Cyberrisiken im Mittelstand - Ergebnisse einer Forsa-Befragung Frühjahr 2019

Die Seite wird erstellt Christopher Scholz
 
WEITER LESEN
Cyberrisiken im Mittelstand - Ergebnisse einer Forsa-Befragung Frühjahr 2019
Gesamtverband der Deutschen Versicherungswirtschaft e. V.

                                                            Eine Initiative der
                                                            deutschen Versicherer.

    Ergebnisse einer Forsa-Befragung
    Frühjahr 2019

   Cyberrisiken
   im Mittelstand
Cyberrisiken im Mittelstand - Ergebnisse einer Forsa-Befragung Frühjahr 2019
02     Cyberrisiken im Mittelstand

     Der Mittelstand – Rückgrat der
     deutschen Wirtschaft

                                                                                  80,4 %
                                                                                  Kleinstunternehmen1

                                                            99,3 %                16,0 %
                                                              kleine und
                                                                                  kleine Unternehmen2
                                                               mittlere
                                                             Unternehmen
                                                                                  2,9 %
                                                                                  mittlere Unternehmen3

                                                                                  0,7 %
                                                                                  Großunternehmen

     1 bis 9 Mitarbeiter/bis 2 Mio. Euro Jahresumsatz
     2 10 bis 49 Mitarbeiter/2 bis 10 Mio. Euro Jahresumsatz
     3 50 bis 249 Mitarbeiter/10 bis 50 Mio. Euro Jahresumsatz

     Quelle: Destatis, Werte für 2016

      Über die Umfrage                                                      Über die Initiative

     „Cyberrisiken im Mittelstand 2019“ – Der GDV hat die Forsa            Mit der Initiative CyberSicher sensibilisieren
     Politik- und Sozialforschung GmbH mit einer repräsen-                 die Versicherer für
     tativen Befragung von 300 Entscheidern in kleinen und                 die Gefahren aus
     mittleren Unternehmen beauftragt. Die Befragung wurde                 dem Cyberspace
     so angelegt, dass repräsentative Aussagen zu Kleinstun-               und zeigen, wie sich
     ternehmen, kleinen Unternehmen und mittleren Unter-                   kleine und mitt-
     nehmen getroffen werden können. Die Interviews fanden                 lere Unternehmen           Eine Initiative der
                                                                                                      Deutschen Versicherer.
     zwischen dem 11. März und dem 5. April 2019 statt.                    schützen können.

     #cybersicher
Cyberrisiken im Mittelstand - Ergebnisse einer Forsa-Befragung Frühjahr 2019
Inhalt     03

Cyberrisiken im Mittelstand
Ergebnisse einer Forsa-Befragung im Frühjahr 2019

                          1 Welche Schäden drohen

                          Wenn nichts mehr geht
                          Erfolgreiche Cyberattacken können Unternehmen existenziell gefährden –
                          denn in den meisten Fällen legen sie den kompletten Betrieb lahm.
                          Dann beginnt der Kampf gegen die Zeit                                 → Seite 4

                          Was eine Cyberattacke kosten kann
                          Diese Folgen drohen, wenn ein Hacker die Patientendaten einer Arztpraxis
                          stiehlt oder sämtliche Rechner eines Maschinenbauers sperrt             → Seite 9

                          2 Wie Cyberkriminelle angreifen

                          Schwachstelle Mensch: Zwei Drittel der erfolgreichen
                          Angriffe kommen per E-Mail
                          Das E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale
                          Schnittstelle zu Kunden und Lieferanten. Mit immer ausgefeilteren
                          Methoden bringen Hacker ihre Opfer dazu, die elektronische Post
                          samt Anhängen zu öffnen                                                  → Seite 10

                          3 Wie Sie Ihr Unternehmen schützen

                          Achtung: Dringender Sicherheitshinweis!
                          Kaum ein Tag vergeht ohne großangelegte Cyberattacken –
                          dabei greifen Hacker nicht immer gezielt an, sondern suchen vor allem
                          nach leichten Opfern. Wenn Sie nicht dazugehören wollen, sollten Sie
                          diese Tipps beherzigen                                                   → Seite 12

                          Selbsttest: Wie gut ist Ihre IT-Sicherheit?
                          Absolute Sicherheit im Netz gibt es nicht. Doch Widerstand ist möglich.
                          Wer die Gefahren realistisch einschätzt und bei seiner IT-Sicherheit
                          einige Grundlagen beachtet, ist gegen viele Angriffe wirksam
                          geschützt und kann die wirtschaftlichen Folgen eines erfolgreichen
                          Angriffs eindämmen                                                       → Seite 16

#cybersicher
Cyberrisiken im Mittelstand - Ergebnisse einer Forsa-Befragung Frühjahr 2019
04    Welche Schäden drohen

     Wenn nichts mehr geht
     E rfolgreiche Cyberattacken können Unternehmen existenziell
      gefährden– denn in den meisten Fällen legen sie den kompletten
      Betrieb lahm. Dann beginnt der Kampf gegen die Zeit.

     W
               enn Gerhard Klein an den     Auslieferung ist deshalb beson-                 Wenig tröstlich für den Unter-
               Oktober 2018 denkt, fällt    ders wichtig. Zu allem Überfluss ist        nehmer, dass er mit seinen Sorgen
               ihm vor allem ein Wort       Monatsanfang und die Lohnabrech-            nicht allein ist. Die deutsche Wirt-
     ein: „Desaster.“ In seiner Saarbrü-    nung fällig. Geschäftsführer Klein          schaft leidet flächendeckend unter
     cker Druckerei geht an diesem          ist schnell klar: „Das ist ein Wettlauf     Hackerangriffen. Längst sind nicht
     Herbstmorgen nichts mehr. Und          gegen die Zeit.“ Auftrags- und Rech-        mehr nur große Konzerne im Visier
     das wird auch noch für einige Tage
     so sein. Die Computer streiken. Pro-
     gramme lassen sich nicht öffnen,
                                            „Die sagen: Was soll mir schon passieren, wenn meine Daten
     das Mailsystem reagiert nicht, die
                                            abhandenkommen?“
     Telefonanlage ist tot. Über eine bis
     dato nicht bekannte Lücke in der       Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der
                                            Informationstechnik, über die fahrlässige Haltung vieler Unternehmen
     Firewall haben sich Cyberkriminel-
     le Zugang verschafft und sämtliche
     Daten auf den lokalen Festplatten
     verschlüsselt.                         nungserfassung sind unmöglich.              der Kriminellen – auch der Mittel-
         Die Druckerei Braun und Klein      Wenn der völlige Stillstand nicht           stand wird täglich angegriffen. Es
     stellt unter anderem Werbe- und        wenige Tage, sondern zwei bis drei          trifft Autozulieferer und Maschi-
     Angebotsplakate für große Ein-         Wochen andauert, „ist die Firma             nenbauer, Hotels und Restaurants,
     zelhändler her, termingenaue           platt“.                                     Ärzte und Apotheker, Einzelhändler,

