Schadensbeispiele Cyberrisk Versicherung

Allgemeine Situation im Unternehmen
Ohne Computer kann heute kein Unternehmen mehr arbeiten. Vielen Anwendern ist dabei das steigende Risiko durch Cyberattacken nicht bewusst Kaum jemand denkt über eine entsprechende Absicherung nach.

In Deutschland entstanden im Jahr 2016 rund  56 Milliarden Euro Schäden durch Cybercrime und das  innerhalb eines Jahres. Laut derselben Studie sind zwei Drittel der deutschen Unternehmen bereits einmal Opfer eines Cyberangriffs geworden.

Wie finden diese Angriffe statt? 84 Prozent der befragten Unternehmen (Befragung aus 2016) gaben an, dass in ihrem Unternehmen Cybercrime in Form von Phishing* stattgefunden hat. Die Zahl der Unternehmen, die einen Cyberangriff verheimlichen oder gar nicht bemerkt haben, ist sicher weitaus höher.

Freie Berufe
In Deutschland gibt es insgesamt rund 1,3 Millionen Personen, die in den Freien Berufen tätig sind. Davon entfallen rund 245.000 Personen auf Ärzte und Heilnebenberufe, rund 320.000 auf die rechtsberatenden Berufe und rund 250.000 auf Architekten und Ingenieure.

Wie einfach kann etwas passieren?
Beispiel: versierter Rechtsanwalt, der genau den § 43a der BRAO befolgt (Verpflichtung zur Verschwiegenheit), der stets § 1 des Bundesdatenschutzgesetzes berücksichtigt (Schutz des Einzelnen vor Beeinträchtigung beim Umgang mit personenbezogenen Daten) und der immer die automatischen Updates für sein Betriebssystem Windows XP aktiviert hatte.

Alles safe? Leider nicht!
Am 08.04.2014 meldete Windows, dass der Support für das (auch heute noch häufig verwendete) PC-Betriebssystem Windows XP eingestellt wird. Folglich gibt es seither auch keine Sicherheits-Updates mehr, die das Betriebssystem auf die Cyberattacken
des Jahres 2017 vorbereiten. Die jeweils aktuelle Virensoftware allein nutzt nichts, wenn das System an sich Schwachstellen hat.
Freiberufler sind gegenüber anderen Unternehmern in besonderem Maße haftbar!

Jeder Freiberufler ist durch das Bundesdatenschutzgesetz (§ 9 BDSG) verpflichtet, alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um Patienten-, Mandanten- oder Kundendaten zu schützen.
Besteht der Verdacht, dass diese Sorgfaltspflicht nicht gewahrt wurde, sehen sich Ärzte und Angehörige der rechtsberatenden  Berufe mit einem Strafverfahren nach § 203 „Verletzung von Privatgeheimnissen“ konfrontiert.

Ein Cyberangriff ist schnell passiert
• Der Fernwartungs-Port eines Routers ist offen und ermöglicht das Abfangen
aller Daten, die über ihn gehen.
• Eine Telefonanlage ist nur mit dem Werkskennwort geschützt, Hacker nutzen
diese Lücke, um über Monate Ferngespräche nach Fernost zu führen.
• Ein Trojaner* öffnet einen Zugang und zieht alle Kunden-, Mandantenoder
Patientendaten ab.
• Durch einen DoS*-Angriff werden alle geschäftsrelevanten Daten verschlüsselt.
• Ein Botnetz* legt über Tage jeden elektronischen Datenaustausch lahm.

Hier die Antworten einer Untersuchung: „Welche konkreten Cybercrime-Vorfälle fanden in Ihrem Unternehmen statt?“

  • Viren, Würmer, Trojaner 98%
  • Malware 95%
  • Phishing 84%
  • Denial-of-Service-Angriffe 68%
  • Webbasierte Angriffe 64%
  • Gestohlene Geräte 48%
  • Schadcode 43%
  • Datenklau durch eigene Mitarbeiter 39%
  • Botnets

