Im Lockdown: Unternehmer dürfen Cyber-Risiken nicht unterschätzen

Homeoffice und Smart Working:
Südtirols Unternehmen dürfen jetzt Cyber-Risiken nicht unterschätzen.

Lockdown und kein Ende? Die Krise wird ein Ende haben, daran gibt es gar keinen Zweifel. Dennoch sind die Folgen der Corona-Krise in allen Lebensbereichen deutlich zu spüren und sie werden es auch noch lange sein. So hat der durch die Corona-Krise ausgelöste Digitalisierungsschub bereits Auswirkungen auf die Arbeitswelt. Dem Homeoffice sei Dank, konnten viele Unternehmen in Südtirol so auch während der Coronavirus-Pandemie ihre Tätigkeit weiterführen. Auf gesetzlicher Ebene möglich machte dies die mit dem Gesetz Nr. 81 bereits 2017 erfolgte Aufnahme des sogenannten Smart Workings als neues Arbeitsmodell in das italienische Arbeitsrecht. Die Smart Worker im Homeoffice sind nicht an einen Arbeitsort und an Arbeitszeit gebunden, müssen aber die täglichen und wöchentlichen Ruhezeiten einhalten. In Zusammenhang mit der Coronavirus-Pandemie hat der Gesetzgeber das bereits bestehende Gesetz für den Zeitraum der Krise und zur leichteren Umsetzung des Smart Workings vereinfacht. So etwa wurde das verpflichtende schriftliche Abkommen zwischen Arbeitgeber und Arbeitnehmer abgeschafft, die telematische Meldung vereinfacht und die Informationspflicht im Sinne der Arbeitssicherheit auf telematischem Wege ermöglicht. Zudem dürfen Mitarbeiter/innen, die im Smart Working tätig sind, nicht schlechter gestellt werden, als ihre Kolleg/innen, die im Betrieb arbeiten. Dies bezieht sich vor allem auf die Entlohnung, aber auch auf alle anderen kollektivvertraglichen Regelungen.

Herausforderungen und neue Risiken für Südtiroler Unternehmer

Die verstärkte Umstellung auf Mitarbeiter/innen im Homeoffice, jedenfalls dort wo es geht und machbar ist, stellt für die Südtiroler Unternehmen natürlich auch eine Herausforderung dar. Dies nicht nur in organisatorischer Hinsicht. Insbesondere sollte für die Unternehmensleitung gerade das Thema Datensicherung und Datenschutz im Homeoffice eine prioritäre Rolle spielen. Dies auch deswegen, da Cyber-Kriminelle gerade durch den coronakrisenbedingten Digitalisierungsschub Hochkonjunktur haben und die erforderliche Cybersecurity angesichts möglichst schneller und pragmatischer Lösungen in den vergangenen Monaten oft auf der Strecke blieb. Cyber-Kriminelle haben sich darauf spezialisiert, über mit Viren oder Trojanern infizierte Mails an Unternehmen persönliche und geschäftsrelevante Daten von ihren Opfern abzufischen.

Tatsache ist, als Unternehmer ist es unerlässlich, seine digitalen Daten und Software vor Cyber-Kriminalität zu schützen. Kriminellen gelingt es leider immer wieder, Sicherheitslücken auszunutzen und in IT-Systeme von Unternehmen einzudringen. Die digitalen Einbrecher verschaffen sich unautorisierten Zugriff zu vertraulichen Daten, verschlüsseln, zerstören oder stehlen diese, installieren Schadsoftware oder blockieren den Zugriff zum IT-System. Aufgrund von Datenschutz- oder Persönlichkeitsverletzungen können sich für Unternehmen teure Schadensersatzforderungen ergeben.

Wie gelangen Cyber-Kriminelle an Ihre Daten?