     #cybersicher
Welche Schäden drohen            05

Handwerker, Dienstleister. Jedes             Jedes vierte Unternehmen bereits betroffen
vierte mittelständische Unterneh-            Wurde Ihr Unternehmen
men in Deutschland war bereits               durch Cyberangriffe
Opfer mindestens eines erfolgrei-            geschädigt?
chen Cyberangriffs, wie eine aktu-
elle Forsa-Umfrage im Auftrag des                                     5%
GDV zeigt.
     Vielen geht es dann wie der
Druckerei von Gerhard Klein.
Plötzlich geht nichts mehr, kommt
                                                                                 24 %
                                                                                     der befragten Unternehmen
der gesamte Geschäftsbetrieb zum                                                     waren Opfer erfolgreicher
Erliegen. In der Forsa-Umfrage                                                       Angriffe, 5 % sogar mehrfach.
berichten mehr als die Hälfte der
betroffenen Unternehmen (59 Pro-
zent) über Betriebsausfälle. Sie sind
zusammen mit den Ausgaben für
die Wiederherstellung der Daten              Die Schäden
und IT-Systeme die häufigsten Fol-           Welche Schäden sind im Unternehmen durch den Cyberangriff entstanden?
gen einer Cyberattacke – und stellen
für die Opfer das größte unterneh-                Unterbrechung des Betriebs­
merische Risiko eines erfolgreichen                    ablaufs/der Produktion
                                                                                                                  59 %
Angriffs dar.
                                                    Kosten für Aufklärung und
     Als beispielsweise im IT-System                  Datenwiederherstellung
                                                                                                               53 %
des Münchner Maschinenbauers
Krauss Maffei im November 2018                Diebstahl unternehmenseigener
                                              Daten bzw. Betriebsgeheimnisse
                                                                                     10 %
ein Trojaner aktiv wird, ist auch die
Produktion betroffen. Und selbst
                                                         Reputationsschaden        7%
zwei Wochen später sind noch nicht
alle Systeme wieder auf 100 Pro-
zent. Das Bundesamt für Sicherheit                       Zahlung von Lösegeld      6%
in der Informationstechnik (BSI)
beobachtet steigende Fallzahlen bei
deutschen Unternehmen. Beson-
ders breit angelegte Spam-Kam-
pagnen wie Emotet seien auf dem
Vormarsch. Mit deren Hilfe gelinge      Angriffspunkte in Unternehmen            viele Firmen mit der Gefahr noch
es Kriminellen in Firmennetzwerke       bieten. In Hotels ist es das Buchungs-   eher hemdsärmlig um. Auch BSI-
einzudringen und diese nach viel-       system, im Handel die Kasse, bei         Chef Schönbohm beobachtet eine
versprechenden Zielen zu durch-         Ärzten und Apotheken sind es die         fahrlässige Haltung von Unter-
suchen. „Wir erleben derzeit die        Rechner mit den Patientendaten,          nehmen. „Die sagen: Was soll mir
massenhafte Verbreitung von raf-        in der Industrie die vernetzten Pro-     schon passieren, wenn meine Daten
finierten Angriffsmethoden durch        duktionssysteme. Funktioniert die        abhandenkommen?“. Gerade bei
die Organisierte Kriminalität, die      IT nicht mehr, liegen die meisten        kleinen und mittelständischen
bis vor einigen Monaten nachrich-       Betriebe schnell komplett lahm. In       Unternehmen ist das Bewusstsein
tendienstlichen Akteuren vorbehal-      der Forsa-Umfrage des GDV sind           für Cybersicherheit eher gering
ten waren“, sagt Behördenchef Arne      ganze elf Prozent der Unterneh-          ausgeprägt. Vor allem die Gefahr
Schönbohm.                              men der Ansicht, dass sie auch ohne      für das eigene Unternehmen sehen
     Keine besonders beruhigenden       IT-Systeme problemlos weiterarbei-       viele nicht, wie die Forsa-Studie für
Aussichten – zumal sich Krimi-          ten könnten, zwei Drittel wären deut-    den GDV zeigt. Während beinahe
nellen bei fortschreitender Digi-       lich eingeschränkt. Doch obwohl          drei Viertel (72 Prozent) der Mit-
talisierung eher mehr als weniger       die Abhängigkeit so groß ist, gehen      telständler ein hohes Risiko von k

#cybersicher
06     Welche Schäden drohen

     k Cyberkriminalität erkennen,                  analog gesteuert wurde, wird heute       Größe, eine umfassende Datensi-
     bestätigt lediglich ein Drittel (34 Pro-       über das Internet gemacht. Aber viel     cherheit. Wer sich nicht an die Spiel-
     zent) diese Gefahr auch für den eige-          zu oft geht bei den Themen Industrie     regeln hält – zum Beispiel indem er
     nen Betrieb.                                   4.0 und Internet of Things Funktion      Kunden und Datenschutzbehörden
         Die Folgen dieser Sorglosigkeit            und Machbarkeit vor Sicherheit“, so      nicht mitteilt, wenn es ein Daten-
     kennt Michael Wiesner genau. Als               Wiesner.                                 leck gibt – muss mit empfindlichen
     White-Hat-Hacker prüft er die IT-                  Mit ihrer laxen Einstellung          Strafen rechnen. Bei schweren Ver-
     Sicherheit von Firmen. Und staunt              zur IT-Sicherheit sind Firmen vor        stößen, etwa der Nutzung persönli-
     nicht schlecht, als er im Auftrag des          allem eines: einfache und lohnens-       cher Daten ohne ausreichende Ein-
     GDV 25 Arztpraxen untersucht: In               werte Ziele. BSI-Chef Schönbohm          willigung der Betroffenen, drohen
                                                                                             Geldstrafen bis maximal 20 Milli-
                                                                                             onen Euro.
                                                                                                  Spätestens Beispiele wie das
     „Das beliebteste Passwort in einer Praxis ist ‚Praxis‘,                                 der Chatplattform mit dem sympa-
     der beliebteste Benutzername ist auch ‚Praxis‘, gefolgt von                             thischen Namen Knuddels dürften
     ‚Behandlung‘ oder dem Namen des Arztes.“                                                seither so manchen Unternehmer
     Michael Wiesner, White-Hat-Hacker
                                                                                             aufgerüttelt haben: Hier knacken
                                                                                             Hacker im vergangenen Jahr die
                                                                                             Server des sozialen Netzwerks. Die
                                                                                             E-Mail-Adressen und Passwörter von
     22 der Praxen werden sehr einfache             setzt darauf, dass sich mit der fort-    mehr als 300.000 Knuddels-Nut-
     oder gleich gar keine Passwörter ver-          schreitenden Digitalisierung nach        zern tauchen kurz darauf im Netz
     wendet. „Das beliebteste Passwort in           und nach ein anderes Verständnis         auf. Zum Reputationsschaden, den
     einer Praxis ist ‚Praxis‘, der belieb-         für die Cybersicherheit entwickelt.      ein solches Datenleck ohne Zweifel
     teste Benutzername ist auch ‚Praxis‘,          Noch sind es aber vor allem externe      verursacht, kommt von den Daten-
     gefolgt von ‚Behandlung‘ oder dem              Faktoren, die Unternehmen dazu           schützern ein Bußgeldbescheid über
     Namen des Arztes“, berichtet Wies-             bringen, sich abzusichern. So wie        20.000 Euro hinzu, der den Betrei-
     ner. Auch bei seinen Aufträgen im              die europäische Datenschutzgrund-        bern noch vor dem Jahreswechsel
     produzierenden Gewerbe findet er               verordnung (DSGVO), die seit Mai         auf den Schreibtisch flattert. Um
     immer wieder große Sicherheitslü-              2018 scharfgeschaltet ist. Sie ver-      nicht in dieselbe Situation zu gera-
     cken: „Was in der Industrie früher             langt von Betrieben, egal welcher        ten, haben viele Unternehmen die k

     Eine nicht funktionierende Unternehmens-IT                                                             46 %
     legt schnell auch die meisten Betriebe lahm
     Würde die IT mehrere Tage ausfallen, wäre ihr Betrieb ...
     (Angaben in Prozent)

