«Sie wurden gehackt! Daten gibt es nur gegen Geld!» so oder so ähnlich kursiert aktuell ein EMail-Bluff über den in der letzten Woche im Radio informiert wurde. Hierbei handle es sich um eine E-Mail, die von Kriminellen zur Erpressung von Geldern verschickt wurde, jedoch ohne, dass tatsächlich Konten gehackt wurden.

Konkursfall – Swisswindows

Doch was, wenn tatsächlich eine Hacker-Attacke vorliegt? Dies kann für viele KMU – besonders in der aktuellen wirtschaftlich unsicheren Situationder unausweichliche Stoss in Richtung Konkurs bedeuten. Ein bekannter Fall aus dem letzten Jahr ist der Konkursfall des Traditionsunternehmen Swisswindows gewesen. Durch den fortschreitenden Rückgang des Kerngeschäfts bereits angeschlagene Unternehmen erlitt einen Ransomware- Angriff in 2019, durch den alle Unternehmensdaten verschlüsselt wurden. Swisswindows liess zwar täglich Daten-Backups durch eine externe IT-Firma durchführen, diese waren jedoch mit dem infizierten Unternehmensserver verbunden, wodurch auch auf diese nicht zugegriffen werden konnten. Die Hacker verlangten für die Entsperrung der Daten ein hohes Lösegeld in Form von Bitcoins. Doch auf die Forderung ging die Firma nicht ein und investierte lieber das Geld in den Ersatz der IT-Infrastruktur, da diese bereits veraltet war. Der ganze Aufwand hatte zudem einen Produktionsausfall von einem Monatzur Folge. Der entstandene Rattenschwanz an immensen Folgekosten war bereits eine finanzielle Herausforderung für die Firma. Durch den Produktionsausfall wurde jedoch die wirtschaftlich schwierige Lage der Firma verschärft, wodurch im Frühjahr das Unternehmen Konkurs anmelden musste und 170 Mitarbeiter ihre Arbeit verloren.

Unterschätzte Folgekosten

Das Problem bei Cyber-Attacken ist, dass das finanzielle Ausmass nur schwer abgeschätzt werden kann und dadurch gerne unterschätzt wird. Ein unbedachtes Öffnen eines infizierten Links oder einer Email reicht aus, um die Ransomware vorbeigeschleust am Anti-Virus-System des PCs auf das Firmennetzwerk zu installieren. Um die Software zu reparieren, reichen die eigenen Fachkenntnisse meistens nicht mehr aus und eine IT-Firma muss engagiert werden (mit entsprechendem Stunden-Lohn oder Auftrags-Honorar versteht sich). Diese führt erste Untersuchungen durch, um den Schaden zu identifizieren. Ist dieser gefunden muss dieser beseitigt werden (in vielen Fällen bedeutet es die Deinstallation von der bestehenden Software und Neu-Installation). Je nach aktuellem Stand der bestehenden Infrastruktur werden auch neue Lizenzen benötigt, die entsprechend kosten. Zu bedenken ist hierbei auch, dass dies dann nicht nur einen Computer betrifft, sondern das gesamte Firmennetzwerk (alle Computer, durchaus auch Peripheriegeräte und das Online-System).

Zudem müssen die vorhandenen Daten (wenn auf diese noch zugegriffen werden können) überprüft und allenfalls bereinigt werden. Wurden diese durch bspw. Ransomware blockiert, fordern Hacker meistens hohe Erpressungsgelder, damit auf die Daten wieder zugegriffen werden können. Entweder spielt man dann nach den Spielregeln der Kriminellen und zahlt die verlangte Summe oder eine Datenwiederherstellung muss mit Backups erfolgen. Je nachdem, wie häufig man Backups durchführt oder wo sie gespeichert werden (siehe Fall Swisswindows), kann eine Wiederherstellung nur anhand manueller Eingabe physisch anderweitig vorliegender Informationen erfolgen, wofür ebenfalls Lohnkosten fällig werden.

Sind dann noch Produktionsmaschinen betroffen, bedarf es hier Spezialisten, die allenfalls die Software der Anlagen neu aufsetzen müssen.KMU Cyber-Versicherung

All dies kann nicht an einem Tag repariert werden. Das bedeutet: die Mitarbeiter können nur im reduzierten Umfang Aufträge abarbeiten (nämlich den Teil, für den keine digitale Maschine benötigt wird und für die die benötigten Informationen noch vorliegen). Entsprechend sind Produktionsausfälle vorprogrammiert und Aufträge bleiben liegen und verzögern sich. Fristen können nicht eingehalten werden, wodurch bei grösseren Aufträgen es zu Konventionalstrafen kommen kann.