Viele Prozesse in Ihrem Unternehmen sind automatisiert oder haben Schnittstellen zur digitalen Welt. Mit der Auslagerung von Arbeitsplätzen durch Homeoffice und der verstärkten Umsetzung von Smart Working ist Ihr Computersystem einem noch höheren Risiko ausgesetzt, als bei geschlossenen Systemen und Netzwerken innerhalb des Betriebes. Cyber-Kriminelle haben sich darauf spezialisiert, sich in Ihr Computersystem einzuhacken und den Zugang zu den Computern Ihres Unternehmens zu verschlüsseln. Ein versehentlicher Klick auf einen infizierten E-Mail-Anhang reicht in der Regel aus, damit sich Kriminelle Zugang zu Ihrem Computersystem verschaffen. Abseits der Verschlüsselung Ihres eigenen Zuganges, können Hacker, nachdem sie sich Zugang zu Ihrem Computersystem verschafft haben, natürlich die Daten und Geschäftsgeheimnisse von Ihnen und von Ihren Mitarbeiter/innen einsehen und verändern.

Die Cyber-Risk-Versicherung bietet Schutz

Die Cyber-Versicherung federt umfassend Cyber-Eigenschäden, Cyber-Fremdschäden und eine Betriebsunterbrechung aufgrund von Cyber-Schäden ab. Sie ist eine mittlerweile für Unternehmen jeder Art notwendige und unumgängliche Versicherung. Keinesfalls werden nur mehr Großkonzerne von der zunehmenden Cyberkriminalität heimgesucht. Immer mehr kleinere und mittelständische Firmen in Südtirol melden Angriffe auf ihre Daten & Netzwerke.

Besonders betroffen in Südtirol ist dabei auch das Gastgewerbe. Hintergrund dafür ist, dass gerade Hotels und Gastbetriebe über zahlreiche Daten ihrer Gäste, von Kreditkartendaten bis hin zu ganz persönlichen Informationen verfügen. Selbst vor vertraulichen und geheimen Informationen von Laptops und Handys schrecken die Daten-Diebe nicht zurück. Neue Technologien wie Smart-TVs oder digitale Zimmerschlüssel spielen den Hackern dabei in die Karten. Hotels und Gastbetriebe sind ideale Orte, um Personen zu orten, deren Bewegungen und Kommunikationsverhalten zu analysieren oder auch Trojaner und andere Malware auf die persönlichen Geräte der Hotelgäste zu pflanzen. Sind die Daten von den Cyber-Kriminellen einmal abgefischt, folgt in der Regel eine Erpressung der Hacker. Gegen Zahlung eines Lösegeldes wird den betroffenen Unternehmern die Rückerstattung der gestohlenen Daten aus ihren Rechnern zugesichert.

Abseits der Cyber-Kriminalität gibt es jedoch auch weitere Risiken, die mit der Datenverarbeitung und der Nutzung von IT-Systemen verbunden sind. Risiken im Cyber-Bereich müssen nicht zwingend krimineller Natur sein. Häufig genügt ein Moment der Unachtsamkeit und schon geraten heikle Daten unbeabsichtigt in falsche Hände oder gehen verloren. Oder eine kurzzeitige Stromunterbrechung bzw. eine Spannungsschwankung führt zu einem Verlust von Daten.

Nachstehend eine Übersicht der bestehenden Cyber-Risiken, welche in Unternehmen zu Schäden führen kann:

• interne Sabotage ausgehend von eigenen Mitarbeitenden
• Ausnutzung technischer System- oder Sicherheitsschwächen
• absichtliche oder unabsichtliche Installation und Ausführung von Schadsoftware
• unautorisiert eingesetzte Hardware
• Verwendung von gestohlenen Zugriffsinformationen
• DoS-Attacken
• fahrlässige Bedienung durch eigene Mitarbeitende
• kurzzeitige Störungen

Wie kann sich insbesondere der Unternehmer vor diesen Gefahren schützen?

