Plötzlich nackt: Wie Hacker Wirtschaft und Privatsphäre bedrohen und was man dagegen tun kann.

Wenn Kriminelle sensible Informationen erbeuten, kostet das nicht nur Geld, sondern im schlimmsten Fall auch die Reputation. Seit immer öfter private Daten im Netz auftauchen, ist klar: Mehr Schutz ist nötig. Dabei gibt es ihn. Auch von Versicherern.

Gefahr aus dem Netz: Viele Menschen nutzen dasselbe Passwort für verschiedene Dienste – ein Risiko!

Schnell fliegen die Finger über die Tastatur, der Blick ist starr auf den Monitor gerichtet. „praxis, behandlung, empfang“, hämmert Michael Wiesner in seinen Laptop. Kryptische Zeilen aus Zahlen und Zeichen sausen über den Schirm. Wiesner grinst. Er ist drin. Innerhalb weniger Minuten hat er den Empfangscomputer der Kölner Zahnarztpraxis geknackt.

Die Inhaberin selbst hat den Hacker mit dieser Aufgabe betraut. Sie will wissen, wie gut ihre IT geschützt ist und welche Lücken es womöglich gibt. Nun weicht die Farbe aus ihrem Gesicht. Abrechnungen, Termine, Gutachten, Patientenbriefe – die gesamte Ordnerstruktur liegt offen vor ihr. Sensibelste Daten. Würde jemand sie von außen verschlüsseln, käme nicht nur der gesamte Praxisbetrieb zum Erliegen. „Es wäre existenzbedrohend, würde ein Krimineller an diese Daten kommen“, ist sich die Ärztin bewusst.

Jeder Zweite unterschätzt das eigene Risiko

„Ärzte sind eine gut erpressbare Berufsgruppe“, sagt Wiesner. Wenn ein Sicherheitsleck öffentlich wird, ist der Imageschaden groß und eine empfindliche Strafe wahrscheinlich – vom Schaden für die betroffenen Patienten ganz abgesehen. Doch dieses Bewusstsein ist in der Branche nicht sehr ausgeprägt, wie eine Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) belegt. Demnach hält jeder zweite Arzt hierzulande das Risiko, selbst Opfer von Internetkriminalität zu werden, für gering. Folgerichtig gehen vier Fünftel davon aus, eine gut geschützte IT zu haben.

Eine trügerische Einschätzung. Schließlich sind Meldungen über Lecks und Hacks längst an der Tagesordnung. Es wird betrogen, spioniert, erpresst und gestohlen, betroffen sind Unternehmen in sämtlichen Branchen – immer öfter aber auch Privatmenschen.

Experten betonen gebetsmühlenartig, wie wichtig es wäre, bessere Vorsorge zu betreiben. Und trotzdem bleiben viele Menschen sorglos, wie Michael Wiesner häufig beobachtet.

Im Zweifel ist der Mensch die größte Schwachstelle

Dabei sorgen moderne Router und relativ geschlossene Systeme dafür, dass es Eindringlinge von außen schwer haben. Wer es jedoch einmal ins System geschafft hat – ob von außen oder über einen Zugang direkt in der Praxis –, stößt kaum noch auf Widerstand. Größtes Problem sind die Passwörter. „Praxis“, „Behandlung“ oder die Namen der eingesetzten Arztsoftware – bei der Wahl ihrer Zugangssicherung sind die Mediziner offensichtlich wenig kreativ. Wiesners Erklärung: Stress. „Wenn die Arzthelferinnen sich in der Hektik noch fünf verschiedene schwierige Kennwörter für jeden Computer merken müssen, erschwert das den Arbeitsalltag enorm.“ Einige Praxen verzichteten sogar komplett auf Passwörter. Und auch ansonsten ist im Zweifel der Mensch die größte Schwachstelle. So fiel ein gutes Fünftel der getesteten Praxen auf fingierte E-Mails herein, die Schadprogramme ins System schleusen. Mithilfe solcher Trojaner können Cyberkriminelle Daten absaugen oder verschlüsseln.

Das Beispiel Gesundheitsdaten verdeutlicht, wie sehr Cybersicherheit in Unternehmen auch ins Privatleben hineinreichen kann. So könnten Hacker nicht nur Ärzte und Krankenhäuser erpressen, wenn sie massenhaft Daten über Patienten, deren Krankheitsgeschichten und Lebensgewohnheiten erbeuten. Sie könnten vielmehr jedem einzelnen Betroffenen damit drohen, dem Arzt anvertraute Daten und Informationen weiterzugeben. Etwa an den Arbeitgeber, an Eltern, Kinder, Freunde oder die Öffentlichkeit – und so ihr Opfer sozial unter Druck setzen.