                    Nur 11 %          geben an,
                    dass Ihr Unternehmen ohne IT
                    gar nicht eingeschränkt wäre.
                                                                                            17 %
                                                                         15 %
                             11 %                       11 %                           Fast 2 von 3 Unternehmen
                                                                                       liegen ohne IT lahm

                              nicht                    nur wenig      nicht so stark     eher stark         sehr stark
                          eingeschränkt              eingeschränkt    eingeschränkt    eingeschränkt      eingeschränkt

     #cybersicher
Welche Schäden drohen               07

 So begrenzen Sie die Folgen eines erfolgreichen Cyberangriffs

Die regelmäßige und richtige Sicherung Ihrer Daten             2. Halten Sie alles schriftlich fest
(siehe Seite 14) ist die Basis jeder effektiven Krisenreak-    Reden Sie nicht nur, sondern arbeiten Sie Ihre Notfall­pläne,
tion nach einem Cyberangriff. Sie allein reicht aber bei       die Verantwortlichkeiten und alle wichtigen Kontakt­daten
weitem nicht aus. Wie in jeder Krisensituation gilt auch       schriftlich aus – und drucken Sie den Plan dann auch wirk-
hier: Handeln Sie schnell, aber bewahren Sie trotzdem          lich aus! Die digitale Fassung nützt Ihnen nach einem Cyber-
einen kühlen Kopf. Das gelingt am besten, wenn Sie und         angriff herzlich wenig. Wenn Sie mit einem IT-Dienstleis-
Ihr Unternehmen gut vorbereitet sind.                          ter zusammenarbeiten, lassen Sie sich dessen Leistungen
                                                               und Reaktionszeiten vertraglich zusichern.
1. Machen Sie einen Notfallplan
Panikreaktionen und überstürzte Handlungen führen zu           3. Üben, üben, üben
Fehlern. Arbeiten Sie mit den IT-Verantwortlichen oder         Machen Sie den Notfallplan allen Mitarbeitern bekannt
Ihrem IT-Dienstleister daher Notfallpläne für verschie-        und stellen Sie sicher, dass jeder seine Rolle und Aufgabe
dene Angriffs-Szenarien aus. Legen Sie fest wer, wann          verstanden hat und der Plan auch wirklich funktioniert.
und wie reagiert und werden Sie dabei so konkret wie           Das finden Sie am besten heraus, indem Sie den Notfall
möglich: Sollten Sie die betroffenen IT-Systeme aus-           regelmäßig simulieren. So können Sie Ihr Notfallkonzept
schalten? Oder besser laufen lassen und vom Netzwerk           weiter optimieren, gleichzeitig sensibilisieren Sie Ihre Mit-
trennen? Ist Ihr Dienstleister im Ernstfall auch nachts        arbeiter für die Gefahren aus dem Cyberspace.
und am Wochenende einsatzbereit? Unter welcher
Nummer ist er dann erreichbar? Wo liegen die Datensi-          4. Schalten Sie die Polizei ein und erstatten Sie
cherungen und wann können diese sicher wieder auf die          Strafanzeige
Systeme aufgespielt werden? Wer informiert betrof-             In vielen Bundesländern haben Polizei und Justiz spezia-
fene Kunden, Vertragspartner und Behörden? Bis wann            lisierte Cybercrime-Dienststellen geschaffen. Sie helfen
und in welcher Form? Denken Sie außerdem darüber               Ihnen, Beweise zu sichern, kennen im Zweifel ähnliche
nach, was in Ihrem Betrieb ohne IT noch möglich ist und        Fälle und können Ihnen konkrete Empfehlungen geben.
implementieren Sie Alternativen, mit denen Sie Ihren           Darüber hinaus lässt sich das Geschäftsmodell der Cyber-
Geschäftsbetrieb auch bei einem IT-Ausfall so gut und          kriminellen langfristig nur dann wirksam bekämpfen,
so lange wie möglich aufrecht erhalten können.                 wenn möglichst viele Täter ermittelt und bestraft werden.

Die IT-Systeme wieder zum Laufen zu bringen,
kann dauern ...
Wie lange hat es gedauert, die IT-Systeme wiederherzustellen
und die Schadsoftware zu beseitigen?                                    Zwei Drittel
                                                                         sind tagelang offline
    33 % der Betroffenen konnten die
    Systeme am ersten Tag wieder herstellen
                                                     48 % brauchten                              18 % der Betroffenen
                                                     bis zu drei Tage
                                                                                                 benötigten mehr als drei Tage

                                    1 Tag                         2 Tage                      3 Tage

#cybersicher
08    Welche Schäden drohen

     k DSGVO-Vorschriften für ein            untypische Schadensbilanz. Bei          Cyberkriminalität für viele Firmen-
     umfassendes Sicherheitsupdate           einem Maschinenbauer mit einem          chefs noch immer zu abstrakt sei.
     genutzt. Nach den Daten der For-        Jahresumsatz von 40 Millionen Euro      „Warum sollten Freaks, die in Nord-
     sa-Umfrage rüstete jedes zweite         schlägt bereits eine Woche Betrieb-     korea, Rumänien oder Russland sit-
     Unternehmen (50 Prozent) anläss-        sunterbrechung – etwa durch einen       zen, meine Firma angreifen?!“
     lich der EU-Verordnung auch die         Verschlüsselungs-Trojaner – mit
     eigene IT-Sicherheit auf.               rund 45.000 Euro zu Buche. Hinzu
         Auch in der Druckerei von           kommen Kosten für IT-Forensiker
     Gerhard Klein war das Risiko alles      und Datenwiederherstellung. „Das
     andere als unbekannt: „Wir haben        ist eine umfangreiche Arbeit, für       „Kleine Firmen denken immer, sie
     sehr genau gewusst, welche Gefah-       die man bis zu 20.000 Euro ver-         sind kein Ziel für Hackerangriffe.
     ren existieren, und hatten Maßnah-      anschlagen kann“, weiß Gert Bau-        Das ist falsch.“
     men ergriffen, um einen Angriff         meister, Vorsitzender der Projekt-      Gerhard Klein, Unternehmer
     zu verhindern.“ Insofern hat Klein      gruppe Cyberversicherung im GDV.
     sich und seinen Mitarbeitern auch       Sind dann noch personenbezogene
     nichts vorzuwerfen. „Bei uns hat kei-   Daten wie etwa die Lohnabrechnung
     ner einen Fehler gemacht, sondern       betroffen, drohen auch Ansprüche
     wir sind von Verbrechern attackiert     nach der DSGVO. Da kann es kaum
     worden.“                                verwundern, dass die Schäden durch          Tun sie aber. Und damit es
         Wie in den meisten Fällen hatten    Cyberkriminalität für die deutsche      auch dem Letzten klar wird, gibt
     es die Kriminellen beim Angriff auf     Wirtschaft bei mehr als 20 Milliar-     es für Klein nur einen Weg: Der
     Kleins Druckerei auf schnelles Geld     den Euro jährlich liegen. Das schät-    Weckruf muss aus der Wirtschaft
     abgesehen: Von außen hinzugeru-         zen jedenfalls das Bundesamt für        selbst kommen. Klein und seine
     fene IT-Forensiker entdecken in den     Verfassungsschutz und Bitkom in         Kollegen gehen in die Offensive.
     Tiefen des Systems einen Erpresser-     einer gemeinsamen Studie.               Die Geschichte vom Cyberangriff
     brief. Die Forderung der Kriminel-                                              landet auf dem Firmenblog und in
     len scheint zunächst überschaubar:                                              den Nachrichten. Der Schaden durch
     rund 4500 Euro in Bitcoin. Nachdem                                              den erfolgreichen Cyberangriff soll

