Cyber-Experte Daum „Jede Firma wird mal von einer Attacke betroffen sein“

Michael Daum ist Senior Underwriter Cyber bei der Allianz Global Corporate & Specialty Quelle: Presse

Cyber-Experte Michael Daum erklärt, welche Fehler deutsche Unternehmen im Kampf gegen Cyber-Attacken machen – und wie sie sich schützen können.

  • Teilen per:
  • Teilen per:

Die Zahlen sind alarmierend: Drei von vier deutschen Unternehmen waren in den vergangenen zwei Jahren von Datendiebstal, Industriespionage oder Sabotage betroffen. Das hat eine Umfrage des IT-Branchenverbands Bitkom in mehr als 1000 Unternehmen ergeben. Viele Firmen ignorieren die Gefahr immer noch – oder machen schwere Fehler im Krisenmanagement, berichtet der Cyber-Experte Michael Daum. Der Kampf gegen die Angreifer im Netz ist sein Job.

WirtschaftsWoche: Herr Daum, auf Ihrer Visitenkarte steht, dass Sie „Senior Underwriter Cyber“ bei der Allianz sind. Was machen Sie eigentlich?
Michael Daum: Meine Kollegen und ich versichern Unternehmen gegen Cyber-Gefahren. Wir tragen die Verantwortung für die Entscheidung ob und zu welchen Konditionen wir Unternehmen versichern. Das ist bei Versicherungssummen von bis zu 25 Millionen Euro eine große Verantwortung. Konkret betreue ich Firmen, die mehr als 150 Millionen Euro Umsatz machen, darunter viele Dax- und MDax-Unternehmen. Wir haben ein Netzwerk von IT-Spezialisten, Krisenmanagern, PR-Experten und Rechtsanwälten, die unsere Kunden im Schadensfall konsultieren können. Da zählt dann häufig jede Minute. Es ist wichtig, dass die Unternehmen nach einem Hackerangriff oder Systemausfall schnell handeln.

Wie viele Unternehmen versichern sich bei der Allianz gegen Cyber-Schäden?
Die Nachfrage bei uns ist stark gestiegen: Wir sind 2013 gestartet und rechnen damit, dass wir in diesem Jahr mehr als 100 Millionen Euro Prämien weltweit mit Cyber einnehmen. 50 Prozent aller Anfragen in Financial Lines Zentral- und Osteuropa beziehen sich in diesem Jahr auf Cyber und auch die Zahl der Abschlüsse ist rasant gestiegen. Die Marktzahlen sind jedoch ernüchternd: Zählt man den Mittelstand dazu, liegt die Zahl der Unternehmen in Deutschland, die sich gegen Cyber-Schäden versichern, noch immer bei circa einem Prozent. Das ist alarmierend. Die Dax-Unternehmen sichern sich ab – aber je kleiner die Unternehmen werden, desto geringer ist die Abschlussquote. Dabei ist es ein Irrglaube, dass man als kleineres Unternehmen unter dem Radar von Cyber-Kriminellen fliegt. Oft laufen die Angriffe in der ersten Stufe automatisiert ab. Computer fragen vollautomatisch IP-Adressen ab, suchen Schwachstellen. Das kann jeden treffen.

Und wie häufig passiert etwas?
Jede zehnte unsere Policen ist mit einem konkreten Schadensfall belegt. Der Schaden geht häufig in die Millionen. Cyberangriffe können ganze Unternehmen lahmlegen, weil die Angreifer teilweise über Wochen Zugriff auf gesamte Unternehmens-IT haben und heutzutage in vielen Unternehmen ohne IT gar nichts mehr geht. Selbst Unternehmen, die man vielleicht als wenig digital einschätzen würde – wie etwa ein Krankenhaus – sind heute extrem abhängig von funktionierender IT.

von Jürgen Berke, Thomas Kuhn

Kleinere Unternehmen haben oft nicht das Geld für eine wirksame Cybercrime-Abwehr.
Richtig. Die Mitarbeiter, die sie dafür brauchen, sind teuer, ein Experte kassiert in der Regel ein sechsstelliges Gehalt. Das können oder wollen sich nicht viele leisten. Und selbst wenn sie es könnten: Der Markt für diese Fachkräfte ist leergefegt. Sie würden aktuell schwer jemanden finden. Trotzdem ist auch für kleinere Unternehmen ein gewisses Niveau an IT-Sicherheit und Datenschutz notwendig. Die gute Nachricht ist: Man kann auch ohne große Budgets viel erreichen, wenn alle an einem Strang ziehen.

