Datenklau, E-Banking-Betrug, Geschäftsspionage, Lahmlegen wichtiger Anwendungen, Erpressung mit blockierten Rechnern – die Gefahren, die jedem Unternehmen aus dem Internet drohen, sind vielfältig und real und bringen Risiken von der Geschäftsschädigung durch Datenverlust, gefälschte Daten und Systemausfälle über Produktplagiarismus und Rufverlust bis hin zum völligen Ruin mit sich.

Und die Gefahr nimmt zu, wie diverse Statistiken zeigen. Gemäss dem «Internet Security Threat Report 2014» von Symantec kam es 2013 weltweit zu 62 Prozent mehr Fällen von Datenklau durch Hacker als 2012, und in manchen Fällen waren Millionen von Datensätzen mit E-Mail-Adresse, Passwörtern, Kreditkartenangaben und anderen höchst vertraulichen Informationen betroffen.

Der «Advanced Threat Report» des Security-Unternehmens Fireeye für das erste Halbjahr 2015 zeigt ähnliche Zahlen für den EMEA-Raum (Europa und Naher Osten): Im Vergleich zum Vorjahr haben sich Angriffe durch Schadcode wie Viren und Trojaner fast verdoppelt. Die Schweiz liegt auf der Rangliste der Angriffsziele mit acht Prozent der gezielten und durchgeplanten Attacken weit oben; innerhalb Europa entfiel nur auf Grossbritannien und Deutschland ein höherer Anteil.

Externe Angriffe aus dem Internet werden durch interne Bedrohungen gefördert oder erst ermöglicht. Dazu zählen nicht aktualisierte Systeme, schwache Passwörter oder schlichte Bedienfehler, die auf das mangelnde IT-Wissen von Mitarbeitenden zurückzuführen sind. Im Fall von falsch konfigurierten Routern, Firewalls und anderen Infrastrukturkomponenten sind oft auch extern beigezogene IT-Spezialisten mitverantwortlich, die weniger halten konnten, als sie versprochen hatten. Gerade für kleinere Firmen ist es schwierig, die Qualität von IT-Partnern einzuschätzen und die richtige Wahl zu treffen. Überprüfbare Referenzen helfen dabei mehr als vollmundige Anpreisungen auf einer durchgestylten Website.

Oft führen Bedrohungen zum Verlust vertraulicher Daten. Der Sicherheitsspezialist Kaspersky Lab nennt das Beispiel einer Anwaltskanzlei, die eine Attacke beinahe nicht überlebt hat: Ein USB-Stick eines Klienten war mit einem Virus verseucht, der sich im Netz der Kanzlei ausbreitete und sämtliche Kundendaten löschte. Der Reputa­tionsverlust war enorm, ganz abgesehen vom Aufwand zur Datenwiederherstellung. Das Beispiel zeigt zudem, wie unabdingbar erstens ein ständig ak­tualisierter Virenschutz und zweitens ein ausserhalb des Firmennetzes gelagertes Datenbackup sind.

Und noch etwas geht aus dem Vorfall in der Kanzlei hervor: Datenträger wie Speichersticks oder CDs, aber auch E-Mail-Anhänge sowie in E-Mails eingebettete Links sind auch dann nicht automatisch vertrauenswürdig, wenn sie von bekannten Personen oder Unternehmen stammen, egal ob tatsächlich oder vermeintlich.

Sicherheit einplanen

Eines sollte klar sein: Ohne umfassende Sicherheitsmassnahmen ist kein Unternehmen vor den Cyberrisiken gefeit. Zwar verkünden die Medien nur die spektakulären Fälle im Stil des Carbanak-Bankraubs oder eines millionenfachen Diebstahls von Kreditkartendaten. Aber während ein Grossunternehmen den Verlust meist relativ problemlos auffängt, können Cyberattacken eine kleinere Firma in der Existenz bedrohen. Auch KMU sollten der IT-Sicherheit deshalb hohes Gewicht beimessen, erfahrene Spezialisten beiziehen, alle Risiken sorgfältig analysieren und die bedeutendsten mit einem passenden Versicherungsschutz abfedern.

Urs Binder

Cyberversicherung

Hackerangriffe, Viren, Schadsoftware und Datenklau – die Zahl der Cyberangriffe ist in den letzten Jahren stark angestiegen. Die AXA Winterthur bietet eine exklusiv auf die Bedürfnisse ihrer Kunden zugeschnittene Versicherungslösung und übernimmt im Schadenfall die Wiederherstellungskosten von Daten und Betriebssystemen sowie die Entschädigung des Betriebsunterbruchs. Darüber hinaus bietet die AXA Winterthur gemeinsam mit einem externen Partner Präventionsmassnahmen zu Sonderkonditionen.

www.axa.ch