Frankfurt Großkonzerne aus dem Dax und dem MDax wissen natürlich um den Wert ihrer Patente, Ihrer Unternehmens- und Kundendaten. Begriffe wie Industrie 4.0, Autonomes Fahren oder E-Health sind bereits elementarer Teil ihrer täglichen Arbeit. Da diese Bereiche in den kommenden Jahren jedoch stark an Bedeutung hinzugewinnen werden, wird auch die Spannbreite an Daten immens anwachsen. Das Betätigungsfeld für Hacker wächst so sprunghaft an. Und damit auch das Bewusstsein in den Konzernen, dass alles erdenklich Mögliche für den Schutz getan werden muss.
Kleine und mittlerweile Unternehmen sind hier dagegen noch längst nicht soweit. Zwar glauben mehr als 70 Prozent von ihnen, dass das Risiko eines Cyberangriffs in den vergangenen beiden Jahren gestiegen ist. Rund die Hälfte von ihnen hält es gar für deutlich höher. Das geht aus einer Umfrage des Forschungsinstituts Forsa im Auftrag des Gesamtverbandes der deutschen Versicherungswirtschaft (GDV) hervor, die dem Handelsblatt exklusiv vorab vorlag.
Damit sind aber nur „die anderen“ gemeint. Nur ein gutes Drittel der insgesamt 252 befragten Entscheider glaubt, dass auch für ihr Unternehmen das Risiko eines Hackerangriffs besteht. Dafür sei es entweder zu klein oder zu uninteressant für Kriminelle. Sogar 80 Prozent der Befragten vertrat die Meinung, dass intern ausreichend Maßnahmen zum Schutz vor Hackern ergriffen wurden.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Dass das oftmals ein Irrglaube sein kann, zeigen einfache Fälle aus der Praxis. „Die Kriminellen wissen, wie sie auch vermeintlich uninteressante Dinge zu Geld machen – nämlich indem sie einfach Daten sperren und Lösegeld kassieren“, beobachtet GDV-Chef Alexander Erdland. Dann gibt es auch kein Unternehmen mehr, das für Hacker zu klein oder zu uninteressant wäre.
Cyberkriminalität ist ein völlig neuer Markt
Für die Versicherer ist Cyberkriminalität und der Schutz dagegen ein Thema mit enorm vielen Chancen, aber auch Risiken. In den etablierten Märkten wie Leben, Kfz oder Rechtsschutz stagnieren seit Jahren die Beiträge. Zuwächse ergeben sich häufig nur dann, wenn Wettbewerber Marktanteile abgenommen werden können. In der Regel wird das durch günstige Konditionen teuer erkauft.
Mit dem Thema Cyberkriminalität hat sich vor wenigen Jahren indes ein völlig neuer Markt aufgetan. So wie nach den Anschlägen auf das World Trade Center einst der Schutz vor Terror ein Riesenthema wurde, so geht bei den Unternehmen derzeit immer häufiger die Angst vor Anschlägen aus dem Netz um. Jedoch mit der beschriebenen abfallenden Tendenz, je kleiner das Unternehmen ist.
Für die Versicherer hat das neue Geschäftsfeld jedoch auch einen gewaltigen Haken. Erfahrungswerte oder lange Zeitreihen wie bei anderen Bereichen fehlen hier vollkommen. Zudem entdecken Hacker täglich neue Angriffsziele. Die Unternehmen und mit ihnen die Versicherer hecheln hinterher und können so häufig nur reagieren statt wie in anderen Bereichen zu agieren. Ein völlig neuer Zustand.
Trotzdem löst das Thema Cyberkriminalität in der Branche im Moment so etwas wie Goldgräberstimmung aus. Etwa 15 Anbieter sind in Deutschland auf dem Markt, Tendenz steigend. Darunter bekannte Namen wie Axa, Allianz, Ergo und Württembergische, aber auch Spezialanbieter wie die britischen Häuser Aon Benfield oder Hiscox. „Cyber ist die wichtigste neue Sparte im deutschen Markt“, glaubt denn auch Markus Hofmann, Vorstandschef der Ergo Versicherung AG.
Diese Cyber-Gefahren gilt es zu entschärfen
Friedrich will die Bürger schneller vor Risiken warnen und den Informationsaustausch zwischen Unternehmen über neu entdeckte Angriffsstrategien verbessern.
Großkonzerne treiben teils großen Aufwand, Geschäftsgeheimnisse gegen digitalen Diebstahl zu sichern. Kleineren Unternehmen aber fehle oft das Risikobewusstsein, moniert der Innenminister.
Die Nationale Strategie zum Schutz kritischer Infrastrukturen stammt von 2009. Sie soll Strom-, Wasser- oder Telefonnetze absichern. Ihre Umsetzung zieht sich hin.
Friedrich will Telefon- und Internet-Verbindungsdaten EU-konform sechs Monate speichern. Bundesjustizministerin Leutheusser-Schnarrenberger geht das zu weit.
Speziell für die kleinen und mittleren Firmen haben sich die Versicherer deshalb ein Muster für eine Cyberpolice einfallen lassen. Das Paket schützt vor Datenklau und Betriebsunterbrechungen, übernimmt aber auch die Kosten für IT-Forensiker und die Krisenkommunikation. Quasi als Rundum-Sorglos-Paket für Kleinbetriebe.
Die Expertise müssen sich die Versicherer oft teuer einkaufen. Seit kurzem gehört so die internationale Beratungsgesellschaft Stroz Friedberg zu Aon Benfield, einem der führenden Erst- und Rückversicherungsmakler der Welt. Eine solch ungewöhnliche Verbindung ist bei weitem kein Einzelfall mehr. Überall suchen die Versicherer händeringend nach Expertise. „In unserem Cyber-Team finden sich fast keine normalen Versicherungsmenschen“, erzählt Robert Dietrich, Hauptbevollmächtiger des britischen Spezialversicherer Hiscox in Deutschland, einem großen Spieler in diesem Bereich.