Betroffene können einen Trojaner-Angriff life erleben. Ohne Vorbereitung bemerken sie diesen vielleicht gar nicht und stoßen schnell an ihre Grenzen der Kompetenz.

Viele Betroffene stellen fest, dass ihr Rechner nicht mehr hochfährt, nachdem sie ihn morgens starten wollen: Nichts geht mehr. Das betroffene Unternehmen wird aufgefordert, zur Entschärfung eines eingeschleusten Kryptotrojaners 300 Dollar in Bitcoin zu überweisen, Danach sollen die Daten wieder frei sein. Die Unternehmensführung bemerkt, dass nicht das tägliche Marketing und Erfolge heute Thema sind, sondern die aktuelle Problemstellung, um Zugriff auf die erforderlichen Daten zu erhalten.  Das scheint gefährdet zu sein.

Realistische Cyberangriffe und deren Folgen sind mittlerweile zu häufig. Versicherer bieten Cyberpolicen an, um die möglichen Schäden zu versichern.  Diese sind in hoher Frequenz festzustellen. Die Nachfrage nach solchen Deckungen nimmt zu. Das Prämienvolumen verdoppelt sich Jahr für Jahr. Aktuell liegen die Schätzungen für die Gesamtprämien im deutschen Markt zwischen 30 und 85 Millionen Euro im Jahr.

In den USA werden pro Jahr etwa 2 Milliarden Dollar Prämie gezahlt. Die Dynamik ist spürbar – auch bei den Schäden. Betroffen sind auch Unternehmen aus der Digitalwirtschaft. Versicherer sehen es als Vorteil an, dass sie mehr Daten sammeln können, wenn sie frühzeitig Policen angeboten haben.

In akuten Fällen stellen sich die Unternehmen die Frage, ob sie sich auf die Zahlungsforderung einlassen sollen und woher sie die Kryptowährung Bitcoin beziehen können. Verantwortungsträger ohne Vorbereitung geraten in Schwierigkeiten, wenn sie mit einer Cyberattacke konfrontiert sind. Wissen und Kompetenz fehlen, es bildet sich keine klare Rollenverteilung. Die Zeit rinnt durch die Finger, ohne dass etwas erreicht ist.

Cybercrime kann jeden treffen. Jeder muss sich auf einen solchen Schadensfall einstellen. Angezeigte Kriminalfälle zeigen große Dynamik:

Im vergangenen Jahr stieg die Zahl der Cyberkriminalitätsfälle in Deutschland um 81 Prozent auf mehr als 80.000.  Der Zuwachs ist durch höhere Aufmerksamkeit bei einem Dunkelfeld zu erklären. Auf einen angezeigten Fall kommen 50 nicht angezeigte oder nicht bemerkte Fälle. Angriffe werden wegen Geringfügigkeit oft nicht angezeigt oder aus Sorge um die eigene Reputation verheimlicht (vgl. Löhr, Heiko – Kriminaldirektor des Bundeskriminalamts).

Verbrechen mit Erpressungssoftware nehmen zurzeit stark zu. Im vergangenen Jahr wurde eine Zunahme von 94 Prozent festgestellt. Das Täterspektrum erweitert sich mit Stetigkeit. Es wird von offiziellen Stellen versucht bei den Wurzeln anzusetzen, um die Strukturen aufzudecken. Wichtig ist es die Administratoren von Plattformen zu finden. Die Ursache für Cybercrime kann erst behoben werden, wenn die Urheber vom Markt genommen sind.

Die IT-Mitarbeiter sind meist überfordert, weil sie solche Fälle zum ersten Mal erleben. Telefonische Hotlines sind wenig dienlich. Sicherheitskopien der Daten sollten immer auf einem externen Speicher gesichert werden. Unabhängig vom Anbieter der Schutzfunktionen setzen alle auf die Prävention, Schulung und intensive Begleitung im Schadenfall.

Reaktion

Die Reaktionen von Betroffenen auf solche Angriffe sollten klare Prozesse sein, die kurze Reaktionszeiten erlauben (vgl. Barsch, Franka – Versicherungsschaden Leiterin Hiscox Europe). Trete der Versicherungsfall ein, dürfe nicht erst nach der Police gesucht werden. Selbst versicherte Unternehmen sind oft überfordert. Drei Kundentypen lassen sich unterscheiden: Realistisch-pragmatische, verunsichert-hysterische und selbstsicher-überhebliche! Bei den Versicherungsnehmern aus dem Mittelstand überwiegt der verunsicherte Typus.

Wenn der Server lahmgelegt ist, sollen sich Versicherungsnehmer in die Hände einer IT-Sicherheitsfirma begeben. Deren spezialisiertes Vorgehen ist strukturiert. Rettungsmaßnahmen, Vorfallsanalyse und Krisenbewältigung sollten einen Dreiklang bilden, um zu vermeiden, dass sich die Malware weiterverbreitet (vgl. Rustemeyer, Frank Hisolutions)

Verschlüsselungstrojaner sind heute gut geschrieben. Spezialisten können sie meist nicht auf Anhieb entschlüsseln. Oft lässt sich dennoch innerhalb von 24 Stunden eine Cyberattacke identifizieren und stoppen, die Handlungsfähigkeit der betroffenen Unternehmen teilweise wiederherstellen, den Reputationsschaden einzugrenzen und Anhaltspunkte für den Angriffsablauf zu finden. Erst danach beginnt die Analyse der Festplatten, indem die Schadsoftware auf einem simulierten Computer laufen gelassen werde. Es gibt Fälle, bei denen sich auf diesem Wege herausstellt, dass die Lösegeldforderung ein Bluff war.

Solche Fälle können Kosten im vierstelligen Bereich auslösen (Barsch ebda.). Teurer wird es, wenn Schäden durch Betriebsunterbrechung entstehen – die Hauptsorge der meisten deutschen Unternehmen. Policen der Versicherungsunternehmen werden auf diesen Bedarf abgestimmt. Dabei muss geklärt werden, ob ein Haftungsrecht für Software gebraucht wird.

Computersysteme verbesserten sich kontinuierlich, doch in der Neuentwicklung sind meist Fehler enthalten. Nach einer Weile verstehen die Menschen ein System. Wenn sie etwas gut verstanden haben, kommt ein neues System. 60 Prozent der Schäden durch Cyberkriminalität gegen Betriebe entstehen durch Anwender in den Unternehmen.