Nach einer repräsentativen GfK-Studie im Auftrag des GDV ist bereits jeder Vierte (24 Prozent) schon einmal Opfer von Internetkriminalität geworden. Der durchschnittliche Schaden liegt bei 390 Euro. Die wachsende Zahl und Größe von Cyberattacken lässt nach Ansicht von IT-Experten nur einen Schluss zu. „Es gibt keine Ausreden mehr“, sagt etwa Cyber-Experte Linus Neumann. „Jeder, der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein.“ Und Sicherheit beginnt in diesem Fall bei der Wahl des Passworts. Wer auf Nummer sicher gehen will, sollte sich für jeden Dienst ein jeweils zufällig generiertes Passwort mit maximaler Länge zulegen und über einen Passwortmanager verwalten. Zusätzlich raten Fachleute zu einer Zwei-Faktor-Authentifizierung, bei der Nutzer sich nicht nur mit einem Passwort, sondern zusätzlich per SMS oder Code-Abfrage anmelden.

Die größte Beute machen Diebe in Firmen, die sich nicht als Ziel erkannt haben

Die Schwerpunkte beim Schutz von Privatpersonen und mittelständischen Unternehmen sind sich ähnlich. Nicht vergleichbar ist hingegen die finanzielle Komponente. Keine Frage: Mehrere Hundert Euro Schaden durch eine gestohlene Kreditkartennummer oder der Verlust der Urlaubsfotos sind für jeden einzelnen Betroffenen schmerzlich und zum Teil nicht zu ersetzen. Viel größere Beute – in finanzieller Hinsicht – versprechen sich Cyberkriminelle aber, wenn sie Unternehmen attackieren. Zumal der Aufwand hierfür nicht sonderlich groß ist, gerade wenn es um mittelständische Unternehmen geht, die sich selbst nicht als Ziel sehen.

Besonders schwer gebeutelt von Hackerangriffen ist laut dem IT-Branchenverband Bitkom das produzierende Gewerbe: Autozulieferer und Maschinenbauer, Chemie- und Elektrotechnikfirmen. Gut jede zweite Attacke führt nach BSI-Angaben dazu, dass die Produktion stillsteht. Als beispielsweise im IT-System des Münchner Maschinenbauers Krauss Maffei im November 2018 ein Trojaner aktiv wird, geht erst einmal nichts mehr – und selbst zwei Wochen später läuft längst noch nicht alles wieder rund.

20 Milliarden Euro Schäden durch Cyberkriminalität – jedes Jahr

Insgesamt dürften die Schäden für die deutsche Wirtschaft durch Cyberkriminalität bei mehr als 20 Milliarden Euro jährlich liegen. Das schätzen jedenfalls das Bundesamt für Verfassungsschutz und Bitkom in einer gemeinsamen Studie. Und laut einer Umfrage des Beratungsunternehmens Accenture unter Managern in 13 Ländern könnten sich die Kosten durch Cyberkriminalität in den kommenden fünf Jahren auf mehr als fünf Billionen Dollar (4,4 Billionen Euro) summieren.

Angesichts solcher Zahlen könnte man vermuten, dass Cybersicherheit inzwischen höchste Priorität genießt. Die Realität sieht jedoch anders aus. BSI-Chef Schönbohm etwa beobachtet eine fahrlässige Haltung von Unternehmen. „Die sagen: Was soll mir schon passieren, wenn meine Daten abhandenkommen. Gerade bei kleinen und mittelständischen Unternehmen ist das Bewusstsein für Cybersicherheit eher gering ausgeprägt. Vor allem die Gefahr für das eigene Unternehmen sehen viele nicht, wie die Forsa-Studie für den GDV zeigt. Während beinahe drei Viertel (72 Prozent) der Mittelständler ein hohes Risiko von Cyberkriminalität erkennen, bestätigt lediglich ein Drittel diese Gefahr auch für den eigenen Betrieb. „Manchmal fragen wir uns, was denn noch passieren muss, damit Unternehmen endlich wach werden“, sagt BSI-Chef Schönbohm.

