Eines Tages kommt kein Geld mehr herein. Zwar liefert der Händler noch immer wie gewohnt Saatgut an seine Kunden aus, doch die abgerechneten Beträge kommen auf dem Geschäftskonto nicht mehr an. Bis den Verantwortlichen das auffällt, ist ein sechsstelliger Schaden entstanden.
Des Rätsels Lösung: Hacker waren in die unternehmenseigenen Systeme eingestiegen und hatten die E-Mail-Adressen aller Kunden abgegriffen. Anschließend hatten sie diese angeschrieben und ihnen eine vermeintlich neue Kontoverbindung mitgeteilt. Von da an überwiesen die Kunden fällige Beträge auf das Konto der Gangster. Bis die Sache aufflog. Doch da war das Geld schon weg. So schildert der Versicherungsmakler Robert Radicke aus Dresden den Fall eines Unternehmens aus seiner Region, der vor einigen Jahren eingetreten war.
Es ist der beinahe schon klassische Fall eines Mittelständlers, der Opfer einer Cyberattacke wurde, wie sie derzeit täglich tausendfach vorkommen: Hacker dringen über technische Schwachstellen, mit Schadsoftware verseuchte E-Mails oder über Phishing abgegriffene Zugangsdaten in Systeme ein, klauen oder verschlüsseln Daten oder legen gleich den ganzen Betrieb lahm. Oder alles zugleich. Anschließend verhökern sie die Daten im Schattenreich des Internets oder erpressen Kunden, Mitarbeiter oder Unternehmen. Die Möglichkeiten sind vielfältig. Schutz vor dem Schaden bieten indes Cyberversicherungen. Sie zahlen für entgangenen Umsatz, zu sichernde Spuren, Schadenersatz an andere und im Extremfall sogar Lösegeld. Auch hier sind die Möglichkeiten mitunter so vielfältig wie die der Angreifer.
Ungünstig war nur, dass die Verantwortlichen des sächsischen Händlers keine solche Police abgeschlossen hatten. „Ich hatte ihnen eine Cyberversicherung zwar angeboten, sie hatten aber abgelehnt“, sagt Radicke, der diese Art von Schutz in allen seinen Beratungsgesprächen anspricht. Schließlich habe inzwischen jedes Unternehmen E-Mail-Konten, Geräte für Kartenzahlung und Kundendateien. Für Hacker sei so etwas immer interessant. Trotzdem bleiben die Gespräche oft ohne Erfolg. „Ein Großteil der Kunden schließt keine ab, das Bewusstsein ist nicht groß genug. Viele meinen einfach, dass es sie ja gar nicht betrifft“, so der Makler.
Dass das blanker Unsinn ist, legen das Eingangsbeispiel ebenso wie sämtliche Berichte von Branchenspezialisten nahe. Zum Beispiel die „Human Risk Review 2023“ des Security-Dienstleisters Sosafe. Demnach wurde europaweit jede zweite Organisation in den vergangenen drei Jahren Opfer einer erfolgreichen Cyberattacke. Lief der Angriff über Ransomware – die Daten verschlüsselt, Systeme sperrt und anschließend Lösegeld fordert –, zahlten 39 Prozent aller Unternehmen dieses Lösegeld. Bei kleineren Unternehmen waren es sogar 47 Prozent.
Solche Ransomware-Angriffe brauchen Gangster nicht einmal mehr selbst durchzuziehen. Man kann sie im Darknet inzwischen auch als Dienstleistung einkaufen – und bezahlt mit Kryptowährungen. Bei IBM hat man ausgerechnet, dass solche Angriffe die Opfer im Durchschnitt 4,54 Millionen US-Dollar kosten. Und da ist das Lösegeld noch nicht einmal enthalten.
