Aktuell verlagern sich die Risiken der Vertrauensschäden (Vermögensschäden, die von Betriebsangehörigen und anderen Vertrauenspersonen vorsätzlich verursacht werden) wie z.B. Betrug, Unterschlagung, Diebstahl, Untreue, Sachbeschädigung, Sabotage oder andere vorsätzliche unerlaubte Handlungen, die nach § 823 BGB zum Schadenersatz verpflichten, hin zur organisierten Cyberkriminalität, die rasant ansteigt.
Laut polizeilicher Kriminalstatistik entstehen im Bereich der Vertrauensschaden- Risiken jährlich mehr als 1 Millionen Schäden in Deutschland, dies entspricht 2.700 Vorfällen täglich und einer Gesamtschadensumme von über 4 Milliarden Euro im Jahr.
Laut einer Studie von McAfee beläuft sich der weltweit jährliche Schaden durch Cyberangriffe auf 445 Milliarden US-Dollar. Alleine 51 Milliarden fallen auf Deutschland laut dem Branchenverband BITKOM.
Die wenigsten mittelständischen Unternehmen kennen den Unterschied zwischen einer Vertrauensschadenversicherung (VSV) und einer Cyber- Versicherung. In einer immer schnelleren und sich verändernden Welt sollten Risiken wie „Cyber- und Vertrauensschäden“ und die dazugehörigen Risikotransfer- Lösungen zu einem festen Bestandteil im Risikomanagement für Unternehmen werden.
Amateure oder Profis?
Viele der Angreifer sind hochprofessionelle, gut organisierte Banden, die Unternehmen wochenlang ausspähen, um dann gezielt zuzuschlagen. Viele, gerade mittelständische Unternehmen, unterschätzen das Risiko, Opfer oder Ziel eines Angriffes zu werden. Dabei können Betrug, Unterschlagung, Untreue oder Cyber-Risiken existenzbedrohend für ein Unternehmen sein.
Die folgende Auflistung von Themen können sich gerade bei mittelständischen Unternehmen zu einem existenzbedrohenden Risiko entwickeln.
– Fake President (Betrug durch Täuschung mit falscher Identität)
– Fake Identity Fraud (Nutzen einer fremden Identität)
– Payment Diversion Fraud (Umleitung von Zahlungsströmen)
– Man in the cloud (Missbrauch von Cloud- Daten) oder
– Hackerrisiken durch Eingriffe von Dritten (Phishing, Spyware)
Der durchschnittliche Schaden im Bereich Cyberkriminalität kann schnell eine sechsstellige Summe erreichen. Oftmals ist genau diese Summe der Jahresüberschuss im Unternehmen und beeinträchtigt damit leider das Ergebnis für das ganze Jahr.
Prävention statt Reaktion
Das Gesamtpaket für eine Cyber-Versicherung  inklusive dem Eigenschadenbaustein und einer 24/7 Hotline erhalten kleinere mittelständische Unternehmen für einen Jahresbruttobeitrag ab 750 Euro. Wenn man bedenkt, dass ein IT- Berater heutzutage ca. 250 Euro die Stunde kostet (Tagessatz 2.000 Euro), muss man nicht lange überlegen, denn entstandene Kosten externer Berater sind in der Versicherung mitversichert und werden übernommen.
Notwendiger Eigenschutz
Unabhängig von der Risikotransfer-Lösung, sollte jedes Unternehmen ein funktionierendes Risikomanagement und Krisenmanagement aufbauen, installieren und jährlich auf den Prüfstand stellen. Das Risikomanagement sollte folgende drei Bereiche beinhalten:
– Identifizieren und Analysieren (Schnittstellen, Hard,- und Software und Betriebssysteme, mobile Endgeräte)
– Maßnahmen zur Vermeidung bzw. Minimierung (Sensibilisierung und Schulung der Mitarbeiter, ständige aktuelle Updates der Software etc.)
– Eigentragung und/oder Risikotransfer (achten Sie auf mögliche Überschneidungen, der Markt wächst rasant und es gibt momentan diverse unterschiedliche Risikotransfer-Möglichkeiten)
Sicherheit ist Chefsache
Das Thema sollte zur Chefsache erklärt werden! Die Verlagerung des Risikos auf einen angestellten Mitarbeiter reicht nicht aus und kann bei der Geschäftsführung zu weitreichenden haftungsrechtlichen Konsequenzen führen. Es sollte auch völlig unabhängig von der neuen Datenschutz-Grundverordnung (DSGVO), welche am 25. Mai 2018 in Kraft tritt, gesehen werden.
Schon einzelne Datenverluste können weitreichende Folgen haben. So kann schon ein einzelner verlorener Laptop massiven Schaden anrichten. So verlor ein Außendienst-Mitarbeiter eines mittelständischen produzierenden Unternehmens seinen unverschlüsselten Laptop in der Bahn. Auf diesem befanden sich sensible Kundendaten. Gemäß geltendem Datenschutzrecht müssen daraufhin alle betroffenen Kunden über den Verlust informiert werden.
Die Aufwendungen für Krisenmanagement, Rechtsberatung und Callcenter-Leistungen belaufen sich insgesamt auf 248.000 Euro.
Wertvolle Handlungsempfehlungen
Die Polizei veröffentlicht aufgrund der weiter bestehenden Gefahr u.a. zum „Fake President“ Risiko folgende Tipps für Firmen zur Prävention:
– Legen Sie klare Verhaltensregeln für Ihre Finanzabteilung und Buchhaltung fest, damit Sie nicht Opfer dieser neuen Betrugsmasche werden
– Sensibilisieren Sie Ihre Mitarbeiter auf die im Zusammenhang mit Ihrem Unternehmen wahrnehmbaren Informationen
– Kontrollieren Sie die Informationen, welche über Ihr Unternehmen öffentlich verbreitet werden
– Sensibilisieren sie ihre Mitarbeiter hinsichtlich des beschriebenen Betrugsphänomens
– Führen Sie klare Abwesenheitsregeln und Kontrollmechanismen ein
– Prüfen Sie die Präsentation der eigenen Firma und der Mitarbeiter im Internet
– Kontrollieren Sie Soziale Medien, ob dort zu viele Details veröffentlicht werden
– Prüfen Sie, ob Überweisungsbelege notwendig sind
– Verifizieren Sie Zahlungsaufforderungen beim Auftraggeber
– Nutzen Sie dazu einen zweiten Kommunikationskanal
– Lassen Sie sich nicht unter Druck setzen
– Identitätscheck mit dem Kommunikationspartner realisieren
– Unterrichten Sie die Mitarbeiter in der Telefonzentrale: Was wird an persönlichen Daten herausgegeben, was nicht
– Wenn es zum Vorfall kommt: Durch schnelle Information zunächst an Banken und dann sogleich an die Polizei kann versucht werden, die Überweisungen anzuhalten
– Das Bundesaufsichtsamt für das Finanzwesen (BaFin) erteilt keine Zahlungsaufträge
– Mitarbeiter sollten nach dem Vorfall betreut werden