Deutsche Mittelständler unterschätzen die Risiken durch Cyber-Kriminalität. Das ergab eine aktuelle Umfrage der Zurich Versicherung unter Geschäftsführern und Vorstandsmitgliedern mittelständischer Betriebe. In Deutschland betrachten nur knapp sechs Prozent der Manager das Thema Cyber-Kriminalität, etwa durch Hacker-Angriffe, als mögliches Risiko für ihr Unternehmen. Ähnlich gering wird das Risiko durch Cyber-Kriminalität auch weltweit eingeschätzt: Die von Zurich in zwölf Ländern aufgesetzte Befragung zeigt, dass im internationalen Durchschnitt sogar nur vier Prozent Cyber-Kriminalität als mögliches Risiko für ihr Unternehmen sehen.
Das Internet ermöglicht es Straftätern heute, schnell und interaktiv mit ihren potentiellen Opfern zu kommunizieren und mit wenig Aufwand Webseiten scheinbar legitimer Firmen, Lotteriegesellschaften oder Anwaltskanzleien aufzubauen. Ziel ist vielfach das sogenannte Social-Engineering – dabei versuchen Straftäter beispielsweise, private Zugangsdaten ihrer Opfer zu erlangen. Derartige Straftaten, und dazu gehören auch die "normalen" Betrugsstraftaten im Online- oder Auktionshaushandel, bei denen nach Vorauskasse keine, minderwertige oder gefälschte Ware versandt wird, werden aus Sicht der Strafverfolgungsbehörden als "Cybercrime im weiteren Sinne" verstanden – und werden in der Polizeilichen Kriminalstatistik (PKS) als "Straftaten mit dem Tatmittel Internet" ausgewiesen. In Abgrenzung dazu betrachten die Strafverfolgungsbehörden die Straftaten, die erst durch das Internet selbst ermöglicht wurden oder sich gegen das Internet selbst richten, als "Cybercrime im engeren Sinn". Dieser Begriff umfasst in Deutschland alle Straftaten, die unter Ausnutzung der Informations- und Kommunikationstechnik oder gegen diese begangen werden.
Risikowahrnehmung hinkt dem faktischen Risiko hinterher
Laut polizeilicher Kriminalstatistik hat Cyber-Kriminalität mit 64.000 Fällen im Jahr 2012 einen neuen Höchststand erreicht. Damit ist die Zahl der Fälle im Vergleich zu 2011 um 7,5 Prozent gestiegen. Seit 2007 sogar ein drastischer Anstieg um insgesamt 87 Prozent. Unternehmer sollten Cyber-Kriminalität daher nicht unterschätzen. Interne Risikolücken im Bereich der Informationstechnologie müssen identifiziert und geschlossen werden, um Angriffe aus dem Netz bestmöglich abzuwehren.
Diverse Cyberattacken der jüngsten Zeit beweisen, dass Infrastruktur ein immer häufigeres Angriffsziel abgibt. Als besonders kritisch gelten dabei Systeme aus den Bereichen
- Telekommunikation
- Verkehrskontrollsysteme (Straßen-, Schiffs-, Luftverkehr)
- Versorgungsinfrastruktur – insbesondere für Wasser- und Strom (zum Beispiel intelligente Netze)
- Systeme der medizinischen Versorgung
- Steuerungssysteme (zum Beispiel von Kernkraftwerken).
Erleichtert werden die Cyberattacken durch den zunehmenden Einsatz von remote access. Sie ermöglichen den Zugang zu Infrastruktursystemen über Internet- und Software-Schnittstellen, was das Risiko eines Systemausfalls durch missbräuchlichen Zugriff erhöht. Schwere Konsequenzen drohen, wenn etwa die Stromversorgung plötzlich zusammenbricht.
Denn im Alltag und in der Industrie läuft ohne elektronische Bauteile kaum noch etwas, die modernen Gesellschaften sind erheblich verwundbarer geworden. Ein Blackout für wenige Stunden dürfte noch überschaubare Schäden anrichten. Fällt aber die Stromversorgung großräumig für einen längeren Zeitraum (mehrere Tage) aus, steht im Extremfall die wirtschaftliche und soziale Stabilität einer Gesellschaft auf dem Spiel. Schließlich würden auch andere kritische Infrastruktur wie die Wasserversorgung, die Telekommunikation und das Transportwesen bestenfalls eingeschränkt funktionieren.
Cyberattacken sind vor allem deshalb ein attraktives Geschäft geworden, weil sie meist enorme Gewinne ohne großen finanziellen Aufwand versprechen. Denn viele Daten eines Unternehmens oder einer Privatperson lassen sich zu einem hohen Preis verkaufen. Kreditkarteninformationen werden heute bereits offen gehandelt, und andere wertvolle Informationen lassen sich über den Schwarzmarkt oder auf Auftrag beschaffen.
Materielle versus immaterielle Schäden durch Cyberattacken
Eine allgemeine Attacke durch Malware richtet sich gegen eine große Zahl von Computersystemen, um möglichst hohe Schäden hervorzurufen. Bei einem gezielten Angriff dagegen geraten ein bestimmtes Unternehmen, eine bestimmte Institution oder ein bestimmtes Land ins Visier. Ein Beispiel dafür ist der Computerwurm Stuxnet, der es speziell auf Steuerungssysteme von Siemens abgesehen hatte und dem es erstmalig gelang, materielle Schäden an Objekten anzurichten.
Für Versicherer ist die Unterscheidung zwischen "materiellem" und "immateriellem" Schaden relevant:
- Der deckungsauslösende Sachverhalt, also die Schadenursache, ist in allen IT-Szenarien und IT-/Cyber-Eigenschadendeckungen immer ein immaterieller Schaden. Das Verschwinden von Daten, deren Nichtverfügbarkeit, Blockierung oder Manipulation reicht aus, um die Deckung auszulösen.
- Dagegen muss bei einem materiellen Schaden das versicherte Objekt gewöhnlich chemischen oder physikalischen Einwirkungen, etwa in Folge eines Brandes, einer Überschwemmung oder eines Erdbebens, ausgesetzt gewesen sein.
Die meisten Sachdeckungen beruhen auf dem Konzept eines materiellen Schadens. Sollten in Zukunft häufiger Viren auftreten, die einen materiellen Schaden verursachen und damit Deckung unter der regulären Sachversicherung auslösen, könnte dies zu einem erheblichen Kumulrisiko für die Erst- und Rückversicherer führen.
[Eigener Text basierend auf Quellen der Zurich Versicherung und der Munich Re: Cyberrisiken, Herausforderungen, Strategien und Lösungen für Versicherer, München 2012, Bildquelle oben: © aetb - Fotolia.com]