                                             70.000 Euro
     er die Erpresser um 1000 Euro her-                                              kein Tabu sein. „Unternehmen soll-
     untergehandelt hat, entschließt sich                                            ten klar kommunizieren, wenn sie
     Klein zu zahlen. Nicht ohne einen       kostete Gerhard Klein die Attacke       angegriffen werden“, appelliert er.
     Beweis zu verlangen, dass diese die     auf seine Druckerei                     Eine solche Strategie – würde sie
     Verschlüsselung wirklich aufheben                                               denn von vielen gewählt – würde
     können. Und tatsächlich: Das Mail-                                              Cyberkriminellen auf Dauer das
     system mit dem gesamten Archiv                                                  Leben schwermachen.
     bekommen sie wieder ans Laufen.              Angesichts solcher Zahlen und          Ein halbes Jahr nach der Atta-
     Mehr aber auch nicht – für die Ent-     des durchaus vorhandenen Bewusst-       cke weiß Klein: Seine Strategie war
     schlüsselung weiterer Daten fordern     seins für die Gefahren durch Cyber­     richtig. Kunden seien nicht davon-
     die Erpresser nun ein Vielfaches an     attacken mutet es paradox an, dass      gelaufen und auch von anderen
     Lösegeld.                               gut die Hälfte (57 Prozent) der klei-   Unternehmen habe es viel positives
         Klein bricht den Kontakt ab.        nen und mittelständischen Betriebe      Feedback gegeben. „Wir haben uns
     In mühevoller Handarbeit setzen         annimmt, ihr eigenes Unternehmen        erholt – gedanklich, finanziell – und
     Mitarbeiter und externe IT-Spezi-       sei für Kriminelle nicht interessant.   schauen positiv nach vorne. Wir wis-
     alisten die Systeme in den nächs-       „Kleine Firmen denken immer, sie        sen aber auch: Der nächste Angriff
     ten Tagen und Wochen wieder auf.        sind kein Ziel für Hackerangriffe“,     kommt bestimmt.“                   v
     Rund 70.000 Euro habe die Attacke       weiß auch Unternehmer Klein. „Das
     das Unternehmen allein finanziell       ist falsch.“ Er führt den Widerspruch
     gekostet, resümiert Klein. Keine        darauf zurück, dass das Thema

     #cybersicher
Welche Schäden drohen                09

                  Was eine Cyberattacke kosten kann –
                  und eine Cyberversicherung deckt ( )

 Musterszenario Diebstahl sensibler Daten:                                     Musterszenario
                                                                               Ransomware:
Hacker attackieren die IT-Systeme einer Arztpraxis. Sie kopieren die
Patientendaten und versprechen, gegen die Zahlung von Lösegeld                Hacker attackieren mit einem Ver-
auf eine Veröffentlichung der Daten zu verzichten.                            schlüsselungs-Trojaner die IT-Systeme
                                                                              eines Maschinenbauers. Sie wollen die
Angriff                                                                       gesperrten Rechner erst wieder frei-
                                                                              geben, wenn sie Lösegeld bekommen.
Die Arztpraxis erhält per Mail einen Erpresserbrief. Die Kriminellen be-
haupten, im Besitz aller Patientendaten zu sein. Als Beleg senden sie
kom­promittierende Daten über fünf Patienten, die tatsächlich in der be-      Angriff
troffenen Praxis in Behandlung waren. Sie drohen damit, die Daten zu ver-     Sämtliche Rechner und die vernetzten
öffentlichen, wenn der Arzt nicht bereit ist, ein hohes Lösegeld zu zahlen.   Produktionssysteme des Maschinen-
                                                                              bauers sind ohne Funktion. Auf den
Informationen an Patienten und Behörden                                       Bildschirmen der Steuerungsrechner
                                                                              erscheint lediglich eine Nachricht der
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt der Arzt            Erpresser.
kein Lösegeld. Er muss aber die Datenschutzbehörden und seine Pa­-
tienten über den Verlust der sensiblen Daten informieren. Um sicher           IT-Forensik und
zu gehen, dass er seinen Pflichten in vollem Umfang nachkommt,                Datenwiederherstellung
holt er sich Hilfe bei einem Rechtsanwalt. Die Patienten sind nach
der Information verunsichert und haben intensiven Gesprächsbedarf.            Nach Rücksprache mit Polizei und
                                                                              Staatsanwaltschaft zahlt das Unter-
   Informationskosten:                Anwaltskosten:                          nehmen kein Lösegeld. IT-Spezialisten
   4.000 Euro                         2.000 Euro                              arbeiten mehrere Tage daran, den
                                                                              Trojaner von sämtlichen Systemen
Security-Initiative                                                           zu entfernen; anschließend müs-
                                                                              sen sie alle Daten aus den Backups
IT-Spezialisten suchen und schließen die Schwachstelle, die den Tätern Zu-    wiederherstellen.
griff zu den Daten erlaubte. Die Systeme werden desinfiziert und gehärtet.
                                                                                 Kosten für IT-Forensik und Daten-
   Kosten für IT-Forensik:                                                       wiederherstellung: 20.000 Euro
   5.000 Euro
                                                                              Betriebsunterbrechung
Betriebsunterbrechung
                                                                              Bis die Systeme wieder laufen, kann
Bis die Schwachstellen geschlossen und weitere Datendiebstähle                das Unternehmen nicht produzieren.
verhindert sind, bleibt die Arztpraxis geschlossen. Auch die Abrech-          Die Mitarbeiter aus Fertigung und
nung mit den Krankenkassen ist unmöglich.                                     Verwaltung bleiben zuhause.
   Kosten für 2 Tage Betriebsunterbrechung:                                      Kosten für 5 Tage Betriebs­
   5.000 Euro                                                                    unterbrechung: 45.000 Euro

Datenmissbrauch                                                               Information von Kunden und
Die Hacker veröffentlichen die Gesundheitsdaten einiger Patienten. Die        Vertragspartnern
Betroffenen beauftragen Spezialisten mit der Löschung der unrecht-            Die IT-Forensiker können nicht
mäßig veröffentlichten Daten und verlangen vom Arzt Schadenersatz.            ausschließen, dass Daten nicht nur
   Schadensersatz:                                                            gesperrt, sondern auch entwendet
   20.000 Euro nach Art. 82 DSGVO                                             wurden. In diesem Fall wären auch
                                                                              Betriebsgeheimnisse von Vertrags-
                                                                              partnern betroffen, die vorsorglich
Vertrauenskrise                                                               informiert werden müssen.
Nachdem die lokale Presse über den Datendiebstahl berichtet, wenden              Informationskosten und Rechts­
sich zahlreiche Patienten von der Praxis ab, der Patientenstamm                  beratung: 20.000 Euro
schrumpft deutlich.
   Krisenkommunikation:                                                       Vertrauenskrise
   1.000 Euro
                                                                              Der bisher tadellose Ruf des Unterneh-
Der Umsatzrückgang ist nicht gedeckt                                          mens nimmt in wichtigen Kundenbran-
                                                                              chen Schaden; einige Kunden wenden
Aufarbeitung                                                                  sich vom Unternehmen ab, der Umsatz
                                                                              sinkt spürbar.
Die Datenschutzbehörden verhängen aufgrund des
Datenverlustes ein hohes Bußgeld.                                                Krisenkommunikation:
                                                                                 30.000 Euro
Das Bußgeld ist nicht gedeckt                                                 Der Umsatzrückgang ist nicht gedeckt

#cybersicher
10    Wie Cyberkriminelle angreifen

                                             Schwachstelle Mensch:
                                       Zwei Drittel der erfolgreichen
                                        Angriffe kommen per E-Mail

      as E-Mail-Postfach ist für viele Unternehmen die wichtigste digitale Schnittstelle zu Kunden und Lieferanten.
     D
     Mit immer ausgefeilteren Methoden bringen Hacker ihre Opfer dazu, die elektronische Post samt Anhängen
     zu öffnen – und legen mit ihrer Schadsoftware nicht nur die IT-Systeme, sondern ganze Betriebe lahm.

