Gefahren durch Cyberangriffe

Der Schwerpunkt der Cyberangriffe liegt im Bereich Cyber-Kriminalität, insbesondere durch das Einschleusen von Schadprogrammen (Malware). Diese werden zudem immer „intelligenter“, was sich beispielsweise an neuen Fähigkeiten wie der Analyse des Mailverlaufs infizierter Computer oder dem Nachladen von beliebigen anderen Schadprogrammen im Kontext kooperierender und arbeitsteiliger Computerkriminalität zeigt. Mit dem damit gewonnenen Zugriff ist auch ein gezielter Identitätsdiebstahl möglich, der von Dritten immer schwerer zu erkennen ist, da im Vorfeld z.B. persönliche Beziehungen, Hierarchien, Art der Anrede und weitere individuelle Merkmale ermittelt und -intern oder extern - imitiert werden.

Beispiele aus der täglichen Praxis

Solche gezielten Cyberangriffe betreffen jedoch nicht nur Großunternehmen oder Unternehmen aus der Online-Branche, sondern aufgrund der fortschreitenden Digitalisierung und Vernetzung nahezu sämtliche Branchen. Dies gilt auch für Bauunternehmen. Unserer Kanzlei lag kürzlich ein Fall vor, bei dem bei einem Dachdeckerbetrieb die virtuellen Server sowie ein Arbeitsplatz-PC durch Trojaner verschlüsselt wurde. Hierdurch konnten die EDV-Systeme nicht mehr genutzt werden. Terminpläne, Kundendaten, Aufträge und Materialbestellungen ließen sich bis zur Wiederherstellung der Systeme nicht aufrufen, so dass einige Zeit nicht gearbeitet werden konnte. Ein anderes Beispiel betrifft eine große deutsche Unternehmensgruppe des Baugewerbes. Über eine ungezielt eingeschleuste Malware konnten schließlich die Zugangsdaten für das Rechenzentrum erbeutet werden. Daraufhin wurde das gesamte Unternehmen so lange gezielt ausspioniert, bis sie Administratorrechte erlangt hatten.

Mit diesen wurden zunächst vorhandene Backups überschrieben und schließlich die einzelnen Systeme verschlüsselt, so dass die ganze Unternehmensgruppe faktisch stillstand. Die Erpresser forderten Lösegeld in Millionenhöhe, um die Daten zu entschlüsseln. Die Erfahrung aus Schadenfällen zeigt, dass tatsächlich immer häufiger solche Lösegeldzahlungen erfolgen. Bereits an diesen Beispielen wird deutlich, dass neben dem Verlust von Daten insbesondere ein erheblicher Betriebsunterbrechungsschaden droht, ggf. auch bei Dritten, die auf dieselben Daten zugreifen (z.B. bei einem BIM-Server). Zudem drohen durch den Diebstahl personenbezogener Daten auch Datenschutzverletzungen, die Ansprüche Dritter sowie Bußgelder nach sich ziehen können.

Technische Sicherheitsvorkehrungen ausreichend?

Viele dieser Angriffe haben nur deshalb Erfolg, weil EDV-Systeme nicht ausreichend geschützt sind. Fehlender oder nicht aktueller Virenschutz, fehlende oder schwache Passwörter, nicht aufgespielte Updates zum Schließen von Sicherheitslücken sowie eine fehlende Datensicherung machen es Cyberkriminellen oft leicht. Doch auch wenn die EDV vollständig aktuell und professionell abgesichert ist, lassen sich solche Angriffe leider nicht ausschließen. Denn viele dieser Angriffe beruhen auf dem Ausnutzen von Sicherheitslücken in Betriebssystemen oder anderer Software oder schlicht auf menschlichem Verhalten. Das Einschleusen einer Schadsoftware, z.B. durch Klicken auf einen Link in einer perfekt gefälschten E-Mail durch Mitarbeiter, lässt sich technisch nicht verhindern.

Abhilfe kann hier eine sog. Cyber(-crime) Versicherung verschaffen, welche mittlerweile von diversen Versicherern angeboten wird. Diese umfasst Schäden, die durch eine Verletzung der Informationssicherheit bzw. der Schutzziele Verfügbarkeit, Integrität oder Vertraulichkeit elektronischer Daten oder IT-Systeme im Unternehmen entstehen können. Eine solche Versicherung sollte unter anderem folgende Deckungsbausteine enthalten.

Im Bereich der Eigenschäden (Sach und Betriebsunterbrechung):

• Wiederherstellung von Daten, sowie
• Telefonkosten
• Betriebsunterbrechung/ Ertragsausfall
• Ggf. Cyberspionage, Vertrauensschaden

Im Bereich der Drittschäden (Haftpflicht):

• Schadenersatz aufgrund gesetzlicher Haftpflichtbestimmungen privatrechtlichen Inhalts
• Straf-Rechtschutz

Ebenfalls sollten folgende Services und Kosten im Deckungsschutz enthalten sein:

• Forensik/ Schadenfeststellung
• Benachrichtigungskosten (Datenschutz)
• Krisenkommunikation und PR-Maßnahmen

Dabei ist zwischen Eigenschäden im Sinne einer Sach- und Betriebsunterbrechungsversicherung und Drittschäden im Sinne einer Haftpflichtversicherung zu unterscheiden. Darüber hinaus bieten viele Produkte noch diverse Serviceleistungen und Kostenpositionen an. Da es sich insoweit jedoch nicht um Standardprodukte handelt und der Umfang des Versicherungsschutzes sich zwischen den Versicherern teilweise deutlich unterscheidet, sollte der individuelle Versicherungsbedarf stets im Rahmen einer entsprechenden Beratung sorgfältig bestimmt werden, um im Fall eines Falles keine böse Überraschung zu erleben.

PANTAENIUS Versicherungsmakler GmbH
Fachbereich Bau
Hamburg, Kiel, Düsseldorf, München
www.pantaenius.eu/bauwirtschaft

Gastbeitrag
Autoren:
RA Michael Kneip
Rechtsanwälte Kneip Löhr
RA Marcel Brockmann, PANTAENIUS