Cyber­crime ist ein wichtiges Thema für Unter­nehmen, und das nicht erst, seit der Branchen­verband Bitkom jedes Jahr den geschätzten Schaden durch Cyber­an­griffe öffentlich macht – aktuell jährlich 206 Milli­arden Euro, davon allein 72 % durch reine Cyber­at­tacken. Zum Größen­ver­gleich: Das deutsche BIP lag 2023 bei 4.122,2 Milli­arden Euro. Oder noch anders ausge­drückt: Wäre dieser Schaden eine Branche, wäre sie die sechst­größte in Deutschland.

  1. Automo­bil­in­dustrie – 506,15 Milli­arden Euro
  2. Chemisch-pharma­zeu­tische Industrie – 261,2 Milli­arden Euro.
  3. Maschi­nenbau – 244 Milli­arden Euro.
  4. Elektro­technik­branche – 225 Milli­arden Euro.
  5. Ernäh­rungs­in­dustrie – 219 Milli­arden Euro. 

Dennoch wird dem Thema in Gesprächen zwischen Finanz­be­ratern und Familien­unternehmen bislang wenig Aufmerk­samkeit geschenkt. Warum das so ist und wie Sie als Finanz­dienst­leister das Thema bei diesen wichtigen Kunden forcieren können, erfahren Sie heute in diesem Artikel.

Die Cyber­crime-Sachlage

Im deutsch­spra­chigen Raum gibt es aktuell vier Arten, wie Unter­nehmer auf das Thema Cyber­crime blicken:

  1. Kein Gespür für Cyber­si­cherheit und die eigene Angreifbarkeit 
  2. Wichtig, aber niedrige Priorität, weil andere Schwer­punkte im Tagesgeschäft 
  3. Erkenntnis und Wille vorhanden, aber es fehlt das interne Personal in Quantität und Qualität
  4. Schutz gegen Cyber­crime bereits umgesetzt 

Bei Unter­nehmern der ersten drei Arten merkt man immer wieder, dass es meist bei Absichts­be­kun­dungen bleibt, wenn man als Finanz­be­rater das Thema anspricht. Vonseiten der Finanz­dienst­leister wird das Thema nämlich durchaus angesprochen, meist im Rahmen der Jahres- und Strate­gie­ge­spräche. Und auch an Unter­neh­mer­ver­an­stal­tungen zu diesem Thema geizt die Finanz­in­dustrie bei weitem nicht. Vorträge jeglicher Couleur inkl. Live-Hacker­an­griffe etc. wurden und werden von nahezu jedem Institut, jeder IHK und jedem Branchen­verband angeboten. Doch aus den oben genannten Gründen kommt es oft nicht zur Umsetzung.

Um zu verstehen, wie wichtig das Thema ist, reicht es bereits, mal den Telekom Sicher­heits­tacho zu verfolgen. Hier werden verwundbare Lockvogel-Systeme an das Internet angeschlossen, um in Echtzeit Cyber­an­griffe gegen diese vermeintlich lukra­tiven Ziele nachzuvollziehen.

Die EU hat bereits mit neuen Richt­linien wie NIS‑2 auf das gestiegene Cyber­si­cher­heits-Risiko reagiert und es gibt klare Vorschriften, die festlegen, inwieweit bei angriffs­be­dingten Schäden auf schlecht geschützte Systeme eine Geschäfts­füh­rer­haftung besteht.

Gerade in mittel­stän­di­schen Betrieben hält sich hartnäckig die Annahme, dass Cyber­si­cherheit nur ein Thema für Großun­ter­nehmen ist. Ein Trugschluss, selbst wenn wir die gehäuften Schäden durch Ransomware-Angriffe in den letzten Jahren ignorieren. Denn auch die „Kleinen“ sind oft mit den „Großen“ eng verwoben. Als Zulie­fe­rer­be­trieb bekommt man zum Beispiel geheime Produk­ti­ons­de­tails von seinen Kunden – also kann man im Gegenzug zu Cyber­si­cher­heits-Maßnahmen verpflichtet werden. Ähnlich haben wir es beim Thema ESG und Nachhal­tigkeit gesehen.

Was kann geleistet werden?

Wie bei ESG und Nachhal­tigkeit sieht man als Außen­ste­hender auch oft nicht das ganze Bild von der Situation der Unter­nehmer. Da wird dann davon ausge­gangen, dass eine Firma nur wollen muss, um sich abzusi­chern. Dass aber nicht jeder Betrieb jederzeit Top-IT-Fachkräfte finden bzw. jeden Preis für externe Dienst­leister zahlen kann – das verstehen die Wenigsten.