1. In erster Linie: Seien Sie generell wachsam und öffnen Sie niemals Anhänge von unbekannten Verfassern! Seien Sie selbst bei bekannten Absendern vorsichtig, denn auch deren PC könnte gehackt worden sein.
2. Vermeiden Sie, dass unbekannte Absender eine Empfangs- oder Lesebestätigung z.B. durch automatische Abwesenheitsbenachrichtigungen bekommen.
3. Schützen Sie Ihre primäre E-Mail-Adresse, die z.B. mit Onlinebanking-Diensten, Bewerbungen oder geschäftlicher Kommunikation verknüpft ist und nutzen Sie für alles weitere eine Zweit- oder Dritt-Adresse.
4. Halten Sie stets die Virenscan-Programme auf aktuellem Stand!
5. Setzen Sie einen Spamfilter in Kombination mit Phishing- und Virenschutz ein.
6. Absenderadressen lassen sich leicht manipulieren, achten Sie darauf, ob der Empfänger mit der E-Mail-Adresse übereinstimmt.
7. Deaktivieren Sie den Empfang von HTML-E-Mails in Ihrem Email-Programm. So wird vermieden, dass z.B. Cookies nachgeladen werden.
8. Erstellen Sie regelmäßig Backups von sämtlichen Daten! Trennen Sie Backup-Festplatten vom Netz!
9. Instruieren Sie kontinuierlich Ihre Mitarbeiter/innen über die Gefahren von unbekannten Mails und aus dem Internet!
10. Bezahlen Sie unter keinen Umständen Lösegeldforderungen, sondern schalten Sie immer die Postpolizei ein!

Erschwerend kommt jedoch hinzu: Cyber-Risiken verändern sich ständig, ähnlich wie Grippe-Viren. Auch sehr gute organisatorische und technische Sicherheitsmaßnahmen alleine können keinen vollständigen Schutz garantieren.

Lohnt sich eine Cyber-Risk-Versicherung?

Ja, denn gerade jetzt in der Corona-Krise sind Cyber-Kriminelle verstärkt aktiv. Dies auch im Wissen, dass die verstärkte Nutzung von Computern im Homeoffice und eine niedere IT-Sicherheit die ideale Angriffs- und Aktionsfläche für Cyber-Kriminalität bietet.

Die Cyber-Risk-Versicherung ist zum einen eine Eigenschadenversicherung, die Ansprüche Dritter und deren Abwehr bei Verletzung des Datenschutzes, der Vertraulichkeit und des Persönlichkeitsrechts umfasst. Zum anderen deckt eine sogenannte Cyber-Haftpflicht-Schäden durch eigenes Verschulden ab, beispielsweise dann, wenn einem Mitarbeiter aus Unvorsichtigkeit ein Datenträger mit vertraulichen Daten ihrer Kunden verloren geht oder beispielsweise aus dem Fahrzeug und anderen als sicher empfundenen Orten entwendet wird.

Studien zufolge liegt der Schaden jedes erbeuteten Datensatzes für ein Unternehmen bei 150 Euro. Beispielsweise bei 1000 Gästen in der Datenbank eines gastgewerblichen Betriebes, wie einem Hotel, sind das 150.000 Euro, bei 10.000 Adressen bewegt man sich schon im Millionenbereich. Hinzu kommt der Imageschaden: Laut EU-Datenschutzrichtlinie ist jeder Betrieb verpflichtet, betroffene Dritte über Datenklau zu informieren. Daraus können schnell Schadensummen bis in den hohen sechsstelligen Bereich entstehen. Die Cyber-Versicherung federt umfassend Cyber-Eigenschäden, Cyber-Fremdschäden und eine Betriebsunterbrechung aufgrund von Cyber-Schäden ab.

Die Entscheidung für eine Cyber-Versicherung muss letztlich jeder Betrieb selbst treffen. Was sich indes kein Unternehmer leisten sollte, ist ein Ignorieren des Themas nach dem Motto: „Wer soll schon meine Daten stehlen?“ Daten sind im 21. Jahrhundert eine wertvolle „Ware“, die Kriminelle anlockt. Zudem ist die Konsequenz eines Hacker-Angriffs unabsehbar:

Während der Schaden durch ein kurzfristig lahmgelegtes Computersystem nur ärgerlich ist, können die finanziellen Folgen erbeuteter Betriebsdaten existenzbedrohend sein.

Die Cyber-Risk-Versicherung ist ein unerlässlicher Schutz vor den Folgen eines Cyberangriffs, der für jeden Unternehmer auch in Südtirol existenzgefährdend sein kann. Jetzt ist ein guter Zeitpunkt, sich eingehend mit der Thematik zu beschäftigen. GEST Broker berät Sie gerne und zeigt Ihnen die Vorteile der Cyber-Versicherung auf.