     S
           ie haben 10.000 Euro gewon-       runterzuladen oder Passwörter           von ihnen klang der Inhalt derartig
           nen! Klicken Sie hier!“ – Über    herauszugeben.                          verlockend, dass sie die Mail sogar
           derartige E-Mails werden              Auch einfache Reize wie Neu-        extra aus ihrem Spam-Ordner her-
     die meisten nur müde lächeln.           gierde helfen den Tätern ans Ziel:      vorholte und öffnete.
     Falls sie es durch den Spam-Filter      So wurde die renommierte ameri-             Für die Cyberkriminellen loh-
     schaffen, werden sie ungelesen          kanische IT-Sicherheitsfirma RSA        nen sich die gezielten Attacken auf
     gelöscht. Dabei wird unterschätzt:      Security gehackt, indem eine infi-      die Schwachstelle Mensch: 70 Pro-
     Beim E-Mail-Angriff auf Unterneh-       zierte Excel-Datei mit dem Namen        zent aller erfolgreichen Angriffe
     men gehen Kriminelle inzwischen         „Stellenbesetzungsplan“ an die Mit-     treffen über das E-Mail-Postfach
     deutlich professioneller vor. „Social   arbeiter verschickt wurde. Für eine     der Unternehmen ins Ziel. Nur bei
     Hacking“ nennt sich die Kunst, po-                                              rund einem Viertel der Attacken ver-
     tentielle Opfer möglichst geschickt                                             schafften sich Hacker gezielt Zugriff
     zu manipulieren. Kriminelle geben       „Technische Hilfsmittel können          auf die IT-Systeme, andere Angriffs-
     sich mit zuvor gesammelten Daten        den gesunden Menschenverstand           wege wie beispielsweise DDoS-Atta-
     eines Unternehmens zum Beispiel         und eine gewisse Skepsis nicht          cken spielen kaum eine Rolle.
     als Abteilungsleiter oder Kunde         ersetzen.“                                  Die hohe Zahl erfolgreicher Atta-
     aus – und bringen den Empfän-           Peter Graß, Cyberversicherungsexperte
                                                                                     cken per Mail ist eine gute und eine
     ger so dazu, Schadsoftware he-          im GDV                                  schlechte Nachricht zugleich. Die

     #cybersicher
Wie Cyberkriminelle angreifen                   11

schlechte: In vielen Firmen gehen Chefs
wie Mitarbeiter noch viel zu fahrlässig
                                                  Die Einfallstore
                                                  Erfolgreiche Cyberangriffe erfolgten durch ... 1
mit eingehenden E-Mails um und ver-
lassen sich einzig und allein auf Firewall
und Virenscanner. Doch die erkennen
                                                             E-Mails                                                         70 %
nicht jede Schadsoftware. „Die techni-
schen Hilfsmittel können den gesunden
Menschenverstand und eine gewisse                  Hackerangriffe                        27 %
Skepsis nicht ersetzen“, sagt GDV-Cyber-
versicherungsexperte Peter Graß.                   DDoS-Attacken       2%
    Er empfiehlt regelmäßige Schulun-
gen und verbindliche Vorsichtsmaßnah-             USB-Stick/ande-
                                                   rer Datenträger      3%
men für den Umgang mit E-Mails (siehe
Kasten). Dann – und das ist die gute                        Ursache
                                                                       2%
                                                           ungeklärt
Nachricht – könnten viele Angriffe per                                                               1 Mehrfachnennungen möglich

Mail rechtzeitig erkannt und das Öffnen
gefährlicher Software verhindert werden.

 So schützen Sie Ihr Unternehmen vor schädlichen E-Mails

Nur ein einziger falscher Klick auf einen verseuchten          verhindern Sie, dass sich schädliche Mails automatisch
Mail-Anhang oder einen Link kann Ihre Unterneh-                öffnen und Viren oder Würmer sofort aktiv werden.
mens-IT lahmlegen. Wenn Sie Ihre Mitarbeiter regelmä-
ßig für die Gefahren sensibilisieren und einige grundle-       4. Vor dem Öffnen: Prüfen Sie Absender und Betreff
gende Regeln für den Umgang mit E-Mails aufstellen,            Cyberkriminelle verstecken sich gern hinter seriös wir-
können Sie sich vor vielen Angriffen schützen.                 kenden Absenderadressen. Ist Ihnen der Absender der
                                                               Mail bekannt? Und wenn ja: Ist der Absender wirklich
1. Arbeiten Sie mit hohen Sicherheitseinstellungen             echt? Achten Sie auf kleine Fehler in der Schreibweise
Nutzen Sie die Sicherheitseinstellungen Ihres Betriebs-        oder ungewöhnliche Domain-Angaben hinter dem @.
systems und Ihrer Software zu Ihrem Schutz. Im Office-         In betrügerischen E-Mails ist auch der Betreff oft nur
Paket sollten zum Beispiel Makros dauerhaft deaktiviert        unpräzise formuliert, z. B. „Ihre Rechnung“.
sein und nur bei Bedarf und im Einzelfall aktiviert wer-
den können – denn auch über diese kleinen Unterpro-            5. Öffnen Sie Links und Anhänge nur von wirklich ver-
gramme in Word-Dokumenten oder Excel-Listen kann               trauenswürdigen Mails
sich Schadsoftware verbreiten.                                 Wollen Banken, Behörden oder Geschäftspartner sensible
                                                               Daten wissen? Verweist eine kryptische Mail auf wei-
2. Halten Sie Virenscanner und Firewall immer auf              tere Informationen im Anhang? Dann sollten Sie stutzig
dem neuesten Stand                                             werden und auf keinen Fall auf die Mail antworten, Links
Die meisten schädlichen E-Mails können Sie mit einem           folgen oder Anhänge öffnen. In Zweifelsfällen fragen Sie
Virenscanner und einer Firewall automatisch herausfil-         beim Absender nach – aber nicht per Mail, sondern am
tern lassen. Wirksam geschützt sind Sie aber nur, wenn         Telefon! Auch eine Google-Suche nach den ersten Sätzen
Sie die Sicherheits-Updates auch schnell installieren.         der verdächtigen Mail kann sinnvoll sein – weil Sie so
                                                               auch Warnungen vor der Betrugsmasche finden.
3. Öffnen Sie E-Mails nicht automatisch
Firewall und Virenscanner erkennen nicht alle schäd-           6. Löschen Sie lieber eine Mail zu viel als eine zu wenig
lichen Mails. Öffnen Sie also nicht gedankenlos jede           Erscheint Ihnen eine Mail als nicht glaubwürdig, löschen
Mail in Ihrem Posteingang. Erster Schritt: Stellen Sie         Sie die Mail aus Ihrem Postfach – und leeren Sie danach
in Ihrem E-Mail-Programm die „Autovorschau“ aus. So            auch den Papierkorb Ihres Mailprogramms.

