Hacker suchen nach Sicherheitslücken in Systemen und Netzwerken.

Cyberbetrug ist der am stärksten wachsende Bereich von Delikten gegen das Strafgesetzbuch, wie in der aktuellen Kriminalstatistik des Kantons Zürich nachgelesen werden kann – er stieg um 46 Prozent. Das scheint aber viele Inhaberinnen und Inhaber von Kleinstbetrieben nicht besonders zu beindrucken, wie eine spontane Rundumfrage im Gewerbe zeigt. Namentlich wollen die Betriebe natürlich nicht erwähnt werden und repräsentativ ist die Umfrage nicht. Aber auch der Schweizerische Versicherungs-verband bestätigt, dass nur zehn Prozent der Unternehmen eine Cyberversicherung abgeschlossen hätten. Vielen Unternehmerinnen und Unternehmern fehle die Kenntnis über das Produkt und die vorhandenen Angebote.

Das sieht auch René Brugger, Geschäftsführer von Swiss Technology Network, der Dachorganisation des Technologiesektors der Schweiz, so. «Die grösste Herausforderung bleibt die Sensibilisierung. Cyber-Resilienz bedeutet, dass Sicherheitsaspekte durchgängig in alle Prozesse integriert werden – von der Produktion bis ins Büro. Es reicht nicht, sich nur auf Schutzmassnahmen zu verlassen. Unternehmen müssen auch in der Lage sein, Vorfälle schnell zu erkennen, darauf zu reagieren und sich rasch zu erholen.» Trotz der wachsenden Bedrohung durch Cyberangriffe zeigt sich, dass das Thema in vielen Geschäftsleitungen noch nicht die notwendige Priorität geniesst. Veranstaltungen zur Cyber-Resilienz werden oft nur zögerlich wahrgenommen – als würde man den Kopf in den Sand stecken, in der Hoffnung, dass es einen selbst nicht trifft. Dies deutet darauf hin, dass entweder das Bewusstsein für die Risiken fehlt oder personelle Ressourcen nicht gezielt für dieses strategisch wichtige Thema eingesetzt werden.

Viele Kleinbetriebe gehen davon aus, dass vor allem Grossbetriebe im Visier der Hacker und Cyperkriminellen stehen, da es bei ihnen doch vergleichsweise wenig zu holen gäbe. Ein verhängnisvoller Irrtum, wie Oliver Odermatt, Geschäftsführer der STT Plus AG, die in Versicherungsfragen unabhängig berät, warnt. «Die Betriebsgrösse ist für das Risiko nebensächlich. Schon ein infiziertes E-Mail oder ein gefälschter Zahlungsauftrag kann erhebliche finanzielle Folgen haben. Kleinbetriebe verfügen zudem oft über weniger ausgebaute IT-Sicherheitsstrukturen.» Wenn es um viel Geld geht oder gar um die Existenz einer Firma und damit auch um die Verantwortung von Mitarbeitenden geht, wäre der Abschluss einer Versicherung sicher sinnvoll, um bei einem Schadenfall das Schlimmste abzuwenden. Eine Cyberversicherung deckt die finanziellen Folgen von Cyberangriffen ab. Dazu gehören Betriebsausfälle und die Kosten für Daten- und Systemwiederherstellung.

Auch Cyber-Erpressung, beispielsweise Lösegeldzahlungen sowie Schäden durch Vertrauensverlust bei den Kundinnen und Kunden können abgesichert werden. Zusätzlich umfasst sie eine Cyber-Haftpflicht für Schäden, die Dritten durch das angegriffene Unternehmen entstehen. In der Praxis sind Ransomware-Angriffe am häufigsten, die Computersysteme oder Daten verschlüsselt und unbrauchbar machen und, wenn man Glück hat, erst bei der Bezahlung eines Lösegeldes wieder zugänglich gemacht werden. Phishing-Mails mit gefälschten Zahlungsanweisungen oder versehentlich öffentlich gemachte Kundendaten gehören ebenfalls zu den meistgemeldeten Schäden an die Versicherungen.

Nun sind ja Versicherungen nicht dafür bekannt, grosszügig Schäden zu decken, ohne genau hinzuschauen. Gibt es auch Gründe, auf Grund deren die Schadensdeckung ganz oder teilweise verweigert wird? «In der Praxis zeigt es sich, dass in den meisten Fällen menschliches Fehlverhalten der Auslöser für IT-Zwischenfälle ist. Ob unbedacht geöffnete Phishing-Mails, schwache Passwörter oder ungesicherte Zugänge – oft beginnt der Schaden mit einer Unachtsamkeit», sagt Odermatt. Eine Versicherungspolice bietet hier zwar einen gewissen Schutz, greift jedoch nur dann, wenn die versicherten Unternehmen auch ihren Teil dazu beitragen. Wird grobfahrlässig gehandelt oder Cyperattacken nach bestem Wissen und Gewissen nicht verhindert, können Versicherungen Zahlungen einschränken. Die Versicherer fordern deshalb auch klar definierte Obliegenheiten zur sogenannten IT-Hygiene. Werden diese nicht eingehalten, kann im Ernstfall der Versicherungsschutz gefährdet sein.

Zu diesen Verpflichtungen gehören unter anderem der Einsatz aktueller Virenschutzprogramme, regelmässige Backups, der konsequente Passwortschutz inklusive Zwei-Faktor-Authentifizierung sowie die Schulung der Mitarbeitenden im Umgang mit IT-Risiken. Gerade letztere Massnahme ist entscheidend: Wer seine Mitarbeitenden sensibilisiert und schult, reduziert die Angriffsfläche deutlich – und stellt sicher, dass die Versicherung im Notfall auch tatsächlich zahlt.

Nicht nur Grossunternehmen oder Onlinehändler – auch kleinere Gewerbebetriebe verarbeiten tagtäglich persönliche und sensible Kundendaten. Ob E-MailKorrespondenz, Rechnungen, Verträge oder weitere vertrauliche Informationen: Diese Daten müssen konsequent vor unbefugtem Zugriff geschützt werden. Die Folgen einer Sicherheitslücke können gravierend sein. Im schlimmsten Fall drohen finanzielle Haftungsforderungen, etwa wenn durch eine Datenpanne ein wirtschaftlicher Schaden entsteht. Dazu kommen mögliche strafrechtliche Konsequenzen bei Verletzungen von Datenschutzgesetzen. Und nicht zuletzt steht der gute Ruf des Unternehmens auf dem Spiel – ein Reputationsverlust kann langjährige Kundenbeziehungen zerstören und das Vertrauen nachhaltig beschädigen.

Partner

Meistgelesene Artikel

Resilienz von Mitarbeitenden stärken

25. Oktober 2024

Verbot bringt Gärtner auf die Palme

24. August 2024

Autoradios und Co.: Ärger über Urheberrechtsgebühren

24. April 2023

Die Geschichte der Mehrwertsteuer

4. Juli 2024

Bürokratie erreicht auch Kompost

24. Juni 2024

Ihre Meinung ist uns wichtig

Das Thema ist wichtig.

Der Artikel ist informativ.

Der Artikel ist ausgewogen.