Ich sehe oft, dass sich Geschäftsführer/Unternehmer mit ihren kaufmän­ni­schen Leitern, IT-Chefs und Firmen­kun­den­be­ratern, häufig flankiert durch richtig gute Versi­che­rungs­kol­legen „vom Fach“, zusam­men­setzen, um das Thema durch­zu­dis­ku­tieren. Aber wirklich in die Tiefe können sie alle nicht gehen, weil keiner von ihnen ein ausge­wie­sener Sicher­heits­experte ist. Als Finanz­be­rater kann man in letzter Instanz oft doch nur eine Cyber­ver­si­cherung anbieten, für die der Kunde jedoch bei genauer Prüfung gar nicht quali­fi­ziert ist, weil diese bereits zum Schutz des Versi­cherers eine gewisse IT-Sicherheit voraus­setzt. Doch um diese Sicher­heits­vor­keh­rungen in die Wege zu leiten, benötigt es wiederum fachkundige Experten, die Angriffs­vek­toren identi­fi­zieren und ganzheit­liche Sicher­heits­lö­sungen ausar­beiten. Und zu den Angriffs­vek­toren zählen nicht nur Phishing-E-Mails, sondern auch Zukunfts-Risiken – zum Beispiel täuschend echte Deep-Fake-Video­anrufe, wie sie vor kurzem einem Unter­nehmen in Hong Kong zum Verhängnis wurden.

Wir müssen aber gar nicht ins so weit entfernte Hong Kong schauen. Erst neulich berichtete mir ein Experte aus der IT-Cyber-Security-Branche, dass bei einem fingierten Angriff in einem Familien­unternehmen 46 von 50 Mitar­beiter des Unter­nehmens nicht nur die täuschend echte, perfekt formu­lierte E‑Mail geöffnet haben, sondern ein großer Teil dann auch noch routi­niert Login­daten einge­geben hat. Eben weil alles so „richtig“ und „echt“ aussah. Folge: Der – in diesem Fall fingierte – Angreifer hatte innerhalb von Minuten Zugang zum gesamten Unter­nehmen inkl. Geheim­in­for­ma­tionen. Und auch die Möglichkeit, alles komplett „abzuschließen“. 

Ein anderer Cyber-Experte berichtete mir, dass allen Mitar­beitern einer Firma eine „ganz ganz tolle App“ angepriesen wurde, mit der man aus seinem Selfie ein eigenes Emoji machen kann. Es kam, wie es kommen musste. Zahlreiche Personen haben ohne zu zögern die App herun­ter­ge­laden. Ohne zu hinter­fragen, warum eine Bildge­ne­rator-App Zugriff auf Kontakte, Dateien, Musik etc. haben möchte (schauen Sie dazu gerne auch mal in unseren Artikel zu Temu).

Gehen wir mal davon aus, dass entspre­chendes Fachper­sonal gefunden werden konnte und eine Versi­cherung umsetzbar ist. Dann ist es im Weiteren wichtig, zu wissen, dass sich die Versi­che­rungs­be­din­gungen oft nur auf den Lösegeld­betrag beziehen. Verlangt eine Ransomware-Gruppe also 10.000 Euro in Krypto­währung, dann zahlt die Versi­cherung diese 10.000 Euro. Doch was, wenn die Firma aufgrund des Angriffs wochenlang komplett von ihren Systemen abgeschnitten ist? Was, wenn hochsen­sible Daten entwendet wurden wie es zum Beispiel bei Motel One vor kurzem geschehen ist? Was, wenn keine Backups zur Wieder­her­stellung der Systeme bereit­stehen? Was, wenn Liefer­fristen nicht einge­halten werden konnten (wodurch enorme Straf­zah­lungen entstehen), wenn E‑Mail-Konten gesperrt und Telefon­nummern abgeschaltet wurden etc.? Viele Versi­che­rungen springen für diese kaum voraus­seh­baren kaska­die­renden Kosten gar nicht ein. Wie leicht das zur Insolvenz führen kann, ist nach meiner Einschätzung noch nicht tief im Bewusstsein vieler Unter­nehmer verankert – und auch nicht in den Kredit­pro­zessen der Banken. Oder rechnen Sie, liebe Leserinnen und Leser aus den Bereichen Vorstand, Banksteuerung, Risiko­ma­nagement und Markt­folge-Aktiv (Kredit­ab­teilung) automa­tisch mit entspre­chenden Kredit­aus­fällen, wenn die Kunden-Systeme nicht ausrei­chend geschützt sind? Was passiert dann eigentlich, wenn ein Unter­nehmen durch so einen Angriff zahlungs­un­fähig wird und Sie einen Kredit­ausfall, sagen wir mal in Höhe von 5 Mio. Euro zu verzeichnen haben und abschreiben müssten? Wie würde die BaFin in so einem Fall mit Ihnen disku­tieren, wenn sich z.B. heraus­stellt, dass in den Kredit­be­din­gungen so eine Absicherung nicht verankert wurde?

