Die Gefahr von Hackerangriffen wächst. Wer seine Daten, Systeme, Kunden und somit Firmengrundlage schützen will, muss wachsam sein: Unternehmen sollten Systeme aufrüsten, kluge Strategien umsetzen und Anwender sensibilisieren. Wie sich kleine und große Versicherungsbüros, Makler, Vermittler und Co. am besten vor digitalen Überfällen schützen können, erklärt der Datenschutzbeauftragte Achim Barth.
Wenn große Elektronikfachmärkte wie Media Markt und Saturn Opfer von Cyberkriminellen werden, bestätigt das noch einmal eindrucksvoll die Relevanz von Datenschutz und IT-Sicherheit. Kritische Angriffe wie diese erinnern auch andere Unternehmen und Branchen daran, ihre IT-Infrastruktur regelmäßig in den Blick zu nehmen. Schließlich vergeht kaum ein Tag, an dem Medien nicht von Hackerattacken berichten. Seit Beginn der Pandemie ist die Zahl noch gestiegen, 2020 wurden in Deutschland mehr als 100.000 Angriffe auf Unternehmen angezeigt – 15 Prozent mehr als 2019.
Die größte Bedrohung dabei sind Ransomware – auch Erpressungssoftware oder Verschlüsselungstrojaner genannt: Über USB-Sticks oder Phishing-E-Mails gelangen diese Schadprogramme ins System, ohne dass der Nutzer es bemerkt. Ganz bewusst scannen die Übeltäter die digitale Welt dafür nach löchrigen, veralteten oder schlecht geschützten IT-Systemen – und haben dabei oft die Qual der Wahl.
Viele Server oder Homeofficebüros sind mangelhaft gesichert, Anwender schlecht oder gar nicht geschult. Wer als Versicherungsprofi mit sensiblen Zahlen arbeitet und auf das Vertrauen seiner Kunden angewiesen ist, sollte schleunigst aufrüsten. Andernfalls ist der Monitor plötzlich schwarz und alle Daten sind unbrauchbar oder weg. Cyberkriminelle geben die gestohlenen Infos erst wieder gegen Lösegelder frei. Um sich vor diesem geschäftszerstörenden Szenario zu schützen, helfen folgende Maßnahmen.
Schlüssel und Passwörter als Basisschutz vor Eindringlingen
Als Erstes müssen Finanzdienstleister ihre technischen und organisatorischen Hausaufgaben machen. Egal, ob es sich um einen One-Man-Betrieb oder einen Big Player handelt – zum kleinen Einmaleins gehört die Umsetzung der gesetzlichen Vorgaben. Die DSGVO verlangt, dass Verantwortliche personenbezogene Daten von Kunden, Mitarbeitern, Dienstleistern und Co. mit effektiven Maßnahmen schützen. Das ist alles in den Gesetzestexten geregelt. So weit, so gut.
Zum Hackerschutz gehört aber noch mehr. Hier geht es zusätzlich um Firmengeheimnisse und Werte, wie Pläne, Produkte oder Patente. Jedes Unternehmen sollte systematisch klären, mit welchen Maßnahmen es sein digitales Hab und Gut verteidigt. Dafür sind keine überzogenen Investitionen nötig, sondern vielmehr Besonnenheit und Disziplin. Ob Anschläge leichtes oder schweres Spiel haben, darüber entscheidet ein für jeden Betrieb individuelles, sinnvoll angepasstes IT-Konzept. Folgende Posten gehören zum Basisschutz:
-
Zutrittskontrolle: Wie sichern Sie Büros und Serverräume physisch vor Einbrechern, Dieben oder anderen unberechtigten Dritten (elektronische Schließsysteme, mechanische Schlüssel, Alarmanlagen, Bewegungsmelder, Öffnungssensoren …)?
-
Zugangskontrolle: Wie sichern Sie IT-Systeme vor unberechtigtem Zugang (Verschlüsselungen, Passwörter, Firewalls, Anti-Viren-Programme …)?
-
Zugriffskontrolle: Wie stellen Sie sicher, dass Mitarbeiter oder Dienstleister nur die Daten einsehen, die für sie relevant sind (Administrationsrechte, individuell zugewiesene Nutzungsrechte, Verschlüsselungen …)?
-
Trennungskontrolle: Wie garantieren Sie, dass Daten verschiedener Kunden nicht vermischt werden (unterschiedliche Hardware, verschiedene E-Mail-Adressen, Speicherdisziplin… )?
-
Pseudonymisierung: Wer Daten so speichert, dass ein Personenbezug nur mit hohem Aufwand möglich ist, macht Kriminellen das Leben schwer.
