Berlin Cyberattacken oder Datenklau sind Szenarien, mit denen sich Unternehmen seit Jahren konfrontiert sehen. Vielen noch gut in Erinnerung ist der Hackerangriff auf den US-Finanzdienstleister Equifax im vergangenen Sommer.
Die Täter hatten seinerzeit in großem Stil Kundendaten erbeutet. Die Attacke sei von Mitte Mai bis Juli erfolgt und betreffe womöglich 143 Millionen US-Verbraucher, räumte die Wirtschaftsauskunftei ein. In Hunderttausenden Fällen hatten die Kriminellen demnach Zugriff auf sensible Daten wie Sozialversicherungs- oder Kreditkartennummern.
Für Aufsehen sorgte auch die Attacke auf den Fahrdienst-Vermittler Uber. Hacker hatten sich im Oktober 2016 über eine Sicherheitslücke Zugriff auf Daten von 50 Millionen Passagieren und 7 Millionen Fahrern verschafft. Abgegriffen wurden Namen, E-Mail-Adressen und Telefonnummern von Nutzern weltweit.
Die beiden Fälle werfen ein Schlaglicht auf die Verwundbarkeit von Unternehmen und zeigen, was auf dem Spiel steht, wenn sich plötzlich Kriminelle Zugriff auf sensible Daten verschaffen. Denn solche Sicherheitslücken können teuer werden – vor allem, wenn aber Mai die EU-Datenschutzgrundverordnung (DSGVO) gilt.
Besonders in Europa agierende Unternehmen setzen sich dann einem immensen Kostenrisiko aus, wenn sie die neuen Vorschriften nicht beachten. Unter anderem muss ein wirkungsvolles internes Datenschutz-Managementsystem aufgebaut und ein Datenschutzbeauftragter benannt werden. Zudem müssen die Unternehmen die zuständigen nationalen Behörden innerhalb von 72 Stunden über eine Datenschutzverletzung unterrichten.
„Viele Unternehmen werden schnell feststellen, dass Nachlässigkeit beim Datenschutz schnell viel Geld kosten kann, wenn die DSGVO erst einmal gilt“, sagte Jens Krickhahn, Cyberexperte beim Industrieversicherer Allianz Global Corporate & Specialty (AGCS) für Zentral- und Osteuropa, dem Handelsblatt. Damit stelle der Datenschutz „eines der größten Cyberrisiken“ dar - vor allem im Hinblick auf die potenziellen Reputationsrisiken durch Sicherheitslücken und Datendiebstähle, wie Krickhahn sagte. Aber auch, wenn nicht ausreichend sorgsam mit personenbezogenen Daten umgegangen werde.
Kommen personenbezogene Daten abhanden, können die finanziellen Schäden enorm sein: Es entstehen Kosten für die Wiederherstellung der Daten beziehungsweise das Schließen von Sicherheitslücken oder die Information der betroffenen Kunden. Bei einem Verstoß gegen die in der DGSVO festgelegten Vorschriften – beispielsweise gegen die Meldepflicht nach einer Datenschutzverletzung – drohen zudem Bußgelder: Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert der höhere ist.
Das ist der Strafrahmen, der den zuständigen Datenschutzbehörden zur Verfügung steht. Doch das Kostenrisiko ist noch größer. Es werde häufig ein zweites Risiko übersehen, das des Betriebsstopps durch die Behörden, sagte Krickhahn. „Stellen wir uns einen Online-Händler vor, der mit einem Cloudprovider zusammenarbeitet, dessen Plattform durch die Behörden stillgelegt wird. Der Händler kann nicht mehr auf seine Kundendaten zugreifen, sein Geschäft kommt praktisch zum Erliegen – und kostspielige Umsatzausfälle über Tage oder gar Wochen wären die Folge“, erklärte der Experte.
Schon heute können die Behörden bei Verstößen Datenverarbeitungsprozesse aussetzen. Aber durch die neuen EU-Datenschutzregeln könnte dies vor allem für jene Unternehmen zum Problem werden, die mit externen IT- und Datendienstleistern zusammenarbeiten. Das ist umso riskanter, als die Gefahr, ins Visier von Hackern zu geraten nicht ab-, sondern vielmehr deutlich zunehmen dürfte.
Das legt etwa eine Allianz-Umfrage unter fast 2000 Risikoexperten aus 80 Ländern nahe. Laut dem sogenannten Allianz Risk Barometer 2018 zähen demnach die Risiken einer Betriebsunterbrechung (Rang 1) und von Cybervorfällen (Rang 2) zu den größten Geschäftsrisiken in Deutschland. Zudem sorgen sich deutlich mehr Risikomanager als 2017 vor diesen beiden Top-Risiken. Betriebsunterbrechung wird in 55 Prozent der deutschen Antworten als großes Risiko benannt (Vorjahr: 40 Prozent), Cybervorfälle kommen auf 51 Prozent (Vorjahr: 44 Prozent) der Antworten.
Dass deutsche Unternehmen immer häufiger ins Visier von Cyber-Kriminellen und Datendieben geraten zeigt auch eine im vergangenen Jahr veröffentlichen Umfrage der Beratungsgesellschaft Ernst & Young (EY). 44 Prozent der deutschen Unternehmen gaben demnach an, in den vergangenen drei Jahren ausspioniert worden zu sein. Das sind gut dreimal so viele wie noch 2015.
Großunternehmen mit mehr als einer Milliarde Euro Umsatz sind besonders gefährdet: Von ihnen hat sogar jedes zweite (57 Prozent) bereits konkrete Attacken festgestellt – vor zwei Jahren nur jedes fünfte. Allerdings: Die Dunkelziffer dürfte noch höher sein, denn in jedem sechsten betroffenen Unternehmen flogen die kriminellen Handlungen nur durch Zufall auf.
Mit der steigenden Zahl der Hackerangriffe und den neuen Anforderungen durch die EU-Datenschutzgrundverordnung könnte auch die Nachfrage nach Cyber-Versicherungen in Europa einen Nachfrageschub erfahren. Damit rechnet jedenfalls Allianz-Experte Krickhahn. „Bereits im letzten Jahr und auch im ersten Quartal 2018 hat die Nachfrage nach Angeboten für eine Cyberversicherung deutlich angezogen und wir sehen auch immer mehr Abschlüsse“, sagte er.
Krickhahn führt dies darauf zurück, dass sich Cybersicherheit durch globale Attacken wie der Trojaner WannaCry oder die Schadsoftware NotPetya in vielen Unternehmen zu einem wichtigen Managementthema entwickelt habe und die Umsetzung der neuen Datenschutzregeln das Thema weiter in den Vordergrund rücke. „Immer mehr Unternehmen sehen eine Cyberversicherung als einen wichtigen Baustein einer ganzheitlichen Cyberabwehrstrategie“, so Krickhahn. „Denn auch bei bester IT-Sicherheit gibt es keinen 100 prozentigen Schutz.“
Im Vergleich zu den USA sind Cyberversicherungen in Europa noch ein junges Produkt. Allerdings mit einem enormen Potential. Nach einer Studie der Unternehmensberatung KPMG aus dem Jahr 2017 dürfte sich die Nachfrage nach Cyberpolicen hierzulande in den nächsten Jahren explosionsartig entwickeln. Das Prämienvolumen für Cyberversicherungen dürfte demnach sich im deutschsprachigen Raum von heute etwa 90 Millionen Euro jährlich auf bis zu 26 Milliarden Euro Jahresprämie im Jahr 2036 erhöhen.
