Letztlich gehen Cyber-Kriminelle nicht anders vor als Einbrecher. Sie schlagen dort zu, wo es Lücken in der Sicherheit gibt und wo die Wahrscheinlichkeit eines Erfolgs am größten ist. Wie aber kann sich der mittelständische Unternehmer dagegen wehren? Wir haben bei den Versicherungsmaklern Harald und Peter Schwardt nachgefragt.

BLICKPUNKT JUWELIER: Bei Einbrechern sind Juweliere sehr beliebt, weil es vergleichsweise viel Wert auf kleinem Raum gibt. Sind Juweliere auch für Cyber-Kriminelle attraktiv?

Harald Schwardt: Juweliere sind nicht attraktiver für Cyber-Kriminelle als andere Betriebe. Als Marktteilnehmer sind sie im Grunde genommen genauso attraktiv wie jedes andere Unternehmen auch, denn auch Juwelierbetriebe digitalisieren ihre Prozesse. Sie arbeiten immer mehr mit Computersystemen und speichern Kunden- und Lieferantendaten wie Kundenadressen oder Kreditkartendaten. Wir sprechen hier also von sehr vertraulichen und persönlichen Daten. Geraten diese in die falschen Hände, kann das nicht nur dem Image eines Unternehmens immensen Schaden zufügen, sondern auch weitreichende rechtliche Konsequenzen haben. Damit werden Juweliere zu einem potentiellen Opfer für Cyber-Attacken.

Peter Schwardt: Das klassische Risiko des Juweliers ist der Einbruch oder Raub. Und genau dies ist auch die Gefahr, die Juweliere kennen und zu vermeiden versuchen. Mit dem Ziel, dieses Risiko zu minimieren, läuft man jedoch Gefahr andere Szenarien – und dazu gehört beispielsweise auch das einer Cyber-Attacke – auszublenden oder zu verharmlosen. Juweliere sind also nicht im Speziellen attraktiv für einen Hacker, sondern ihr Risikobewusstsein legt einen anderen Fokus, wodurch sich potenzielle Schwachstellen ergeben können.

BJ: Ist es sinnvoll und praktikabel, alle sensiblen Daten auf einem Offline-Rechner zu haben?

Peter Schwardt: Ein Offline-Rechner hat natürlich den Vorteil, dass er nicht direkt attackiert werden kann, da er keine direkte Verbindung zum Internet hat. Er könnte lediglich über das vor Ort genutzte Netzwerk oder Datenträger mit Schadsoftware infiziert werden. Der Nachteil ist jedoch, dass die Daten standortgebunden gespeichert werden und somit nur vor Ort abgerufen werden können. Hinzu kommt ein recht hoher Aufwand mit Blick auf Sicherheits-Updates und Datensicherungen, die regelmäßig gemacht werden müssen und wozu in der Regel auch eine Internetverbindung nötig ist.

Ein Offline-Rechner, der völlig getrennt vom Internet arbeitet, ist in der Praxis kaum zu finden. Die meisten Server sind an ein Netzwerk angeschlossen und synchronisieren sich wie schon gesagt über eine Internetverbindung. Durch diese Verbindung wird der Server natürlich wieder angreifbar für eine Cyber-Attacke.

Beide Varianten der Datenspeicherung haben also ihre Vor- und Nachteile, die ein Unternehmen individuell abwägen sollte.

BJ: Cyber-Angriffe auf kleine und mittlere Unternehmen nehmen zu. Warum?

Peter Schwardt: Auch hier kann man nicht pauschal sagen, dass kleine und mittlere Unternehmen zwangsläufig attraktiver für Cyber-Kriminelle sind. Kleine und mittelständige Unternehmen haben andere Voraussetzungen. Allein aufgrund ihrer Betriebsgröße findet sich hier oftmals keine eigene IT-Abteilung, im besten Fall gibt es einen IT-Spezialisten, der die Dateninfrastruktur überwacht und steuert. Leider fehlt es aber in kleineren Unternehmen nicht nur an Know-how, sondern auch an Zeit und Arbeitskraft. Ressourcen werden anders verteilt, sodass die IT oftmals Lücken in der Sicherheit aufweist.

BJ: Die Recherche-Methoden und Vorgehensweisen bei Juwelier-Einbrechern sind größtenteils bekannt, was weiß man über die Arbeitsweise von Cyber-Kriminellen?