#cybersicher
12     Wie Sie Ihr Unternehmen schützen

     Achtung! Dringender
     Sicherheitshinweis
      aum ein Tag vergeht ohne großangelegte
     K
     Cyberattacken– dabei greifen Hacker nicht immer
     gezielt an, sondern suchen vor allem nach leichten
     Opfern. Wenn Sie nicht dazugehören wollen, sollten
     Sie mindestens diese vier Tipps beherzigen.

     1. Unterschätzen Sie die Gefahr nicht!
     (Zu) hohes Vertrauen in den                                 In weiten Teilen des deutschen Mittel-
                                                                 standes regiert das Prinzip Hoffnung.
     eigenen Schutz                                              Auch wenn eine deutliche Mehrheit
     Ist das eigene Unternehmen ausreichend gegen                das Cyberrisiko für mittelständische
     Cyberkriminalität geschützt?
                                                                 Unternehmen als hoch und damit
        Ja      Nein, Unternehmen müsste mehr tun                durchaus realistisch einschätzt, blen-
                                                                 den viele die Gefahr für das eigene
                                                                 Unternehmen aus. Sie sagen: Mein
                                                                 Unternehmen ist zu klein. Meine

       80
                        80   %
                         meinen,                           20
                                                                 Daten sind nicht interessant. Mein
                                                                 Schutz reicht bestimmt aus. Richtig
                        gut geschützt                            ist aber: Für Hacker gibt es kein zu
                           zu sein                               klein. Die Daten müssen nicht inter-
                                                                 essant, sondern für Sie wertvoll sein.
                                                                 Und nein: Virenscanner und Firewall
                                                                 sind noch lange kein Rundumschutz,
                                                                 sondern nur ein Anfang.

     „Das Risiko gibt es – aber mein
     Unternehmen betrifft es nicht“
         „Das Risiko von Cyber-
       kriminalität für mittel­
     ständische Unternehmen
        in Deutschland ist eher
                                                                                          72 %
                bzw. sehr hoch“

         „Das Risiko von Cyber­
            kriminalität für das
      eigene Unternehmen ist
                                                          34 %                                ?
           eher bzw. sehr hoch“

     #cybersicher
Wie Sie Ihr Unternehmen schützen             13

2. Verwenden Sie starke Passwörter!
Ist Ihr Passwort auch 12345?                 Sicherheit durch Zwang
                                                                                                    26 %
Qwertz? Passwort? Der Name                   Werden Mindestanforderungen
Ihrer Tochter? Das ist nicht gut,            an Passwörter technisch
denn Passwörter sollen in ers-               erzwungen?                                            lassen einfache
ter Linie nicht leicht zu merken,                                                                   Passwörter zu
                                                Ja     Nein
sondern schwer zu knacken
sein. Machen Sie es Hackern
also nicht zu leicht. Am besten
stellen Sie Ihre Computer-Sys-
teme so ein, dass sie zu einfa-                74                                                              26
che Passwörter gar nicht erst
akzeptieren.

 Drei Tipps für sichere Passwörter

1. Denken Sie sich laaaaaaaange Passwörter aus                merken müssen; das übernimmt der Manager. Da die
Sonderzeichen und Großbuchstaben helfen nur bedingt           Anbieter ihre Daten in aller Regel verschlüsseln, sind
weiter, ebenso das ständige Wechseln von Passwörtern.         die Passwörter auch gegen Hackerangriffe geschützt.
Wichtiger ist die Länge. Hacker „raten“ Passwörter in         Sie brauchen für alle Passwörter hingegen nur noch das
der Regel nicht, sondern probieren in kurzer Zeit große       „Master-Kennwort“ – das natürlich wiederum sehr sicher
Mengen möglicher Kombinationen aus. Je länger das             sein sollte.
Passwort ist, desto länger braucht auch der Computer.
Ein einfaches Beispiel, das Sie bitte nicht direkt verwen-    3. Nutzen Sie die Zwei-Faktor-Authentifizierung
den: Um „Pa$$W0rt“ zu knacken, braucht ein herkömm-           Auch wenn es etwas komplizierter ist, sollten Sie ernst-
licher PC nach Auskunft der Webseite checkdeinpass-           haft eine Zwei-Faktor-Authentifizierung in Betracht
wort.de gerade mal sechs Stunden, für „Pa$$W0rt-              ziehen. Das Verfahren kennen Sie von Ihrer Bank: Am
Hallo123“ mehrere Milliarden Jahre.                           Geldautomaten brauchen Sie ihre Giro-Karte (1. Fak-
                                                              tor) und die PIN (2. Faktor), auch eine Überweisung
2. Verwenden Sie einen Passwort-Manager                       beim Online-Banking funktioniert in aller Regel nur mit
Sie und Ihre Mitarbeiter können und wollen sich die vie-      PIN und TAN. Den Zugang zu Ihren Systemen können
len langen und komplizierten Passwörter nicht merken?         Sie genauso schützen – dann bekommen Sie nach der
Dann fangen Sie auf keinen Fall an, immer das gleiche         Eingabe Ihres Passwortes zum Beispiel noch einen Code
oder nur ein leicht abgewandeltes Passwort einzu-             auf Ihr Smartphone geschickt. Alternativ bekommt jeder
geben. Das macht es Hackern zu einfach. Die bessere           Mitarbeiter eine Chipkarte, mit der er sich identifizie-
Alternative sind Passwort-Manager. Sie generieren und         ren kann. Mit dem Passwort allein können Hacker dann
verwalten starke (=lange) Passwörter, die Sie sich nicht      nichts mehr anfangen.

#cybersicher
14    Wie Sie Ihr Unternehmen schützen

     3. Sichern Sie Ihre Daten richtig!
     Je öfter, desto besser                                                 Datensicherungen sind Ihre letzte Rückver-
                                                                            sicherung für den Fall gelöschter oder mani-
     Erstellen Sie mindestens wöchentlich eine Sicherungskopie Ihrer
     Daten?                                                                 pulierter Daten. Das Backup kann Sie auch
                                                                            dann vor dem Verlust Ihrer Daten schützen,
        Ja     Nein                                                         wenn Sie keinen physischen Zugriff mehr auf
                                                                            Ihre Systeme haben, etwa nach einem Brand
                                                                            oder einem Diebstahl. Doch dafür dürfen Sie
                                                    32 %
                                                  können aktuelle
                                                                            die Kopien nicht in der Nähe der laufenden
                                                                            Systeme aufbewahren. Noch wichtiger und
                                                    Daten nicht             leider noch zu oft ignoriert: Stellen Sie durch
                                                  wiederherstellen          regelmäßige Testläufe sicher, dass Ihr Backup
                                                                            auch wirklich funktioniert. Im Fall von verlo-
                                                                            renen oder manipulierten Daten zählt oft jede
                                                                            Minute – das ist der schlechteste Zeitpunkt
       68                                                              32   um festzustellen, dass Ihre Sicherungskopie
                                                                            fehlerhaft ist.

