Cyber Angriffe auf Hotels richtig versichern
Kostenlose Anfragen an unsere Lieferanten stellen und Preisinformationen erhalten

Cyber Angriffe auf Hotels richtig versichern

01.11.2017 | Cyber Risk Agency GmbH

Hotels - auch die von Ketten - werden regelmäßig durch Cyber Angriffe lahmgelegt. Lesen Sie zu dem Thema eine interessante Studie und Gegenmaßnahmen

Abb. 1: Aktuelle Beispiele Gastgewerbe / Bildquelle: Cyber Risk Agency GmbH
Abb. 1: Aktuelle Beispiele Gastgewerbe / Bildquelle: Cyber Risk Agency GmbH
Abb. 2 / Bildquelle: Cyber Risk Agency GmbH
Abb. 2 / Bildquelle: Cyber Risk Agency GmbH
Abb. 3 / Bildquelle: Cyber Risk Agency GmbH
Abb. 3 / Bildquelle: Cyber Risk Agency GmbH
Abb. 4 / Bildquelle: Cyber Risk Agency GmbH
Abb. 4 / Bildquelle: Cyber Risk Agency GmbH

In Deutschland ist mittlerweile jedes zweite Unternehmen von Cyber-Angriffen betroffen. Insbesondere ist immer wieder ist das Gastgewerbe betroffen. Die Studie des Munich Risk and Insurance Centers (MRIC) und der Cyber Risk Agency GmbH zeigt den spezifischen Handlungsbedarf von Unternehmen auf und liefert konkrete Empfehlungen, wie sich diese sich durch effektives Cyber-Risikomanagement vor Cyber-Kriminellen schützen können.

Über eine Abwehr von Cyber-Angriffen durch Maßnahmen der IT-Security hinaus, werden der Aufbau digitaler Kompetenz bei Mitarbeitern und die Anbindung eines effektiven Notfallmanagements durch Versicherungslösungen diskutiert. Analysen der Cyber Risk Agency zeigen, dass insbesondere kleinere Unternehmen meist über nur geringe Sicherheitsstandards verfügen.

Die Studie analysiert den Mehrwert von Cyber-Versicherungen für KMUs und bietet einen Überblick über die Leistungsfähigkeit des aktuellen Angebots im deutschen Cyber-Versicherungsmarkt. Im direkten Vergleich konnten 6 der 20 untersuchten Policen sowohl in Bezug auf den angebotenen finanziellen Deckungsumfang als auch bezüglich der bereitgestellten Assistance-Leistungen, wie beispielsweise einer ständig verfügbaren Hotline und einem Notfallteam für den Ernstfall, überzeugen.

Handlungsbedarf 

Cyber-Kriminelle verursachen in Deutschland jährlich Schäden in Höhe von ca. 55 Mrd. Euro. Davon entfallen etwa 16 Mrd. Euro auf Ermittlungsaufwände, Wiederherstellung der IT und Betriebsstillstand. Fälle wie das bereits 4-mal gehackte Seehotel Jägerwirt zeigen, dass trotz geeigneter Maßnahmen keine 100%ige Sicherheit erreicht werden kann. Pünktlich zum Start in die Wintersaison verschafften sich Cyber-Kriminelle vermutlich mit Hilfe eines Trojaners im Anhang einer fingierten E-Mail zu einer Handyrechnung Zugang zum Zentralrechner des Hotels.

Sie verschlüsselten alle Daten und forderten 1.500 Euro zur Freigabe der Daten per Entschlüsselungscode. "Wir mussten in den sauren Apfel beißen und bezahlen. Wir waren mit 180 Gästen völlig ausgebucht, und die Urlauber kamen nicht mehr in ihre abgesperrten Zimmer.", berichtete der Hotelier Christoph Brandstätter.

Sowohl Buchungssysteme,Webseiten und Kassensysteme als auch IoT-Geräte (z.B. Fernseher mit Internetzugang) haben technische Schwachstellen und genau diese finden Hacker auch regelmäßig. Nur wenige Fälle werden bekannt (vgl. Abbildung mit aktuellen Beispielen) - die Dunkelziffer betroffener Gastronomiebetriebe ist aus Gründen der Reputationsrisiken eines erfolgten Angriffs vermutlich sehr viel höher. 
 
