. Auch wenn Virenscanner hier keinen hundertpro- zentigen Schutz bieten, sollte mindestens einer auf den Systemen installiert sein und regelmäßig aktualisiert werden. 7. Sicherungskopien physisch vom gesicherten System trennen Datensicherungen können auch dann vor dem Verlust Ihrer Daten 25 schützen, wenn die Systeme gestohlen oder durch einen Brand zer- 25 22 26 stört wurden. Deshalb ist es ratsam, die Backups nicht in der Nähe der laufenden Systeme aufzubewahren, sondern mindestens in an- deren Brandabschnitten, besser jedoch an einem ganz anderen Ort. 8. Mindestanforderungen für Passwörter (z.B. Länge, Sonder zeichen) verlangen und technisch erzwingen 26 Gerade wenn Passwörter das einzige Authentifizierungsmittel sind, 26 24 26 sollte eine geeignete Passwortstärke technisch erzwungen wer- den. Andernfalls sind IT-Systeme schon durch einfachste Angriffe gefährdet. 9. Jeden Nutzer mit eigener Zugangskennung und individuellem Passwort ausstatten 34 Ohne benutzerindividuelle Kennungen ist es nicht möglich, den 31 18 19 Zugang zu Systemen zu sichern. Die individuelle Authentifizierung ist auch deswegen wichtig, weil nur so später nachvollzogen werden kann, wer das System wann verwendet hat. 10. Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen 57 Regelmäßige Testläufe stellen sicher, dass bei der Sicherungskopie 54 26 45 keine Datenquelle fehlt und die Wiederherstellung tatsächlich funk- tioniert. Der Notfall ist der schlechteste Zeitpunkt um festzustellen, dass eine Sicherungskopie fehlerhaft ist. Ergebnis: Ich erfülle von 10 Maßnahmen #cybersicher
18 Wie Sie Ihr Unternehmen schützen So gut ist Ihre IT-Sicherheit – und so gut sind die anderen Die Schutzmaßnahmen auf den Seiten 16/17 sind nicht der Goldstandard und auch kein Garant für volle Sicherheit, sondern nur die Basis – doch schon hier haben die meisten Unternehmen Lücken. Wie viele der zehn Schutzmaßnahmen haben Sie umgesetzt? 10 Herzlichen Glückwunsch! Durch das hohe Niveau Ihrer IT-Sicherheit halten Sie das Risiko einer erfolgreichen Cyberattacke so gering wie möglich. 8-9 Das Niveau Ihrer IT-Sicherheit ist überdurchschnittlich, aber leider noch nicht perfekt – beachten Sie unsere Hinweise und schließen sie die noch vorhandenen Sicherheitslücken. 6-7 Über gute Ansätze kommt Ihre IT-Sicherheit leider nicht hinaus. Machen Sie es Cyberkriminellen nicht zu einfach und kümmern Sie sich möglichst schnell darum, Ihre Sicherheitslücken zu schließen. 0-5 Achtung, Ihre IT-Sicherheit weist deutliche Schwächen auf und kann Ihr Unter- nehmen zur leichten Beute für Hacker machen. Beachten Sie unsere Hinweise und holen Sie sich am besten professionelle Hilfe, um Ihren Schutz gegen Cyberrisiken schnell zu verbessern. Die Mehrheit hat akuten Handlungsbedarf 35 % Vielen Unternehmen fehlt schon die Basis für umfassende IT-Sicherheit 27 % 19 % 16 % 5 von 6 Unternehmen haben Lücken Erfüllen 0-5 Erfüllen 6-7 Erfüllen 8-9 Erfüllen alle 10 Maßnahmen Maßnahmen Maßnahmen Maßnahmen #cybersicher
Wie Sie Ihr Unternehmen schützen 19 Das leistet eine Cyberversicherung Der Gesamtverband der Deutschen Versicherungswirtschaft hat unverbindliche Musterbedingungen für eine Cyberversicherung entwickelt. Sie sind speziell auf die Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und richten sich sowohl an Arztpraxen oder Anwaltskanzleien als auch an Handwerksbetriebe und Industriezulieferer. Die Versicherung übernimmt nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte, sondern steht den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite: Nach einem erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie möglich zu halten. Schaden Leistung Eigen- Wirtschaftliche Schäden durch Betriebsunterbrechung. Zahlung eines Tagessatzes. schäden Kosten der Datenwiederherstellung Übernahme der Kosten. und System-Rekonstruktion. Dritt- Schadenersatzforderungen von Kunden wegen Datenmissbrauch Entschädigung und Abwehr unberechtigter schäden und/oder Lieferverzug. Forderungen. Service- IT-Forensik-Experten zur Analyse, Beweis- sicherung und Schadenbegrenzung. Leistungen Anwälte für IT- und Datenschutzrecht Jeweils Vermittlung und zur Beratung. Kostenübernahme. PR-Spezialisten für Krisenkommunikation zur Eindämmung des Imageschadens. Impressum V.i.S.d.P.: Christoph Hardt Herausgeber: Redaktion: Gesamtverband der Deutschen Lucas Fömpe, Simon Frost, Christian Siemens Versicherungswirtschaft e. V. Wilhelmstraße 43 / 43 G Bildnachweis: S. 1: shutterstock/TippaPatt 10117 Berlin S. 4: shutterstock/Anucha Cheechang Tel. +49 30 2020-5000 S. 10: shutterstock/Monkey Business Images Eine Initiative der berlin@gdv.de, www.gdv.de S. 12: shutterstock/13_Phunkod deutschen Versicherer.
Gothaer Allgemeine Versicherung AG Gothaer Allee 1 . 50969 Köln Telefon 0221 303-00 Telefax 0221 308 103 www.gothaer.de 117258 - 06.2019
Sie können auch lesen