                                                                             So sichern Sie Ihre Daten richtig

     Wie sicher ist das Backup?                                             Was? Vom Smartphone bis zum Desk-
     Wird das Wiederherstellen der Daten aus der Sicherungskopie            top-Rechner sollten alle Geräte gesichert wer-
     regelmäßig getestet??                                                  den. Kritische Daten sollten besser mehrfach
                                                                            gesichert werden.
        Ja     Nein
                                                                            Wie oft? So oft und so regelmäßig wie mög-
                                                                            lich. Stellen Sie am besten mit einem auto-
                                                                            matisierten Zeitplan sicher, dass keine Lücken
                                              54 %
                                             wissen nicht, ob
                                                                            entstehen.
                                                                            Wohin? Speichern Sie das Backup auf jeden
                                            ihre Sicherungen                Fall isoliert vom Hauptsystem, also auf einer
                                              funktionieren
                                                                            externen Festplatte, einem Netzwerkspeicher
                                                                            oder in einer Cloud. Kritische Daten sollten auf
                                                                            mindestens zwei unterschiedlichen Speicher-
                                                                            medien liegen, von denen eines außerhalb
                                                                            Ihres Unternehmens liegt (z. B. in der Cloud).
       46                                                              54
                                                                            Wie aufbewahren? Achten Sie darauf, dass Ihr
                                                                            Backup nicht mit Ihrem Hauptsystem ver-
                                                                            bunden ist – weder über Kabel noch über das
                                                                            WLAN.
                                                                            Was noch? Testen Sie regelmäßig, ob sich die
                                                                            Daten Ihrer Backups im Ernstfall auch wirklich
                                                                            wiederherstellen lassen.

     #cybersicher
Wie Sie Ihr Unternehmen schützen          15

4. Reagieren Sie auf neue Sicherheitslücken!
Mitte Januar 2019 landeten mit der Collec-              Werden solche Datenlecks bekannt, ist also
tion#1 und später mit den Collection #2-#5              eine schnelle Reaktion gefragt: Die Passwörter
mehrere Milliarden von E-Mail-Adressen und              sollten umgehend geändert werden. Und zwar
Passwörtern im Netz. Für Kriminelle kön-                nicht nur auf der betroffenen Seite, sondern
nen diese Daten Gold wert sein, denn viele              bei allen Zugängen, die mit demselben oder
nutzen immer dieselben Zugangsdaten für                 einem ähnlichen Passwort geschützt sind.
die Anmeldung bei verschiedenen Diensten                Zwei Drittel der befragten Unternehmen lässt
oder Portalen. Werden sie bekannt, können               diese Gefahr aber völlig kalt – sie haben sich
Angreifer leicht gleich mehrere Accounts ka-            nicht mal die Mühe gemacht, ihre Daten zu
pern oder sogar die ganze Identität ihrer Opfer         überprüfen. Dabei lohnte sich der Aufwand
übernehmen.                                             in vielen Fällen: Jedes neunte Unternehmen
                                                        fand heraus, dass seine Zugangsdaten betrof-
                                                        fen waren.

„Datenlecks? Uns doch egal!“
Haben Sie geprüft, ob Ihr Unternehmen vom
Datenleck im Januar 2019 betroffen war?

                                                                        65 %
   habe nicht überprüft
   habe überprüft, war aber nicht betroffen
   habe überprüft, war betroffen
                                                                      wissen nicht, ob
   keine Angabe/weiß nicht
                                                                     ihre Daten bereits
                                                                          kursieren
                                                            2%

                                                              4%
              Von denjenigen die ihre Daten überprüft
              haben, war etwa jeder 9. betroffen.
                                                                             29 %

 Sind Sie betroffen? Hier finden Sie es heraus.

Der Service „Have I Been Pwned?“ (Pwned wird gespro-             Das Hasso-Plattner-Institut bietet den „HPI Identity
chen wie „poned“) hat über 6 Milliarden Datensätze aus           Leak Checker“ an. Sie können anhand Ihrer E-Mail-­
mehr als 300 Datenlecks gesammelt. Wenn Sie über-                Adresse prüfen, ob die Adresse in Verbindung mit ande-
prüfen wollen, ob auch Ihre Mail-Adresse darunter ist,           ren persönlichen Daten wie Geburtsdatum oder Adresse
geben Sie diese einfach in der entsprechenden Such-              im Internet offengelegt wurde und missbraucht werden
maske ein, das Ergebnis wird sofort angezeigt.                   könnte. Anders als bei „Have I been Pwned?“ erhalten
p https://haveibeenpwned.com/                                    Sie das Ergebnis per Mail. p https://sec.hpi.de/ilc/

#cybersicher
16    Wie Sie Ihr Unternehmen schützen

     Wie gut ist Ihre                                                                        Der Cyber-Sicherheits-

     IT-Sicherheit?
                                                                                             check des GDV unter
                                                                                             www.gdv.de/cybercheck stellt
                                                                                             Ihnen die wichtigsten Fragen rund um
     Absolute Sicherheit im Netz gibt es nicht. Doch                                         Ihre IT-Sicherheit. So finden Sie schnell
     Widerstand ist möglich. Wer die Gefahren                                                heraus, wie sicher Ihre Systeme sind, wo
                                                                                             Sie Schwachstellen haben und wie Sie
     realistisch einschätzt und bei seiner IT-Sicherheit
                                                                                             diese schließen können. Ob Sie die zehn
     die folgenden Grundlagen beachtet, ist gegen
                                                                                             grundlegenden Anforderungen erfüllen,
     viele Angriffe wirksam geschützt und kann die
                                                                                             können Sie gleich hier beantworten. Wie
     wirtschaftlichen Folgen eines erfolgreichen                                             gut Sie dabei abgeschnitten haben und
     Angriffs eindämmen. Die Forsa-Umfrage des GDV                                           ob es andere besser machen, können Sie
     zeigt aber: An vielen Stellen klaffen Lücken in der                                     auf Seite 18 herausfinden.
     IT-Sicherheit (Angaben in Prozent).

            Anteil der Unternehmen, die den Schutz nicht erfüllen; nach Unternehmensgröße:                                         Selbsttest
                Kleinstunternehmen        Mittlere Unternehmen         Große Unternehmen

     1.		 Sicherheitsupdates automatisch und zeitnah einspielen und
          alle Systeme auf dem aktuellen Stand halten                                                                  25
         Die meiste Software erhält regelmäßig Updates. Sie dienen oft dazu,                          23          14
                                                                                                                  13
         bekannt gewordene Sicherheitslücken zu schließen. Das Installie-
         ren der Updates schützt die Systeme vor Angreifern.

     2.		 Mindestens einmal wöchentlich Sicherungskopien machen
         Daten und digitale Systeme können gezielt angegriffen, versehent-                                                    35
         lich gelöscht oder durch Hardware zerstört werden. Deshalb ist                               32          14
                                                                                                                    20

         es dringend nötig, die vorhandenen Daten regelmäßig zu sichern.
         Grundsätzlich gilt: Je öfter Sie Ihre Daten sichern, desto besser.

     3.		 Administratoren-Rechte nur an Administratoren vergeben
         Wer mit Administrator-Rechten an einem IT-System arbeitet, kann                                                 22
         dabei verheerende Schäden anrichten. Deshalb ist es ratsam, solche                          20           13
                                                                                                                  14
         Rechte nur sehr sparsam zu vergeben und nur dann zu nutzen,
         wenn sie für die aktuelle Aufgabe wirklich nötig sind.

     4.		 Alle Systeme, die über das Internet erreichbar oder im
          mobilen Einsatz sind, zusätzlich schützen                                                                  25
         Mobile Geräte können leicht verloren gehen oder gestohlen werden.                            24           18
                                                                                                                   18
         Sind die darauf gespeicherten Daten nicht verschlüsselt, können
         sie vollständig ausgelesen werden – selbst wenn sie mit einem
         Passwort geschützt sind. Server sind über das Internet ständig er-
         reichbar und daher für Angriffe besonders beliebte Ziele. Sie sollten
         am besten mit einer 2-Faktor-Authentifizierung gesichert werden.