Harald Schwardt: Wie geht der klassische Einbrecher vor? Er beobachtet, späht aus, sammelt Informationen und schlägt zu, und zwar dort, wo die Wahrscheinlichkeit eines Erfolgs am größten ist. Im Allgemeinen trifft es also den Juwelier, der Lücken in seiner Sicherung hat. Im Grunde genommen geht es doch immer um eins: Sicherheitslücken finden, um darüber an Wertvolles zu gelangen. Ein Cyber-Krimineller tickt da nicht anders, nur, dass dieser aufgrund seiner „Arbeitsweise“ andere Möglichkeiten hat. Über digitale Algorithmen läuft die Recherche praktisch automatisch ab, und das Programm schlägt an, sobald es eine Sicherheitslücke findet. Hacker scannen das gesamte Netz nach dem „Gießkannenprinzip“ ab, ohne ein bestimmtes Opfer im Blick zu haben.

Peter Schwardt: Besonders erschwerend kommt dabei noch hinzu, dass hinter solchen Hacker-Angriffen meist riesige Netzwerke sitzen, Hacker kommunizieren über Nicknamen im Netz und verständigen sich so über eine gefundene Sicherheitslücke, die dann im Kollektiv angegriffen werden kann. Ein Angriff wird also heutzutage nur noch selten von einem Hacker allein ausgelöst, was es gleichzeitig so schwierig macht die Täter zu finden.

BJ: Wie gehen Sie vor, wenn Sie von einem Juwelier einen Auftrag zu einer Cyber-Versicherung bekommen?

Harald Schwardt: Wie bei allen Versicherungen lautet auch hier die Devise: Risiken erfassen, Produkt finden, Produkt anpassen. Eine Cyber-Versicherung fängt zwar sehr abstrakte Risiken ab, ist jedoch in der Tarifierung nicht abstrakter als eine Juwelierwarenversicherung. Gemeinsam mit Spezialversicherern dieser Sparte haben wir einen Risikofragebogen erstellt, mit dem wir eine erste Quotierung erstellen können. Hierbei geht es letztlich darum den Status quo der IT-Sicherheit zu ermitteln und daraufhin das passende Produkt auszuwählen. Die Bausteine einer Cyber-Deckung können dabei sehr individuell und umfassend gewählt werden. Finanzielle Einbuße durch Betriebsunterbrechung, Schadenersatzleistungen an Dritte und der Ersatz von Erpressungsforderungen sind da nur einige Beispiele. In letzterem Fall spielt es dann auch keine Rolle, ob die Forderung monetärer oder materieller Art, also beispielsweise in Form von Waren, ist.

BJ: Wie viel zeitlichen und finanziellen Aufwand muss man für einen „Basisschutz“ einrechnen?

Harald Schwardt: Der größte zeitliche Aufwand besteht darin, den zweiseitigen Risikofragebogen auszufüllen. Hierbei gehört es natürlich zu unserem Service, den Kunden bestmöglich zu unterstützen. Die Prämien errechnen sich in Abhängigkeit zur Branche durch kleine Promille-Sätze gemessen am Jahresumsatz des Unternehmens. So ist eine Absicherung bei kleinen Umsätzen von 1 bis 1,5 Mio. Euro bereits ab einer Jahresprämie von 300 bis 400 EUR möglich. Bei höheren Umsätzen von beispielsweise 7 Mio. Euro liegt die Prämie bei rund 2.000 Euro im Jahr.

BJ: Ist die Cyber-Sicherheit beim Juwelier immer Chefsache?

Peter Schwardt: Juwelierbetriebe gehören eher zu den kleinen und mittleren Unternehmen. Meist arbeiten hier weniger als zehn Mitarbeiter und das Hand in Hand, Dienstwege sind kurz und die Hierarchie ist flach. Da bleiben naturgemäß viele Dinge „Chefsache“. Auch dem Umstand geschuldet, dass solche Betriebe meist über keine eigene IT-Abteilung verfügen, ist das ein Thema, das beim Geschäftsführer liegt.

Die IT-Sicherheit als solches ist aber alles andere als nur „Chefsache“, hier ist es an jedem Einzelnen gelegen, Vorsicht im Umgang mit Daten zu üben. Eine Cyber-Versicherung setzt bereits hier an und bietet Mitarbeitertrainings für eine „digitale Datenkompetenz“ an.