Quelle: Statista 2016

Schadensbeispiele Cyberriskversicherung

Schadenbeispiel - Ärzte

Schadenbeispiel: Ärzte

Die Mitarbeiterin einer Arztpraxis öffnet einen Mailanhang. Der damit aktivierte Trojaner löscht alle Patientendaten der Praxis.
Die Wiederherstellung der Software und der Patientendaten nimmt mehrere Tage in Anspruch, in denen die Praxis geschlossen bleiben muss.
Die Cyberriskversicherung übernimmt die Kosten für die Wiederherstellung der Daten, die Neuinstallation der Software sowie für forensische Dienstleistungen.
Schadenhöhe: 115.000 Euro

Schadenbild Ärzte

• Patientenakten lassen sich nicht aufrufen.
• Terminkalender für Patienten zeigt keine Einträge, da dieser auf die Patienten- Datenbank zurückgreift.
• Massiver zeitlicher Aufwand, alle Patienten anzurufen, die vermutlich in den Tagen der Beeinträchtigung bestellt waren.

Schadenbeispiel - Ingenieur

Schadenbeispiel: Ingenieur

Ein Ingenieurbüro wundert sich über horrende Telefonrechnungen. Ein Einzelverbindungsnachweis zeigt viele Telefonate nach Fernost, die aber nicht aus dem Unternehmen getätigt wurden.
Die eingeleitete forensische Untersuchung offenbart eine Schwachstelle in der Telefonanlage, über die Hacker wochenlang auf Kosten des Ingenieurbüros telefoniert hatten.
Die Cyberriskversicherung übernimmt die Kosten für die Untersuchung und leistet Schadenersatz.
Schadenhöhe: 44.500 Euro

Schadenbild Ingenieur

• Ungewöhnlich hohe Telefonrechnung fällt bei der kaufmännischen Verbuchung der Kosten erst nach drei Monaten auf.
• Der Einzelgesprächsnachweis belegt Gespräche in Länder und Regionen in Asien, zu denen das Ingenieurbüro keine Vertragsbeziehungen unterhält.

Schadenbeispiel - Steuerberater

Schadenbeispiel: Steuerberater

Eine Steuerberatungskanzlei wird Opfer eines Hackerangriffs, wodurch personenbezogene Daten gestohlen werden. Es besteht die Pflicht, die Behörden und die betroffenen Personen über den Angriff zu informieren. In der Folge entstehen Kosten für Forensische Dienstleistungen und die Wiederherstellung von Daten.
Schadenhöhe: 59.500 Euro

Schadenbild Steuerberater

• Kundendatenbank meldet Fehler beim Aufruf.
• Automatische Buchungsläufe werden unterbrochen, weil berechnungsrelevante
Daten fehlen.
• Unterlagen für Sozialversicherungsträger, Krankenkassen und Berufsgenossenschaften weisen inhaltliche Lücken auf.
• Sichtung aller Unterlagen bei sonst automatisierten Prozessen mit hohem zeitlichen Mehraufwand erforderlich.

Schadenbeispiel - Hochregallager mit Virus infiziert

Schadenbeispiel: Hochregallager mit Virus infiziert

Durch einen Virus wird die Datenbank eines Hochregallagers beeinträchtigt.
Ein störungsfreier Arbeitsablauf ist nicht mehr gewährleistet.
Schadenhöhe: 695.000 Euro

Schadenbild Hochregallager mit Virus infiziert

• Das Antivirusprogramm hat einen neuen Virus identifiziert und gemeldet.
• Entsprechende Sicherheitspatches wurden dem Unternehmen bereits zur Verfügung gestellt.
• Diese wurden im üblichen Prozedere auf Kompatibilität geprüft.
• In der Zwischenzeit wurden Server bereits infiziert.
• Die Ortung der eingelagerten Waren war nicht mehr möglich.

Schadenbeispiel - Denial of Service im E-Commerce

Schadenbeispiel: Denial of Service im E-Commerce

Ein Online-Shop wurde Opfer einer Denial-of-Service-Attacke.
Der Online-Shop war 23 Stunden für Kunden nicht verfügbar.
Schadenhöhe: 185.000 Euro

Schadenbild Denial of Service im E-Commerce

• Plötzlicher Anstieg des eingehenden Datenflusses
• Allmähliche Überlastung führt zur Nichtverfügbarkeit der Website.
• Eingehender Datenfluss wird mithilfe des Internetanbieters analysiert und gefiltert, um böswillige Datenbewegungen von der normalen Geschäftsaktivität abzugrenzen.