Auch wenn die IT-Infrastruktur irgendwann wiederhergestellt ist, stauen sich die Aufträge oder brechen aufgrund des Ausfalls weg. Dies bedeutet über einen längeren Zeitraum zusätzliche Einbussen für die Firma. Je nach Bekanntheitsgrad des Unternehmens können Cyber-Attacken auch unangenehme Image-Schäden nach sich ziehen, wodurch sich die Auftragslage verschlechtert. Dem entgegenwirken kann zwar ein Reputationsmanagement, jedoch ist auch dieses nicht gratis.

Bei dem ganzen wurden noch nicht die Themen von behördlichen Bussen (z.B. bei Verletzung von Datenschutzrichtlinien) oder Haftpflicht-Ansprüche von Drittpersonen (z.B. bei Weiterleiten von infizierten PDFs an Kunden und deren entstandenen Cyber-Schäden oder ungewollte Veröffentlichung privater Daten) angesprochen. Ist ein Webshop der Firma von der Cyber-Attacke betroffen oder das Bezahlsystem (bspw. bei angebotener Kartenzahlung) kommen zusätzliche Prozesse und deren Kosten auf das Unternehmen aufgrund Verletzung der E-Payment-Standards zu.

Unterschätztes Risiko

Wie Sie merken, sind die Folgen langwieriger und kostspieliger, als man im ersten Moment vermuten würde. Statistiken aus 2017 zeigten, dass in der Schweiz etwa 1/3 der KMU-Unternehmungen (bis 250 Mitarbeiter) bereits von einem Cyber-Vorfall betroffen waren. Ca. 4% wurden infolge Angriffe erpresst. Die Arbeitsgruppe Cyber Risk beim SVV gab 2018 eine Schätzung ab, dass die Folgekosten aufgrund Cyber-Kriminalität allein in der Schweiz etwa 9.5 Milliarden CHF verursachten. Tendenz jährlich steigend! Die digitale Vernetzung und auch die Coronavirus-Situation verstärken den Trend. Umso prekärer ist der Umstand, dass vielen Mitarbeitern die Cyber-Gefahr für das eigene Unternehmen nicht bewusst ist. Umfragen in den letzten Jahren haben ergeben, dass sie die eigene Firma als nicht gefährdet ansehen und Cyber-Angriffe eher als ein Problem grosser globaler Firmen oder als politische Waffe wahrnehmen. Dadurch wird im Arbeitsalltag weniger vorsichtig gehandelt und Cyber-Kriminelle haben leichteren Zugang. Bei geschäftsführenden Personen wiederum gewinnt die Cyber-Gefahr immer mehr an Bedeutung. Bei Umfragen überholten die Cyberrisiken sogar bereits das langjährige Risiko Nummer eins «Betriebsunterbrechungen».

Vorsicht ist besser als Nachsicht

Es gibt verschiedene Möglichkeiten, Cyber- Angriffe vorzubeugen bzw. zu reduzieren:

· Instandhaltung der Infrastruktur: Installieren von Updates und die Nutzung marktaktueller Software verhindert Sicherheitslücken in der IT-Infrastruktur

· Aufklärung Mitarbeiter: Die Schulung von Mitarbeitern zu Cyberrisiken hilft, keine Attacke frühzeitig zu erkennen und hilft den Mitarbeitern, fachgerecht zu handeln.

· Worst Case-Szenario: Firmen sollten einen Krisenplan haben, sollte es einmal zu einer Cyber-Attacke kommen. Dieser sollte Arbeits-/ und Verhaltensweisen für alle Mitarbeitenden sowie Notfalladressen (z.B. eine IT-Firma, Service-Partner für Produktionsanlagen) enthalten.

Cyberversicherung

Mit dem Abschluss einer Cyberversicherung können nicht nur Folgekosten für die Systembereinigung oder Haftpflichtansprüche von Dritten abgewälzt werden. Versicherungsgesellschaften arbeiten mit IT-Unternehmen und Spezialisten zusammen, die sich auf Cyber-Angriffe spezialisiert haben. Dadurch profitieren versicherte Firmen von einem fachkundigen Ansprechpartner und Krisenmanager in einem Moment, in dem man nicht noch nach einem geeigneten Dienstleistungsunternehmen suchen möchte. Zudem bieten viele Versicherer weitere Dienstleistungen und Kooperationsangebote an, um die Mitarbeiter zu schulen und die Sicherheit der IT-Infrastruktur zu erhöhen. Gerade im Hinblick auf die steigende Kriminalität und dem Grossschadenpotential empfehlen wir, dem Kunden eine Cyberversicherung zu unterbreiten.