Von Claudia Frickel und Stefan Kreitewolf
Datendiebstahl, Sabotage oder Spionage: Mehr als die Hälfte der deutschen Unternehmen sind schon Opfer digitaler Überfälle geworden. Cyberkriminellen genügt eine kleine Sicherheitslücke oder ein falscher Klick. Im Visier haben sie nicht nur große Konzerne, sondern auch Architekturbüros. 35 Prozent der kleinen und mittleren Unternehmen (KMU) wie Architekturbüros schätzen das Risiko hoch ein, so eine aktuelle Studie der Gothaer Versicherung. Zu Recht? Während Konzerne eigene Abteilungen zur IT-Sicherheit einrichten können, fehlen kleineren Betrieben dazu „die personellen, materiellen und finanziellen Kapazitäten“, sagt Marc Tenbieg, geschäftsführender Vorstand des Deutschen Mittelstands-Bunds (DMB).
Millionenschäden durch Cyberangriffe
Doch der Schaden durch einen Cyberangriffe kann „multidimensional sein und damit teurer als erwartet“, so Claudia Wagner von der Ergo-Versicherung. Marco Henrique, bei HDI Global zuständig für Cyberversicherungen, bestätigt dies. Denn durch unterbrochenen Betrieb oder Schadenersatzklagen entstehen schnell Millionenschäden. Trotzdem handeln nach Wagners Aussage viele Büros nach dem „Prinzip Hoffnung: Man vertraut darauf, dass Investitionen in zusätzliche IT-Sicherheit das Risiko beherrschbar machen.“ Dabei dürfte „bei den meisten Kleinunternehmern das nötige Know-how nicht vorhanden oder die personellen Ressourcen dürften schnell erschöpft sein“, erklärt der Gesamtverband der Deutschen Versicherungswirtschaft. Doch Cyberversicherungen werden bislang kaum angenommen. 2017 haben gerade einmal neun Prozent der KMU eine abgeschlossen, so die Gothaer-Studie. Fast 40 Prozent der befragten Betriebe denken, digitale Schäden seien von der Betriebshaftpflicht abgedeckt. Das stimmt aber nicht. Zudem sind Cyberversicherungen komplex: Auf die Höhe der Prämie hat neben der Bürogröße die Qualität der IT-Sicherheit Einfluss. Große Konzerne sind meist nach dem international anerkannten Standard für Informationssicherheit ISO 27001 oder nach dem Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert und können so den Grad der IT-Sicherheit nachweisen. „Für kleine und mittlere Unternehmen wie Architekturbüros sind diese umfangreichen Sicherheits-Frameworks aber kein gangbarer Weg“, sagt IT-Sicherheitsexperte Dirk Losse.
Absicherung ist wichtig, der Aufwand aber hoch
DMB-Geschäftsführer Tenbieg fasst das Dilemma zusammen: „Auf der einen Seite ist die Absicherung wichtig, auf der anderen Seite ist der Aufwand hierfür sehr hoch.“ Kleine Unternehmen, etwa Büros mit zehn Mitarbeitern, könnten eine Cyberversicherung bislang kaum finanzieren. „Wenn die Versicherungen günstiger und transparenter werden, könnte für viele kleine Büros das große Hindernis der Cybersicherheit beseitigt werden.“
Sowohl Versicherer als auch das BSI wollen besonders kleinen und mittelgroßen Architekturbüros den Einstieg erleichtern. HDI und Ergo wollen mit speziellen Produkten gezielt Büros und Unternehmen mit Umsätzen bis zu einer Million Euro ansprechen. Ein neues Verfahren ermöglicht zudem, die Informationssicherheit kleiner Büros zu zertifizieren. Für die „Richtlinie 3473“ der Sicherheitsfirma VdS Schadenverhütung ist etwa keine umfangreiche Dokumentation notwendig, sie konzentriert sich auf besonders kritische Teile der IT-Infrastruktur.
Die Versicherer rechnen damit, dass Cyberversicherungen künftig europaweit an Relevanz gewinnen. 2018 wird die neue Datenschutz-Grundverordnung der EU in nationales Recht umgesetzt, die die individuelle Privatsphäre erheblich stärkt. Werden bei Cyberangriffen Daten von Kunden oder Beschäftigten gestohlen, sind deren Ansprüche gegenüber dem Betrieb künftig höher. Nach Einschätzung der Allianz bedeutet das: Bußgeldzahlungen könnten – auch für Architekturbüros – spürbar zunehmen.
Claudia Frickel ist freie Fachjournalistin in München.
Stefan Kreitewolf ist Redakteur beim Deutschen Architektenblatt.
Wie Unternehmen die IT-Sicherheit erhöhen können
Architekturbüros sollten unbedingt eine ganzheitliche Sicherheitsbetrachtung durchführen. Grundlegend sind Virenscanner, Firewalls und regelmäßige Updates aller Programme. Zusätzliche Sicherheit bietet die Verschlüsselung sensibler Daten.
Das BSI rät außerdem zu:
- organisatorischer Sicherheit: regeln, wer intern auf welche Daten zugreifen darf, und ein Notfallmanagement für den Krisenfall einführen
- personeller Sicherheit: Mitarbeiter schulen, damit sie Zugangsdaten richtig verwenden und sich unterwegs und an fremden Rechnern korrekt verhalten
- Sicherheitszertifizierungen: Sie zwingen, sich mit dem Thema intensiv auseinanderzusetzen, und höhere Sicherheitsstandards etablieren
Weitere Hinweise finden Sie in unserem Beitrag hier
War dieser Artikel hilfreich?
Weitere Artikel zu: