Gewappnet gegen Cybercrime

Kosten breit gefächert

Entsprechend breit gefächert sind auch die Kosten für den Cyberschutz. Je nach Branche und Geschäftsmodell ist nach Angaben von Franke und Bornberg ein Versicherungsschutz von einer Million Euro für unter 1 000 Euro Jahresprämie erhältlich. Der Online-Vermittler CyberDirekt etwa wirbt auf seiner digitalen Plattform mit einer Cyberabsicherung ab 400 Euro Jahresprämie. Die Angebote der dort gelisteten Gesellschaften richten sich dabei an Firmen mit bis zu zehn Millionen Euro Jahresumsatz und einer Versicherungssumme bis zu zwei Millionen Euro.

Welches Angebot am besten zu welchem Handwerksbetrieb und seinem Geschäftsmodell passt, wäre möglichst mithilfe eines darauf spezialisierten Maklers herauszufinden. Erschwerend für eine fundierte betriebliche Risikoanalyse: Anders als bei den klassischen Gefahren Feuer, Wasser, Sturm, können sich Handwerksunternehmer bei digitalen Risiken bekanntlich nicht auf erprobte Basics und langjährige Erfahrungen stützen. Zumal sich die Cyber-Schadenszenarios fortlaufend ändern.

Alte Betrugsmaschen digital eingefädelt

Digitalisierung bringt zugleich auch vereinfachte Angriffswege für bekannte Betrugsdelikte: Falsche Chefs oder Lieferanten, die Zahlungen auf ihr Konto umleiten. Kriminelle, die sich als alte Firmenkunden ausgeben und Ware an Fake-Adressen ordern (Tabelle 2). Bei einer Kommunikation, die vorrangig über Internet und Intranet sowie häufig unter Zeitdruck läuft, haben sie leichtes Spiel. Die Grenzen zwischen Cyber- und Wirtschaftskriminellen sind dabei fließend – wie dann häufig auch der Versicherungsschutz in diesem Bereich. Wer fragt heutzutage schon telefonisch nach, wenn er es doch „Schwarz auf Weiß“ in der E-Mail hat: Zahlungsüberweisung für die georderte Ware bitte künftig auf ein anderes Geschäftskonto. „Sehr einfach und gewinnbringend für die Täter. Darauf fallen sehr viele Unternehmen rein“, so Rüdiger Kirsch, Vorsitzender der AG Vertrauensschadenversicherung im GDV. Oder ein Hacker fischt eine Mail heraus und verändert die IBAN. Payment Diversion wird dieses Betrugsszenario genannt, bei dem die Vertrauensschadenversicherer bereits mehrere Fälle mit einem Volumen von über zwei Millionen Euro verzeichneten. „Gerade wenn es um die Umleitung von Zahlungsströmen geht“, sind aber auch viele kleine Firmen und Handwerksunternehmen betroffen, so Kirsch, der bei Euler Hermes den Bereich Schaden bei der Vertrauensschadenversicherung (VSV) verantwortet. Und bei einer Bilanzsumme von einer Million Euro tun Summen von 20 000 oder 50 000 Euro dann genauso weh wie einem Großunternehmen ein Millionenschaden. Nur landen nach seinen Worten viele dieser Betrugsfälle oft nicht bei der Kriminalpolizei und werden nicht systematisch erfasst.

Tabelle 2: (Quelle: HUSS-MEDIEN GmbH)

Big Brother und Fake President

Spektakulärer und aufwendiger für die Täter ist das Betrugsszenario Fake President. Dabei hackt sich der Kriminelle beispielsweise ins Intranet ein, bewegt sich dort zwei Wochen, schaut, wer mit wem wie kommuniziert: „Duzt man sich beispielsweise? Spricht man Englisch? Das pickt er heraus und weiß am Ende, wer im Unternehmen für Zahlungsanweisungen zuständig ist“, schildert Kirsch das typische Vorgehen. Der Buchhalter wird dann – auch mit Lob für seine Zuverlässigkeit und Appellen an seine Diskretion – teils auch telefonisch unter Druck gesetzt, um erhebliche Summen zu überweisen: z. B. für die „streng geheime“ angebliche Übernahme einer Firma. Beim Betrugsszenario Fake Identity Fraud schlüpft der Hacker in die Person eines Vertragspartners und ordert beispielsweise bei einem kleinen Produzenten Ware in hoher Stückzahl mit kurzer Lieferfrist und an eine Adresse, die nur kurz existent und dann leergeräumt ist.

Neuester Trend, auf den Kirsch verweist: Fake-IT – mit zunächst demselben Szenario wie bei Fake President. Nur, meldet sich zwischendurch der angebliche IT-Chef und warnt die Buchhalterin: Wir haben eine Fake-President-Attacke. Die Kripo ist informiert. Machen Sie weiter wie gehabt.

Vertrauen ist gut, Police im Fall der Fälle besser

Das alles sind nach Kirschs Worten Fälle, wo eine Vertrauensschadenversicherung betroffenen Unternehmen Schadensersatz leistet, das heißt all das, was auch strafrechtlich verfolgt wird und zu einem Vermögensschaden führt.

Für Vermögensverluste dieser Art bietet sich insofern – nicht zuletzt als Ergänzung zur Cyberpolice – die Vertrauensschadenversicherung an (s. Kasten S. 236). Die Zielrichtung beim Cyberschutz ist bekanntlich eine andere: Vereinfacht gesagt geht es dort um Folgeschäden eines Hackerangriffs, bei der Vertrauensschadenversicherung dagegen sozusagen um Betrug „pur“ durch Mitarbeiter, aber auch gänzlich „betriebsfremde“ Internetkriminelle, die analog oder digital direkt Waren oder Geld aus dem Betrieb „abziehen“. Es gibt aber auch Cyberpolicen und Firmenversicherungspakete, die einen solchen Leistungsbaustein enthalten. Wie weit der Schutz dort reicht, wäre im Vergleich und abhängig vom eigenen Bedarf wiederum mit Maklerhilfe genau zu prüfen.

Ist Ihr Betrieb von Datenlecks betroffen?

Wissen Sie, ob Ihre Daten bereits im Internet kursieren (Bild 6)? Das Hasso-Plattner-Institut bietet den „HPI Identity Leak Checker“ an. Anhand Ihrer E-Mail-Adresse können Sie prüfen, ob die Adresse in Verbindung mit anderen persönlichen Daten wie Geburtsdatum oder Adresse im Internet offengelegt wurde und missbraucht werden könnte.Insgesamt haben bereits mehr als 14 Millionen Nutzer mithilfe des Identity Leak Checkers die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als drei Millionen Fällen mussten Betroffene darüber informiert werden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war. Prüfung unter: sec.hpi.de/ilc/

Bild 6: