Die Bundesakademie für öffentliche Verwaltung ist ein halbrunder Backsteinbau umgeben von Rapsfeldern und Rasenflächen. Die Fortbildungseinrichtung des Bundesinnenministeriums hat ihren Sitz in der Willy-Brandt-Straße in Brühl, einer beschaulichen Kleinstadt zwischen Köln und Bonn. Doch mit der Entspannungspolitik des Altkanzlers hatte das, was sich hier 2017 zugetragen haben soll, wenig zu tun: Eine Gruppe russischer Hacker nutzte das Institut offenbar, um sich Zugang zum Informationsverbund Berlin-Bonn (IVBB) zu verschaffen, dem Computernetz der Bundesregierung. Von Brühl aus arbeiteten sich die Cyberkriminellen, die als verlängerter Arm des russischen Geheimdienstes gelten, zu ihrem eigentlichen Ziel vor: dem Außenministerium in Berlin.
Bis zum Bekanntwerden des Hackerangriffs auf die Bundesregierung Anfang März galt das IVBB unter Experten als besonders sicheres Netzwerk, streng abgeschirmt vom öffentlichen Internet. Wenn nicht einmal hier die Schutzmechanismen gegen Cyberangriffe ausreichen, so die bange Frage, welches System ist dann überhaupt sicher?

Die Zahl der Delikte steigt und wird mit der Digitalisierung der Wirtschaft weiter zunehmen

Peter Vahrenhorst, LKA Nordrhein-Westfalen

Seit Jahren steigt die Zahl digitaler Angriffe auf Politik und Wirtschaft. Für 2016 meldete das Bundeskriminalamt (BKA) eine Zunahme um 81 Prozent im Vergleich zum Vorjahr, aktuellere Zahlen liegen noch nicht vor. Volkswagen gibt die Zahl der Attacken auf seine IT-Systeme mit 6000 an – pro Woche. Die volkswirtschaftlichen Schäden gehen mittlerweile in die Milliarden. Einer Studie des Beratungsunternehmens Accenture zufolge verliert jede Bank und jeder Finanzdienstleister pro Jahr im Schnitt knapp 15 Millionen Euro durch Hackerangriffe. Die Schadsoftware WannaCry, die im Mai 2017 in mehr als 200.000 IT-Systeme in 150 Ländern eindrang, legte weltweit Autofabriken still, Tausende Postpakete blieben liegen, und sogar Radarfallen streikten.

Versichern, beraten, schützen und reparieren

Inzwischen können auch Firmen, die bisher selbst nicht betroffen waren, das Risiko nicht länger ignorieren. „Das Bewusstsein gegenüber Cybergefahren ist in den Unternehmen deutlich gestiegen“, sagt Philipp Lienau, Produktmanager Vermögensschadenhaftpflicht und Cyber bei HDI Global. Die Versicherer spüren dies durch eine gestiegene Nachfrage nach Cyberpolicen, die Kunden gegen die Gefahr aus dem Internet absichern. „Immer mehr Großkonzerne kaufen Cyberpolicen ein, und auch aus dem Mittelstand bekommen wir vermehrt Anfragen“, bestätigt Lienau.

Doch nicht nur die Kunden, auch die Versicherungen betreten im Kampf gegen die Angriffe aus dem Netz Neuland. Nicht nur, dass sie neue Produkte entwickeln müssen, die Unternehmen erwarten von ihnen auch zunehmend IT-Beratungsleistungen. Dazu braucht es fachliches Know-how und gegebenenfalls Kooperationspartner, um im Schadensfall schnell reagieren zu können. So arbeitet HDI mit Dienstleistern zusammen, die nach einem Cyberangriff die IT des betroffenen Kunden möglichst schnell wieder zum Laufen bringen, Spuren sichern und bei Bedarf sogar die Öffentlichkeitsarbeit übernehmen. „Unternehmen müssen in einer solchen Situation schnell reagieren können“, sagt Lienau. „Viele Mittelständler halten dafür aber nicht ständig die nötigen personellen Ressourcen vor.“
Noch ist die Zahl der Verträge überschaubar, doch das Bewusstsein wächst – auch durch spektakuläre Fälle wie die Schadsoftware NotPetya, die im Juni 2017 allein beim Nivea-Hersteller Beiersdorf 35 Millionen Euro Schaden verursachte. 2016 lag die vom BKA ermittelte Schadenssumme durch Cyberkriminalität noch bei 50 Millionen Euro – für die gesamte Wirtschaft.

Viele Firmen haben Angst vor Imageschäden

Die BKA-Zahlen erfassen natürlich nur Delikte, die auch aktenkundig werden. Experten gehen davon aus, dass viele Betroffene stillschweigend zahlen, wenn sogenannte Ransomware wie WannaCry ihre Rechner oder Websites lahmlegt und nur gegen Zahlung eines Lösegelds wieder freigibt. „Viele Unternehmen verzichten aus Sorge vor einem drohenden Reputationsverlust darauf, Anzeige zu erstatten“, sagt der Kölner Cybersicherheitsexperte Marco Gercke, der weltweit Unternehmen und Organisationen bei der Abwehr solcher Attacken berät. Zudem sprächen Firmen nur ungern über ihre IT-Sicherheit, auch aus der vielfach berechtigten Sorge, nicht gut genug aufgestellt zu sein. In solchen Fällen haben es auch Versicherer schwer, passende Produkte zu empfehlen. „Zudem befürchten Unternehmen häufig, nach einer Anzeige nicht mehr Herr des Verfahrens zu sein, etwa wenn Ermittlungsbeamte Computer mitnehmen und damit die Arbeit erschweren“, sagt Gercke.
Die tatsächlichen Schäden der internetbasierten Kriminalität bewegen sich wahrscheinlich in ganz anderen Dimensionen. Auf 55 Milliarden Euro schätzt eine Studie des Verfassungsschutzes und des Branchenverbands Bitkom die Schäden deutscher Unternehmen pro Jahr – Tendenz steigend. Im Schnitt ist jedes zweite Unternehmen der Studie zufolge 2017 mindestens einmal angegriffen worden. Ein Jahr zuvor war einer Umfrage zufolge lediglich jedes dritte Unternehmen betroffen (siehe Grafik oben). „Die Zahl der Delikte steigt und wird mit der Digitalisierung der Wirtschaft weiter zunehmen“, sagt Peter Vahrenhorst, Cybercrime-Experte beim Landeskriminalamt (LKA) Nordrhein-Westfalen.

Wie hoch der Schaden im Einzelfall ist, hängt von der Art des Angriffs, den Zielen der Täter und Unternehmensgröße ab. Eine Studie des IT-Sicherheitsdienstleisters Kaspersky rechnet bei europäischen Mittelständlern mit durchschnittlich rund 70.000 Euro Kosten pro Vorfall, bei Großunternehmen mit mehr als 1000 Beschäftigten sogar mit 1,1 Millionen Euro. Trotz dieser alarmierenden Entwicklung steckt der Markt für Cyberpolicen in Deutschland noch in den Kinderschuhen. Während US-Firmen jährlich rund drei Milliarden US-Dollar für Versicherungen gegen Cyberkriminalität ausgeben, liegt das Prämienvolumen in Deutschland erst bei rund 100 Millionen Euro. In den nächsten 20 Jahren könnte es jedoch auf 15 bis 20 Milliarden Euro steigen, prognostiziert die Unternehmensberatung KPMG.
Ein Treiber für das Geschäft mit Cyberpolicen könnte die neue Datenschutzgrundverordnung der EU werden, die im Mai in Kraft tritt. Sie sieht bei Datenschutzverletzungen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes vor. Allein für das Melden und Veröffentlichen möglicher Verstöße rechnet HDI-Experte Lienau mit 25 bis 30 Euro pro Datensatz, bei Kunden in den USA mit deutlich mehr. Bei einem Datendiebstahl können je nach Unternehmensgröße Tausende oder sogar Millionen von Datensätzen betroffen sein – immense Strafzahlungen wären die Folge, die für viele Unternehmen aus eigener Kraft kaum tragbar wären.