Wie perfide die Angriffe ablaufen, erlebte Christoph Bechtle vom Makler Albfinanz aus Reutlingen. Er hatte bei einem Händler Autoreifen bestellt und dafür die geschäftliche E-Mail-Adresse benutzt. „Kurz darauf bekam ich eine unfassbar gut gefälschte E-Mail, in der ich auf einen Link klicken sollte. Sogar der Name der Sachbearbeiterin war korrekt angegeben“, berichtet Bechtle. Er hatte zum Glück nicht auf den Link geklickt – im Gegensatz zu vielen anderen. Laut Sosafe öffnen 47 Prozent der Empfänger Phishing-Mails, und von diesen Öffnenden klicken 31 Prozent auf den schädlichen Inhalt. Das sind also 15 Prozent aller Empfänger. Und schon ist der Feind im Haus.
Diese Quote dürfte in Zukunft eher steigen, denn Kriminelle nutzen Künstliche Intelligenz, um die Mails noch besser auf ihre Opfer zuzuschneiden und insbesondere deren Emotionen und Ansichten besser auszunutzen. Wut macht nicht selten auch blind. Das nötige Umfeld liefern geopolitische Krisen und Risse in der Gesellschaft. Das Material dazu finden die Hacker kostenlos in den sozialen Medien. Die neuen Möglichkeiten sind riesig. So erzählte das Magazin „Forbes“ von einem Bankangestellten in den Vereinigten Arabischen Emiraten, der Anfang 2020 einen Anruf von seinem Chef erhalten hatte. Daraufhin überwies er 35 Millionen Dollar, um eine Übernahme zu bezahlen. Das Geld floss an Betrüger, die die Stimme des Direktors mithilfe sogenannter Deep-Voice-Technik gefälscht hatten.
Seite 2: Ein Gesetz lässt Geschäftsführer mit Privatvermögen haften
Die Einschläge werden häufiger, präziser und hinterhältiger. Inzwischen gibt es das Sprichwort: „Es ist nicht mehr die Frage, ob man gehackt wird, sondern wann.“ Damit läge es eigentlich auf der Hand, sich und die Firma über eine Cyberversicherung vor solchen Gefahren zu schützen. Oder wie Robert Radicke es ausdrückt: „Cyberschutz ist inzwischen wichtiger als die Betriebshaftpflicht.“ Doch laut einer Umfrage des Versicherers Hiscox hatten im vergangenen Jahr erst 35 Prozent der Unternehmen eine eigenständige Police und 32 Prozent Cyberschutz innerhalb einer anderen Police. Da fehlt also noch ein bisschen was.
Auf welch dünnem Kabel die übrigen nicht Versicherten balancieren, lässt das „Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen“, kurz Starug, durchblicken. Es gilt seit Anfang 2021 und soll in der Europäischen Union die Zahl der Insolvenzen senken. Laut Starug müssen Geschäftsführer alle Entwicklungen verfolgen, „welche den Fortbestand der juristischen Person gefährden können“. Tun sie das nicht, haften sie mit dem gesamten privaten Vermögen. Leider weiß das nicht jeder Geschäftsführer, denn das Starug ging damals im Corona-Trubel ein wenig an der Öffentlichkeit vorbei. Aber wie die Beispiele gezeigt haben, können Hackerangriffe auf jeden Fall den Fortbestand einer Firma gefährden.
Wenn es in Sachen Cyberversicherungen ins Detail geht, holt Radicke gern die Spezialisten vom Berliner Makler Cyberdirekt mit ins Boot. Dessen Geschäftsführer Ole Sieverding erklärt, dass sich Cyberschutz auf drei Gebiete erstreckt: Hilfe im Schadenfall, Betriebsunterbrechung und Haftpflicht. Natürlich sind diese Teile für unterschiedliche Betriebe auch unterschiedlich wichtig. So ist es für einen Online-Händler ein harter Schlag, wenn Hacker sein Geschäft tagelang blockieren. Kunden warten ja nicht, bis die Website wieder läuft, sondern kaufen einfach woanders. „Er muss deshalb auf jeden Fall auf die Klausel zur Betriebsunterbrechung achten“, sagt Sieverding. Anders etwa bei einem Makler mit Bestandsprovisionen oder einem Hausverwalter mit Mieteinnahmen. Bei denen würde das Geld trotzdem erst einmal weiter fließen, so der Spezialist. Wichtiger wäre dort hingegen die Haftpflicht bei Cyberschäden.