Welche Fehler machen die Unternehmen?
Wenn die Unternehmensleitung das Thema nicht anschiebt und die Rollen klar verteilt, dann funktioniert es nicht. Nach unseren Erfahrungen haben weniger als zehn Prozent der Unternehmen Cyber in ihr allgemeines Risikomanagement integriert. Die meisten wissen gar nicht, wo sie angreifbar sind, welche Geschäftsprozesse besonders exponiert sind. Sie können auch nicht berechnen, wie hoch potenzielle Schäden sein könnten. In vielen Firmen wird überhaupt nicht über Abteilungen hinweg beim Cyber-Schutz zusammengearbeitet. Das Risikomanagement muss mit der IT sprechen. Die einen wissen, wie sicher die Systeme sind. Die anderen, wie hoch die Schäden im Extremfall sind. Wir hatten schon Risikodialoge, da haben sich die IT-Manager und die Risikomanager von Firmen zum ersten Mal die Hand geschüttelt. Da muss intern mehr Transparenz und Zusammenarbeit entstehen.

Häufig wird das Thema Cyber-Gefahr ausschließlich der IT-Abteilung zugeordnet.
Cybersicherheit ist kein Thema, das man nur der IT-Abteilung aufs Auge drücken kann. Die IT ist für die Technik verantwortlich, sollte sich aber nicht selbst kontrollieren. Es sollte dafür einen Sicherheitsinformations-Manager (CISO) geben, der direkt an den Vorstandsvorsitzenden berichtet. Denn am Ende ist Informationssicherheit Sache des CEOs – er ist dafür haftbar.

Soweit die Technik. Aber was ist mit der Bedrohung für den Menschen, den Mitarbeiter?
Mehr als die Hälfte der Angriffe erfordert ein Zutun des Mitarbeiters, wie Dateien öffnen, Kennwörter herausgeben, Links klicken. Das Thema Mitarbeiter-Bewusstsein für die Risiken kommt aber in den Sicherheitskonzepten der Unternehmen viel zu kurz. Weniger als zehn Prozent der Unternehmen haben laut unserer Erfahrung ein regelmäßiges Sicherheitstraining. Die meisten schicken eine E-Mail herum, wenn die Attacke schon passiert ist. Dann ist es längst zu spät.

Wie gehen die Angreifer vor?
Die Angreifer werden immer professioneller und schneller. Sie teilen sich die Arbeit auf, gehen zunächst automatisiert vor, danach übernehmen die Profis selbst und bewegen sich im Unternehmen fort. Auch die Werkzeuge werden immer ausgefeilter. Das hat in diesem Jahr zu einem deutlichen Anstieg der Schäden geführt. Es ist ein Wettlauf zwischen Angreifern und Unternehmen – und aus meiner Sicht hatten 2019 die Angreifer oft die Nase vorne.

Gibt es Trends beim Muster der Attacken?
Derzeit gibt es viele Erpressungsattacken: Daten werden verschlüsselt und nur gegen Geldzahlung wieder freigegeben. Es ist entscheidend, dass die Firmen regelmäßig ein umfassendes Backup ihrer Daten haben. Das Backup muss „offline“ sein, weil die Erpresser häufig auch schon die noch unverschlüsselten Backups finden und ebenfalls verschlüsseln. Einen unserer Kunden hätte dieses Jahr ohne Versicherung an den Rand der Existenz gebracht. Neben den Daten war in diesem Fall auch die Konfiguration der Systeme weg.

Was sollten Unternehmen tun, wenn sie von einer Attacke betroffen sind?
Jede Firma wird mal von einer Cyber-Attacke betroffen sein. Mit unseren Kunden erstellen wir einen Krisenfahrplan. Welche Behörden sind einzuschalten? Wer kommuniziert nach innen und nach außen? Da kann man sich viel Stress ersparen. Das geht so weit, dass wir mit unseren größeren Kunden einen Cyberkrisenfall üben, ganz konkret und individualisiert. Wenn der Ernstfall eintritt, kann der bestehende Krisenplan umgehend abgearbeitet werden. Das kann den Schaden für das Unternehmen erheblich reduzieren und die Reputation schützen.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%