- Datenkontrolle: Wie garantieren Sie Datenintegrität (Richtigkeit der Daten) und Datenverfügbarkeit (z.B. bei Stromausfall)?
Back-up-Strategien, Phishing-Simulation und Crash einplanen
Nicht nur Angriffe und Datendiebstahl können Versicherungsbüros zum Verhängnis werden. Verlust, Stromausfall, Wasserschäden oder Technikversagen führen Profis ebenfalls in große Bedrängnis: Somit gilt für jeden, der mit digitalen, sensiblen Daten arbeitet: Implementieren Sie ein zuverlässiges Back-up-System! So manch einer bemüht sich vielleicht einmal im Jahr darum, Daten und Anwendungen auf externe Systeme zu bannen.
Back-up-Strategie: starten, testen, wiederholen
Doch wasserdichten Schutz bekommen Vermittler nur, wenn sie tagesaktuell sichern sowie Wochen- und Monats-Back-ups einführen. Doch Vorsicht: Auch Kopien können Schadcodes enthalten, die nur darauf warten, zuzuschlagen. Gemeinsam mit einem IT-Profi sollten Unternehmer sich daher eine individuelle Strategie überlegen. Leider kommen zu wenige auf die Idee, die Back-up-Einspielung auch zu testen. Wer nicht regelmäßig ausprobiert, ob sich die Inhalte in verschiedenen Szenarien überhaupt einspielen lassen, wiegt sich in trügerischer Sicherheit.
Lerneffekt durch Phishing-Simulation
Den größten Schwachpunkt in der IT-Sicherheit – und somit gleichzeitig die stärkste Waffe gegen Cyberoffensiven – bildet der Mensch. Ab einem gewissen Punkt liegt der Datenschutz ganz in dessen Hand. Bei manchen Angriffen stürzen sich Betrüger gezielt auf das schwächste Glied in der Kette. Daher ist es wichtig, dass Unternehmer und Mitarbeiter auf der Hut sind. Alle Nutzer müssen verstehen, dass ihr Klickverhalten zwischen Hackererfolg und -versagen entscheiden kann.
Auch bei Videokonferenzen brauchen alle klare Vorgaben: Welche Software nehmen wir? Ab wann schützen wir Zoommeetings mit einem Kennwort? Wie nutzen wir Chatfenster? Sind die Rahmenbedingungen klar, bleibt der Weg frei fürs eigentliche Geschäft. Um sein Team für kritische E-Mails zu sensibilisieren, hilft eine Phishing-Simulation. Wer beim Kunden am Tisch oder im Homeoffice sitzt, kann schließlich nicht schnell mal den Kollegen fragen: „Meinst du, diese Mail ist Spam …?“ Beim Phishing-Test landen scheinbare Spam-Mails im Posteingang jedes Teammitgliedes. Wer diese Nachricht öffnet, bekommt eine Warnung und landet auf einer Lernseite.
Crash verhindern – und trotzdem einplanen
Obwohl viele DSGVO, Passwörter oder abgeschlossene Serverräume als lästig empfinden – all das dient als Hilfsmittel. Sie schützen die Privatsphäre des Teams, die personenbezogenen Daten der Klienten, betriebswirtschaftliche Informationen des Unternehmens sowie Firmeninterna. Am Ende verhindern die Maßnahmen eventuell den Crash des ganzen Geschäfts. Versicherungsprofis sollten sich selbst und ihr Team am besten jährlich in diesem Bereich weiterbilden.
Egal, wie viele Firewalls Unternehmer einrichten, welche digitale Verteidigungsgräben sie ausheben und wie viel Ordner sie verschlüsseln – einen 100-prozentigen Schutz vor Angriffen gibt es leider nie. Selbst Facebook kämpfte bereits mit weltweiten Ausfällen. Aus diesem Grund bereiten Profis Notfallkonzept vor: Was ist zu tun, wenn Systeme längere Zeit nicht zur Verfügung stehen? Der Strom stundenlang ausfällt? Oder die Büros wegen störrischer Schließanlagen nicht mehr betreten werden können? Wer auf einen Plan B in der Schublade zurückgreifen kann, spart jede Menge Geld, Zeit und Nerven. Hier können auch Cyberversicherungen sinnvoll sein. Sie sichern im Notfall nicht nur das eigene Business ab. Auch für Kunden kann ein entsprechender Vertrag interessant sein. Somit lohnt es sich für Versicherungsprofis doppelt, sich auf diesem Gebiet auszukennen und aufzurüsten.