Flucht in die Öffentlichkeit: Viele Unternehmen verheimlichen Cyberattacken, aus Angst vor den Kunden schlecht dazustehen. Gerhard Klein ist einen anderen Weg gegangen: Nachdem eine Attacke seine Druckerei in Saarbrücken lahmgelegt hat, informiert er Presse und TV – und machte gute Erfahrungen. So viel Offenheit wünschen sich Sicherheitsexperten auch von anderen Betroffenen: Ihre Schilderungen könnten das Risikobewusstsein erhöhen und womöglich sogar potenzielle Täter abschrecken, so die Hoffnung.

Gerhard Klein hat darauf eine klare Antwort: Der Weckruf muss aus der Wirtschaft selbst kommen. „Unternehmen sollten klar kommunizieren, wenn sie angegriffen werden“, appelliert er. „Ein Schaden durch einen erfolgreichen Cyberangriff darf kein Tabu sein.“

Der Unternehmer aus Saarbrücken weiß, worüber er redet. Was, wenn sich die Attacke herumspricht? Was, wenn Kunden und Auftraggeber davon erfahren? Genau diese Fragen tauchten im Herbst vergangenen Jahres auch bei Gerhard Klein auf.

Als er an einem Montag im Oktober 2018 den Rechner in seiner Saarbrücker Druckerei hochfährt, erlebt er eine üble Überraschung: Programme lassen sich nicht öffnen, das Mailsystem reagiert nicht, Auftrags- und Rechnungserfassung streiken, die Telefonanlage ist tot. Die Druckerei Braun und Klein stellt unter anderem Werbe- und Angebotsplakate für große Einzelhändler her, termingenaue Auslieferung ist deshalb besonders wichtig. Zu allem Überfluss ist Monatsanfang und die Lohnabrechnung fällig. Geschäftsführer Klein und seine Kollegen sind alarmiert – eine erste Diagnose ergibt, dass ein Schadprogramm die Windows-Rechner infiziert und die lokalen Festplatten verschlüsselt hat. Sie schalten die Ermittlungsbehörden ein.

Von außen hinzugerufene IT-Forensiker entdecken in den Tiefen des Systems einen Erpresserbrief. Die Forderung der Kriminellen scheint überschaubar: rund 4500 Euro in Bitcoin. Nachdem er die Erpresser um 1000 Euro heruntergehandelt hat, entschließt sich Klein zu zahlen. Nicht ohne einen Beweis zu verlangen, dass diese die Verschlüsselung tatsächlich aufheben können. Und tatsächlich: Das Mailsystem mit dem gesamten Archiv bekommen sie wieder ans Laufen. Mehr aber auch nicht – für die Entschlüsselung weiterer Daten fordern die Erpresser nun ein Vielfaches an Lösegeld.

Klein bricht den Kontakt ab. In mühevoller Handarbeit setzen Mitarbeiter und externe IT-Spezialisten die Systeme in den nächsten Tagen und Wochen wieder auf. Rund 70.000 Euro habe die Attacke das Unternehmen allein finanziell gekostet, resümiert Klein. Vom Stress für die Mitarbeiter, Dienstleister und nicht zuletzt auch die Kunden mal ganz abgesehen. Denn obwohl trotz des Totalausfalls der IT keine einzige Sendung verspätet das Haus verließ, wie Klein betont: Ein solcher Vorfall lässt sich nicht totschweigen.

Offensiv mit Cyber-Schäden umzugehen, hilft auch bei der Kundenansprache

Klein und seine Kollegen wählen deshalb gleich den umgekehrten Weg – sie gehen in die Offensive. Die Zeitung berichtet, das Fernsehen kommt vorbei. „Wir haben gute Erfahrung mit dem offenen Umgang gemacht“, sagt er. „Unsere Kunden sind nicht davongelaufen, sie haben uns unterstützt: Jeder weiß, dass so ein Angriff passieren kann.“ Trotz aller Bedenken, die auch er im Vorfeld der Veröffentlichung durchaus gehabt habe, ist er überzeugt: Eine solche Strategie – würde sie denn von vielen gewählt – würde Cyberkriminellen auf Dauer das Leben schwermachen.

Die europäische Datenschutzgrundverordnung sorgt für neues Problembewusstsein.

Es sind Geschichten wie diese, die BSI-Chef Schönbohm dann doch optimistisch stimmen. Mit der fortschreitenden Digitalisierung werde sich ein anderes Verständnis für die Cybersicherheit entwickeln. Noch sind es jedoch vor allem externe Faktoren, die Unternehmen dazu bringen, sich abzusichern. Ein neues Problembewusstsein bei kleinen und mittelständischen Betriebe entsteht zum Beispiel durch die europäische Datenschutzgrundverordnung (DSGVO), die seit Mai 2018 scharfgeschaltet ist.