Der Aufwand für den Unternehmer

Stellen Sie sich vor, Ihr Kunde befindet sich inmitten eines groß angelegten Wertschöp­fungs­pro­zesses. Dann bekommt er als Zulie­ferer von seinen Kunden Vorgaben gemacht, welche Maßnahmen er in den Bereichen ESG und Nachhal­tigkeit durch­zu­führen hat. Diese Anfor­de­rungen treffen womöglich auf eine IT-Infra­struktur, die gar nicht in der Lage ist, sie logis­tisch zu erfassen. Also muss eine komplett neue IT-Infra­struktur aufgebaut werden, um ESG- und Nachhal­tig­keits­software zu instal­lieren. Dadurch enthält das gesamte System wiederum noch mehr sensible Daten über Abläufe, Liefer­ketten, Misch­ver­hält­nisse, Waren­einsatz etc. – und wird immer inter­es­santer als Ziel für Cyber­kri­mi­nelle. Also fordert der Kunde wiederum ein, dass der Zulie­ferer nun ein gewisses Level an Cyber­si­cherheit vorweisen muss… Diese Vorgabe wird mit Sicherheit weit über das Maß einer Absicherung gegen Massen­spams hinaus­gehen. Denn dann geht es um gezielte Spionage, Sabotage und Erpressung.

Und jetzt stellen Sie sich vor, all diese Komple­xi­täten treffen auf ein Unter­nehmen mit 50 Mitar­beitern. Ein Unter­nehmen, in dem vielleicht nur eine einzige Person für die IT verant­wortlich ist – und das auch nur, weil sie unter allen Mitar­beitern noch am wenigsten ahnungslos ist, wenn es um Detail­fragen der Infor­matik geht. Oder böse ausge­drückt: Die Person bekommt schon Herzrasen, wenn es wieder ein Software­update gibt und es nicht sofort funktioniert.

Was bedeutet das für Finanzdienstleister?

Die gestei­gerte Notwen­digkeit von Cyber­si­cherheit kann Ihrem Institut zusätz­liche Erträge versprechen – durch Kredite oder Versi­che­rungen. Aller­dings erfordert sie auch, dass Sie Ihre Kredit­enga­ge­ments überprüfen. Denn gehen Ihre Kredit­nehmer aufgrund eines Cyber­an­griffs insolvent, dann bleiben Sie hinterher auf Ihrem Kredit­enga­gement sitzen, wie oben skizziert.

Ich rate Ihnen, sowohl im Interesse Ihrer Unter­neh­mer­kunden als auch in Ihrem eigenen Interesse, Ihre Unter­neh­mer­kunden über die Risiken eines Cyber­an­griffs zu infor­mieren. Da viele Unter­nehmer erfah­rungs­gemäß diese Infor­ma­tionen aufnehmen, aber dann nicht handeln, kann es sinnvoll sein, hier Dienst­leister einzu­schalten, die zum Beispiel (mit Einver­ständnis!) Angriffs­punkte beim Unter­nehmen suchen. Viele Dienst­leister, die diesen Service anbieten, bieten dann auch Schulungen an („Nicht auf Links in E‑Mails klicken“), nehmen Sicher­heits­up­dates für den Kunden vor oder überwachen die IT des Unter­nehmens sogar durch­gehend. Lassen Sie Ihre Unter­neh­mer­kunden nicht mit der Erkenntnis allein, sondern bieten Sie gleich Lösungen mit an, die über eine Versi­cherung hinaus­gehen, sodass die eigent­lichen Auslöser und nicht nur die Symptome bekämpft werden können!

Kontakt

Dirk Wiebusch
info@ifuf.de

Keine neuen Artikel mehr verpassen und jetzt kostenfrei das Versteher-Magazin abonnieren!

Kostenfrei abonnieren
Teilen Sie dies mit Ihrem Netzwerk:
Xing
LinkedIn
Follow by Email
RSS
Facebook
Twitter
Google+