Immer mehr Unternehmen werden Opfer von Hackerangriffen. Auch die Fuhrparkverwaltung mit ihren sensiblen Mitarbeiterdaten ist gefährdet. Wir erklären, wie Sie die Daten schützen.
Für BW Fuhrpark war es der Mega-GAU. Denn ein Hackerangriff vom August 2020 wurde öffentlich bekannt. Daten von 709 Abgeordneten des Bundestags waren betroffen. Für sie organisiert das dem Verteidigungsministerium und der Deutschen Bahn gehörende Unternehmen einen umfangreichen Fahrdienst in und um Berlin.
Heraus kam, dass das Unternehmen Fahrdaten drei Monate lang speichert. Mit diesen Daten könnten Hacker analysieren, wann und wo sich ein bestimmter Abgeordneter aufhielt, ihn möglicherweise damit erpressen. Denkbar wäre auch, dass die Privatadressen von Abgeordneten ausgespäht würden.
Später teilte die IT-Verwaltung des Bundestags mit, dass kein Geheimdienst die Cyberwall von BW Fuhrpark geknackt habe, sondern für den Angriff die Schadsoftware Emotet genutzt worden sei. Das lässt auf Kriminelle schließen, die damit gerne Computersysteme verschlüsseln und Lösegeld von den Opfern erpressen. BW Fuhrpark will das IT-System schnell genug vom Netz genommen haben. Zum Glück, denn die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Schutzsoftware war dem Fuhrparkbetreiber vor dem Hackerangriff nicht zur Verfügung gestellt worden.
Datenklau kann sehr teuer werden
Der Fall zeigt: Wird ein Flottenbetreiber Opfer eines Hackerangriffs, kann der wirtschaftliche Schaden extrem hoch ausfallen. So stand die gesamte digitale Fahrverwaltung von BW Fuhrpark nach dem Cyberangriff still. Die Notorganisation des Fahrdienstes dürfte hohe Kosten ausgelöst haben. Hinzu kommt der Aufwand für Analyse und Neuinstallation des Systems. Und auch die Gefahrenabwehr und Krisenkommunikation – alle Abgeordneten wurden per E-Mail ständig auf dem Laufenden gehalten – sowie der Imageschaden dürften negative wirtschaftliche Auswirkungen auf den Flottenbetreiber haben.
Daher ist es für jeden Flottenbetreiber sinnvoll, regelmäßig den Stand der IT-Sicherheit zu prüfen. Doch die Cybersicherheit ist im deutschen Mittelstand immer noch ein Sorgenkind. Knapp die Hälfte der kleinen Unternehmen hat weiterhin keine Mitarbeiter, die sich dezidiert darum kümmern. Bei Großkonzernen gibt es hingegen bei 98 Prozent der Firmen spezielle Cyberbeauftragte, wie aus einer Branchenstudie hervorgeht.
Als sehr problematisch bewertet die VdS, eine Tochter des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), dass noch immer 33 Prozent aller in Firmen benutzten mobilen Geräte nicht ausreichend geschützt sind. Dort würden vielfach wichtige firmeninterne Informationen verwaltet, die nicht in fremde Hände gelangen dürfen. Etwa die Hälfte der Firmen hat keine gültigen Richtlinien formuliert, die den Umgang mit mobilen Geräten festlegen. Auch eine Regelung, welche Informationen auf mobilen Datenträgern gespeichert werden dürfen, gibt es bei knapp der Hälfte nicht.
Wird ein Unternehmen trotz hoher IT-Sicherheit gehackt, kann eine Cyberversicherung zumindest den finanziellen Schaden begrenzen. Im Gegensatz zur klassischen Firmenpolice leistet sie deutlich mehr. Unternehmen können dann Spezialfirmen anfordern, die das PC-System wieder in Gang setzen und Viren ausmerzen. Kosten zwischen 25.000 und 300.000 Euro können abgesichert werden.
Bußgeldbescheid
Wo Datenschutz endet
Versicherbar sind Eigenschäden, also die Kosten für die Wiederherstellung von Daten und Programmen nach einem Cyberangriff, der Ersatz von Ertragsausfällen oder Mehrkosten sowie die Verluste von Geld und Waren nach einem Computerbetrug. Auch Lösegeld und Mehraufwand für Öffentlichkeitsarbeit nach einem Cyberschaden sind versicherbar. Dabei ist der Schutz immer noch relativ günstig. Prämien von 500 bis 1.500 Euro sind üblich – wohlgemerkt, für ein ganzes Jahr. "In der Praxis können aber Unternehmen nur dann eine Police erhalten, wenn sie den IT-Schutz laufend auf dem aktuellen Stand halten", sagt Kristian Mansfeld von der IT-Firma Zebes aus Heddesheim. "Es gilt, den Umfang der Pflichten aus dem Versicherungsvertrag genau zu prüfen", warnt auch Fischer-Erdsiek von Nordwest Prorisk. Er sieht die Policen deutscher Assekuranzen kritisch und rät zu Anbietern wie Tokio Marine Kiln, Hiscox, AIG oder Markel. Die Probleme zeigen: Ohne Expertenberatung sollte eine Cyberversicherung auf keinen Fall abgeschlossen werden.
Unfall durch Hacker
Moderne, vernetzte Fahrzeuge können gehackt werden, um damit einen Unfall zu verursachen. Das könnte für den Flottenbetreiber zumindest einen Imageschaden bringen, selbst wenn eigentlich die Kfz-Hersteller zuständig sind. Für Europa prognostiziert der IT-Dienstleister Capgemini 110 Millionen vernetzte Fahrzeuge bis 2023. Daher fordern Versicherer, dass unabhängige Treuhänder die Daten der durch IT-Pannen ausgelösten Unfälle erhalten. Man müsse wissen, was genau mit dem Auto passiert. Nur so lässt sich erkennen, ob der Unfall auf fehlerhafte Software oder einen Hackerangriff zurückzuführen ist. Bisher ist die Datenauswertung aber noch nicht geregelt.