Falsche Chefs kosten Millionen

Hohe finanzielle Schäden drohen auch, wenn Kriminelle nicht die IT-Systeme direkt angreifen, sondern mithilfe elektronischer Kommunikation das Vertrauen der Mitarbeiter gewinnen und ausnutzen. Vor allem beim sogenannten CEO-Fraud gehen die Schäden einzelner Unternehmen in die Millionen. Bei dieser Betrugsform gaukeln die Täter Mitarbeitern eine Zahlungsanweisung aus der Chefetage vor – etwa mittels einer gefälschten E-Mail. Dabei nehmen sie immer häufiger kleinere Firmen ins Visier und erschwindeln sich fünf- bis sechsstellige Beträge. Allein der Versicherer Euler Hermes regulierte in den vergangenen zwei Ja ren 40 Fälle von CEO-Fraud, der Gesamtschaden lag bei mehr als 120 Millionen, der höchste Einzelschaden bei 34 Millionen Euro. „Die Schwachstelle ist in solchen Fällen nicht die IT, sondern der jeweilige Mitarbeiter“, sagt Rüdiger Kirsch, Leiter Schaden für die Vertrauensschadensversicherung bei Euler Hermes. „Umso wichtiger sind Schulungen, damit die mit dem Zahlungsverkehr betrauten Kollegen im Unternehmen wachsam sind.“

Um auf die sich abzeichnenden Entwicklungen vorbereitet zu sein, positionieren sich die Assekuranzen immer stärker als Dienstleister. Sie leisten also nicht nur im Schadensfall, sondern unterstützen ihre Kunden auch bei der Prävention, um so die Chancen zu erhöhen, gar nicht erst zum Opfer einer Attacke zu werden. Die Nachfrage für solche Angebote wächst – vor allem im Mittelstand, wie eine aktuelle Studie der Gothaer Versicherung belegt. „Die Ergebnisse zeigen, dass es gerade bei Kleinunternehmen teilweise noch an den Basics in der IT-Sicherheit fehlt“, sagt Frank Huy, Leiter Kompositgeschäft Unternehmenskunden bei der Gothaer. „Entsprechend wichtig sind Präventionsunterstützung und Assistance-Leistungen im Schadensfall.“ Wie bei HDI beinhaltet auch die Cyberpolice der Gothaer umfassende IT-Soforthilfe im Schadensfall.
Für Peter Hacker von der Schweizer Beratungsfirma Distinction ist die breitere Aufstellung eine logische Konsequenz aus der Analyse der Kundensorgen: „Eine Versicherung ist für Unternehmen eine wichtige Ergänzung, steht aber nicht so sehr im Zentrum wie die IT-Sicherheit an sich“, sagt der Risk-Management-Experte, der Konzerne aus aller Welt berät. Gerade für Mittelständler sei die Aufrüstung in Sachen IT-Sicherheit derzeit eines der zentralen Themen.
Daher plant die Gothaer, bei ihrer Risk-Management-Tochter das Know-how rund um Cybergefahren weiter auszubauen. Sie will Kunden auch jenseits der Versicherungsleistung besser beraten können und selbst mehr über die neuen Risiken lernen. „Wir brauchen noch mehr Wissen und Erfahrung, auch um die Höhe der Tarife unserer Policen besser abschätzen zu können“, sagt Huy.
Bei der Tarifierung liege noch vieles im Dunkeln, bestätigt Hacker: „Cybercrime ist eine bislang einzigartige Risikoform. Sowohl von der möglichen Frequenz der Angriffe als auch von der Schadenshöhe hat es so was zuvor noch nicht gegeben. Deshalb sind frühere Erfahrungswerte aus anderen Bereichen nur bedingt nützlich.“