Wie wichtig so eine Datenschutzhaftpflicht wiederum sein kann, zeigt der Fall des Online-Vermögensverwalters Scalable Capital. Dem wurden im Jahr 2020 Daten von rund 33.200 Kunden geklaut – Namen, Anschriften, Kontaktinfos und zum Teil auch Bankverbindungen und Ausweiskopien. Inzwischen hat Scalable Capital an zwei Kunden sogenannten immateriellen Schadenersatz gezahlt, einmal 1.200 Euro und einmal 2.500 Euro. Selbst wenn man nur die niedrigere Zahl mit der Kundenzahl multipliziert, ergibt das 40 Millionen Euro. Da kann Scalable froh sein, dass nicht alle betroffenen Kunden geklagt haben.
Seite 3: Sollte man Lösegeld mitversichern?
Ebenfalls wichtig kann laut Ole Sieverding die Infektionshaftpflicht sein. Sie tritt auf den Plan, wenn Hacker von einem gekaperten Konto verseuchte E-Mails an andere schicken – und die darauf hereinfallen. Derartige Schadenfälle habe es jedoch bislang noch nicht gegeben. Was hingegen mit – geschätzten – 80 bis 90 Prozent Anteil das Geschehen dominiert, ist, wenn Unternehmen erpresst werden. „Das ist dann eine echte Krise, und die Betroffenen haben sich hoffentlich im Vorfeld schon Gedanken gemacht und einen Notfallplan überlegt“, sagt Sieverding.
Gleichwohl stellt sich die Frage, ob man das Lösegeld dann mitversichern sollte. „Obwohl sich meistens eine andere Lösung findet, sollte man diese Option als letzten Ausweg in die Police einschließen“, empfiehlt Sieverding. Eine solche andere Lösung ist übrigens, die verseuchten Server zu sperren, die Systeme auf anderen Servern neu aufzusetzen und die Daten über Sicherungskopien (Back-ups) wieder herzustellen. Denn die sind hoffentlich vorhanden.
Und um das sauber hinzubekommen, gehen Cyberversicherer als Dienstleister mit zur Hand. Das ist schon in ihrem eigenen Interesse, weil das Schäden begrenzt und die Summen niedrig hält. Sie bieten Hotlines mit Experten an und haben Forensiker für die Spurensuche und Anwälte für den rechtlichen Kram an der Hand. Wichtig hierbei ist allerdings, dass Betroffene sich dort sofort melden und nicht erst auf eigene Faust noch etwas zu retten versuchen. Sobald man bemerkt, dass man falsch geklickt hat, muss es schnell gehen. „Das ist dann wie bei der Feuerwehr. Je länger man wartet, desto schlimmer und teurer wird es“, bestätigt auch Christoph Bechtle.
Der Makler hat beobachtet, dass zumindest das Bewusstsein für die Materie wächst. „Je sensibler die Daten sind, desto einfacher ist es, den Kunden zu überzeugen“, sagt er. Wobei das auch daran liegen kann, dass viele Kunden speziell mit Anfragen zu ihm kommen. Sie sind sich also des Problems schon bewusst. Gute Erfahrungen hat er in dieser Hinsicht mit der Gesundheitsbranche gemacht, während beispielsweise Vertreter aus der KFZ- oder Sanitärbranche das Ganze noch nicht so richtig einsehen.