     #cybersicher
Wie Sie Ihr Unternehmen schützen         17

5.		 Manipulationen und unberechtigten Zugriff auf
     Sicherungskopien verhindern                                                                   33
    Backups sind die Rückversicherung für den Fall gelöschter oder                 29       13
                                                                                            14
    manipulierter Daten. Gesonderte Authentifizierungsstufen und ein
    entsprechendes Rechtemanagement sollten daher die versehentli-
    che oder absichtliche Manipulation gesicherter Daten ausschließen.

6.		 Alle Systeme mit einem Schutz gegen Schadsoftware
     ausstatten und diesen automatisch aktualisieren lassen                                          37
    Viren, Trojaner oder Ransomware: Die meisten Schäden entstehen                 36              31
                                                                                                   32
    durch das unbeabsichtigte Infizieren der Systeme mit so genannter
    Schadsoftware. Auch wenn Virenscanner hier keinen hundertpro-
    zentigen Schutz bieten, sollte mindestens einer auf den Systemen
    installiert sein und regelmäßig aktualisiert werden.

7.		 Sicherungskopien physisch vom gesicherten System trennen
    Datensicherungen können auch dann vor dem Verlust Ihrer Daten                                 25
    schützen, wenn die Systeme gestohlen oder durch einen Brand zer-                25           22
                                                                                                  26
    stört wurden. Deshalb ist es ratsam, die Backups nicht in der Nähe
    der laufenden Systeme aufzubewahren, sondern mindestens in an-
    deren Brandabschnitten, besser jedoch an einem ganz anderen Ort.

8.		 Mindestanforderungen für Passwörter (z.B. Länge, Sonder­
     zeichen) verlangen und technisch erzwingen                                                   26
    Gerade wenn Passwörter das einzige Authentifizierungsmittel sind,              26            24
                                                                                                  26
    sollte eine geeignete Passwortstärke technisch erzwungen wer-
    den. Andernfalls sind IT-Systeme schon durch einfachste Angriffe
    gefährdet.

9.		 Jeden Nutzer mit eigener Zugangskennung und
     individuellem Passwort ausstatten                                                                 34

    Ohne benutzerindividuelle Kennungen ist es nicht möglich, den                   31        18
                                                                                              19
    Zugang zu Systemen zu sichern. Die individuelle Authentifizierung
    ist auch deswegen wichtig, weil nur so später nachvollzogen werden
    kann, wer das System wann verwendet hat.

10. Wiederherstellen der Daten aus der Sicherungskopie
    regelmäßig testen                                                                                            57
    Regelmäßige Testläufe stellen sicher, dass bei der Sicherungskopie
                                                                                   54             26
                                                                                                            45

    keine Datenquelle fehlt und die Wiederherstellung tatsächlich funk-
    tioniert. Der Notfall ist der schlechteste Zeitpunkt um festzustellen,
    dass eine Sicherungskopie fehlerhaft ist.

                                                                    Ergebnis: Ich erfülle     von 10 Maßnahmen

#cybersicher
18    Wie Sie Ihr Unternehmen schützen

     So gut ist Ihre IT-Sicherheit –
     und so gut sind die anderen
     Die Schutzmaßnahmen auf den Seiten 16/17 sind nicht der Goldstandard und auch kein Garant für volle
     Sicherheit, sondern nur die Basis – doch schon hier haben die meisten Unternehmen Lücken. Wie viele
     der zehn Schutzmaßnahmen haben Sie umgesetzt?

                                        10
                                        Herzlichen Glückwunsch! Durch das hohe Niveau Ihrer IT-Sicherheit halten Sie
                                        das Risiko einer erfolgreichen Cyberattacke so gering wie möglich.

                                        8-9
                                        Das Niveau Ihrer IT-Sicherheit ist überdurchschnittlich, aber leider noch nicht
                                        perfekt – beachten Sie unsere Hinweise und schließen sie die noch vorhandenen
                                        Sicherheitslücken.

                                        6-7
                                        Über gute Ansätze kommt Ihre IT-Sicherheit leider nicht hinaus. Machen Sie es
                                        Cyberkriminellen nicht zu einfach und kümmern Sie sich möglichst schnell darum,
                                        Ihre Sicherheitslücken zu schließen.

                                        0-5
                                        Achtung, Ihre IT-Sicherheit weist deutliche Schwächen auf und kann Ihr Unter-
                                        nehmen zur leichten Beute für Hacker machen. Beachten Sie unsere Hinweise und
                                        holen Sie sich am besten professionelle Hilfe, um Ihren Schutz gegen Cyberrisiken
                                        schnell zu verbessern.

     Die Mehrheit hat akuten
     Handlungsbedarf                                                           35 %
     Vielen Unternehmen fehlt schon die Basis
     für umfassende IT-Sicherheit

                                                             27 %

                                         19 %
                                                                                                       16 %

                                                5 von 6 Unternehmen haben Lücken

                                       Erfüllen 0-5        Erfüllen 6-7      Erfüllen 8-9           Erfüllen alle 10
                                       Maßnahmen           Maßnahmen         Maßnahmen               Maßnahmen

     #cybersicher
Wie Sie Ihr Unternehmen schützen     19

Das leistet eine
Cyberversicherung
Der Gesamtverband der Deutschen Versicherungswirtschaft hat unverbindliche
Musterbedingungen für eine Cyberversicherung entwickelt. Sie sind speziell auf die
Bedürfnisse von kleinen und mittleren Unternehmen zugeschnitten und richten sich sowohl an Arztpraxen
oder Anwaltskanzleien als auch an Handwerksbetriebe und Industriezulieferer. Die Versicherung übernimmt
nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte,
sondern steht den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite: Nach einem
erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte
Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie
möglich zu halten.

                                Schaden                                                  Leistung

Eigen-                          Wirtschaftliche Schäden durch
                                Betriebsunterbrechung.
                                                                                         Zahlung eines Tagessatzes.
schäden                         Kosten der Datenwiederherstellung
                                                                                         Übernahme der Kosten.
                                und System-Rekonstruktion.

Dritt-                          Schadenersatzforderungen von
                                Kunden wegen Datenmissbrauch
                                                                                         Entschädigung und
                                                                                         Abwehr unberechtigter
schäden                         und/oder Lieferverzug.                                   Forderungen.

Service-                        IT-Forensik-Experten zur Analyse, Beweis-
                                sicherung und Schadenbegrenzung.
Leistungen                      Anwälte für IT- und Datenschutzrecht
                                                                                         Jeweils
                                                                                         Vermittlung und
                                zur Beratung.
                                                                                         Kostenübernahme.
                                PR-Spezialisten für Krisen­kommunikation
                                zur Eindämmung des Imageschadens.

Impressum                          V.i.S.d.P.:
                                   Christoph Hardt
Herausgeber:                       Redaktion:
Gesamtverband der Deutschen        Lucas Fömpe, Simon Frost, Christian Siemens
Versicherungswirtschaft e. V.
Wilhelmstraße 43 / 43 G            Bildnachweis:
                                   S. 1: shutterstock/TippaPatt
10117 Berlin                       S. 4: shutterstock/Anucha Cheechang
Tel. +49 30 2020-5000              S. 10: shutterstock/Monkey Business Images
                                                                                             Eine Initiative der
berlin@gdv.de, www.gdv.de          S. 12: shutterstock/13_Phunkod                            deutschen Versicherer.
Gothaer Allgemeine Versicherung AG
Gothaer Allee 1 . 50969 Köln
Telefon 0221 303-00
Telefax 0221 308 103
www.gothaer.de
117258 - 06.2019
Sie können auch lesen