Die DSGVO verlangt von Betrieben, egal welcher Größe, eine umfassende Datensicherheit. Wer sich nicht an die Spielregeln hält – zum Beispiel indem er Kunden und Datenschutzbehörden nicht mitteilt, wenn es ein Datenleck gibt – muss mit empfindlichen Strafen rechnen. Bei schweren Verstößen, etwa der Nutzung persönlicher Daten ohne ausreichende Einwilligung der Betroffenen, drohen Geldstrafen bis maximal 20 Millionen Euro. Ein empfindlicher Unterschied zur bis dato geltenden Höchststrafe von 300.000 Euro bei schweren Datenschutzverstößen. Noch wenige Wochen vor dem Start der DSGVO war mehr als jeder zweite Mittelständler hierzulande völlig planlos, wie eine Forsa-Umfrage im Auftrag des GDV damals offenbarte.

Erst schlagen die Diebe zu – dann verhängen die Behörden satte Strafen

Spätestens Beispiele wie das der Chatplattform mit dem sympathischen Namen Knuddels dürften seither so manchen Unternehmer aufgerüttelt haben: Nachdem die Server des sozialen Netzwerks im vergangenen Jahr von Hackern geknackt wurden, tauchten die E-Mail-Adressen und Passwörter von mehr als 300.000 Knuddels-Nutzern im Netz auf. Zum Reputationsschaden, den ein solches Datenleck ohne Zweifel verursacht, kam von den Datenschützern ein Bußgeldbescheid über 20.000 Euro hinzu, der den Betreibern noch vor dem Jahreswechsel auf den Schreibtisch flatterte.

Um nicht in dieselbe Situation zu geraten, nutzen viele Unternehmen die DSGVO-Vorschriften für ein umfassendes Sicherheitsupdate. Doch gerade kleinere Unternehmen oder Freiberufler können eine solche aufwendige rechtliche Prüfung kaum leisten. Das spüren auch die Versicherer – die Nachfrage nach Cyberpolicen für Unternehmen zieht deutlich an. Sie springen nämlich nicht nur nach einem Schaden ein – sie tragen vor allem dazu bei, künftige Gefahren zu erkennen und abzuwehren.

Die Nachfrage nach Cyber-Versicherungen zieht an

Im Rahmen der Präventions-Initiative #CyberSicher bietet der GDV unter anderem einen kostenfreien Cybersicherheitscheck an. Sind die Passwörter sicher? Wer darf auf welche Daten zugreifen? Wie oft werden Sicherheitskopien erstellt? Innerhalb weniger Minuten können Mittelständler damit herausfinden, wie gut sie tatsächlich gegen Datenklau und Erpressung übers Internet geschützt sind – und vor allem wo sie noch Nachholbedarf haben.

Erste GDV-Zahlen zum Markt der Cyberversicherung lassen vermuten, dass sich die Anzahl der Verträge binnen eines Jahres verdoppelt hat. Wie groß der Nachholbedarf vieler Unternehmen in diesem Segment noch ist, zeigt ein Blick auf die Beitragseinnahmen. Sie liegen nach GDV-Schätzungen aktuell bei rund 50 Millionen Euro. Marktbeobachter erwarten, dass sich das Volumen binnen fünf Jahren auf mehr als eine Milliarde erhöhen wird.

Unternehmer wie Gerhard Klein teilen in der Tendenz diese Einschätzung. „Die Schäden eines Ausfalls sind viel höher, als es im ersten Moment aussieht“, sagt der Druckereichef. „Eine Cyberversicherung ist in meinen Augen deshalb absolut notwendig.“ Das hatte Klein übrigens schon vor der Attacke auf seinen Betrieb erkannt. Der Abschluss einer entsprechenden Police sei eigentlich für Ende vergangenen Jahres geplant gewesen. Nach den erfolgreichen „Aufräumarbeiten“ will Klein nun einen neuen Anlauf starten.

Weitere Informationen dazu, wie Ihnen eine Cyberversicherung im Ernstfall helfen kann und zu allem anderen rund um das Thema erhalten Sie natürlich bei uns!

Kontaktieren Sie uns oder reservieren Sie Ihren Beratungstermin zu dem Thema.