Seite 4: Urteil vom Landgericht Tübingen
Bechtle, der übrigens seine Master-Arbeit zum Thema Cyberschutz geschrieben hat, achtet sehr darauf, wie ein Versicherer den Schadenfall definiert. „Cybergefahren verändern sich ständig, deshalb sollte die Definition möglichst offen sein“, meint er und nennt als positive Beispiele die Versicherer Cogitanda und Hiscox. Letzterer nennt in den Bedingungen für den Tarif Cyberclear folgende Schäden: Netzwerksicherheitsverletzung, Bedien- und Programmierfehler, Datenrechtsverletzung und Cybererpressung. In diesen Katalog lassen sich offenbar bekannte und künftige Angriffsarten gut einsortieren. Außerdem achtet Bechtle darauf, dass auch private Geräte („Bring your own device“, BYOD) und Bedienfehler von Mitarbeitern mitversichert sind. Anbieter, die er immer wieder in die nähere Wahl zieht, sind die erwähnten Cogitanda und Hiscox, aber auch Markel, HDI und AIG. Wobei jeder Anbieter Stärken und Schwächen hat, die man auf die Kunden abstimmen muss. „Aber insgesamt gehen die Bedingungen in die richtige Richtung“, so der Makler.
Und was müssen die Versicherten beisteuern? Im Detail hängt das vom Versicherer ab. Gemein haben sie allerdings, dass sie vor Vertragsabschluss Risikofragen stellen. Das kann man etwa mit den Gesundheitsfragen bei einer Lebensversicherung vergleichen. Allerdings mit zwei Unterschieden: Bei der Lebensversicherung wird anschließend nicht mehr nachgefragt, der Gesundheitszustand ist also für den gesamten Vertrag eingefroren. Bei der Cyberversicherung hingegen prüft der Versicherer immer mal wieder nach. Und zweitens, kann man Gesundheitszustand und -historie nur schwer oder gar nicht ändern, den Zustand der eigenen IT hingegen sehr wohl. Und das wertet Ole Sieverding als dickes Plus: „Cyberversicherungen bringen Unternehmen dazu, ihre Systeme auf Vordermann zu bringen. Sie erhöhen sozusagen den Cyberreifegrad in Deutschland.“ Allerdings, so ein Tipp von ihm, sollte man beim Tarif darauf achten, dass es nicht allzu viele, dafür aber klare und deutliche Risikofragen sind. Dann ist das alles problemlos machbar.
Ein Beispiel für so etwas nennt Kollege Bechtle: So verlangt Cogitanda, dass Sicherheits-Updates stets unverzüglich zu installieren seien. Konkurrent Hiscox hingegen räumt dafür eine Frist von 30 Tagen ein. Laufen parallel dazu allerdings auch noch alte Systeme, für die es keine Updates mehr gibt, sind sie vom Hauptsystem zu trennen. Wobei ein Urteil des Landgerichts Tübingen jetzt einiges relativiert hat. Demnach soll Cogitanda einem Kunden einen Schaden bezahlen, obwohl der veraltete Server ohne Sicherheitsupdates genutzt hatte. In den Risikofragen war das nicht aufgetaucht. Doch das Gericht meinte: Der Schaden wäre auch auf aktuellen Servern eingetreten, und Arglist sei nicht zu erkennen, und damit greife der Versicherungsschutz. Sollte das Urteil auch durch die nächsten Instanzen kommen, könnte es die Branche noch ordentlich durchschütteln.
Am Ende muss man sich die Details im Vertrag ansehen und vergleichen und sich dann entscheiden, was am besten passt. Immerhin sind in Deutschland inzwischen schon 70 bis 80 Anbieter auf dem Gebiet aktiv, schätzt Sieverding. Für relevant hält er etwa 20 – Tendenz aber steigend: „Cyberschutz ist inzwischen keine Nische mehr.“
Ein Umstand, der an dem gehackten sächsischen Händler irgendwie vorbeigerauscht sein muss. Dort hielten es die Verantwortlichen trotz des sechsstelligen Schadens nicht für nötig, sich gegen solche Angriffe zu versichern. Und Robert Radicke hat das notiert. Für alle Fälle.