Und erst im August dieses Jahres hatten es Cyber-Kriminellen auf die Login-In-Informationen von Hotelgästen abgesehen. In mehreren Hotels, vornehmlich in Europa und dem mittleren Osten wurden Hotelsysteme per E-Mail mit Malware verseucht. Nach Infizierung übernahmen die Cyber-Kriminellen die Kontrolle über die Gäste-WLANs und sammelten private und geschäftliche Passwortinformationen der Nutzer ein. Betrachtet man die Altersstruktur der Täter, so wird deutlich, dass es sich im Falle von Cyber-Kriminalität -nicht typischerweise um Jugenddelikte handelt.

Gemäß aktueller Zahlen des Bundeskriminalamtes waren 54 Prozent der 20.920 im Jahr 2016 registrierten Tatverdächtigen über 30 Jahre alt und weitere 13 Prozent waren 50 Jahre und älter. Dabei reicht das Täterspektrum vom Einzeltäter bis hin zu international organisierten Gruppen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im vergangenen Jahr 1.000 kritische Schwachstellen in gängiger Standardsoftware identifiziert. Hinzu kommt eine Zunahme an Schwachstellen in mobilen Endgeräten. Für Cyber-Kriminelle stellt jede dieser Lücken ein potentielles Einfallstor dar.

Eine absolute IT-Sicherheit kann daher in keinem Unternehmen erreicht werden. Analysen der Cyber Risk Agency zeigen, dass insbesondere kleinere Unternehmen meist über nur geringe Sicherheitsstandards verfügen. So ist bei 48 Prozent der Unternehmen mit weniger als 100 Mitarbeitern der Reifegrad der Informationssicherheit als "Gering" zu bewerten. Bei größeren Unternehmen sind es immerhin noch 32 Prozent (vgl. Abbildung 1).

Maßnahme: "Cyber-Risikomanagement"

Für eine bestmögliche Abwehrstrategie zeigt die Studie Möglichkeiten der Kombination verschiedener Instrumente des Cyber-Risikomanagements auf; vgl. Abb. 2: Instrumente des Cyber-Risikomanagements: Auf Basis der Ergebnisse des Online-Tools CyberRiskRadar (Link: www.CyberRiskAgency.de) wird der aktuelle Reifegrad des Cyber-Risikomanagements in kleinen und mittleren Unternehmen dargestellt und aufgezeigt, wie dieser durch konkrete weiterführende Schritte verbessert werden kann.

Neben technischen Abwehrmaßnahmen und professioneller Datensicherung besteht demnach Handlungsbedarf vor allem bei personellen Sicherheitsmaßnahmen als auch beim Notfallmanagement der Unternehmen. Ein wesentliches Defizit besteht darin, dass die Unternehmen trotz der eheblichen Anzahl erfolgreicher Angriffe den Ernstfall noch nicht ausreichend vorbereiten, um Angreifern wirksam Paroli bieten zu können. 

Trotz des wachsenden Angebots an Cyber-Versicherungslösungen nutzen nur sehr wenige deutsche Unternehmen dieses Instrument. Fast 70 Prozent haben keinen Versicherungsschutz für durch Cyber-Angriffe verursachte Eigenschäden und nur 11 Prozent haben eine Cyber-Versicherung mit entsprechender Cyber-Assistance zur schnellen Unterstützung im Ernstfall. Ein Grund hierfür ist vermutlich die mangelnde Kenntnis vieler Entscheidungsträger über Cyber-Versicherungsprodukte und deren Möglichkeiten.

In den letzten 6 Jahren wurden in Deutschland Cyber-Versicherungen mit einem geschätzten Gesamtprämienvolumen von etwa 100 Mio. Euro (Quelle: KMPG) gezeichnet. Zum Vergleich - die geschätzten weltweiten Prämien liegen bei ca. 4,1 Mrd. US-Dollar und sind zu beinahe 70 Prozent dem US-Markt zuzuordnen. Eine Cyber-Versicherung bietet neben der Deckung finanzieller Schäden auch Assistance-Leistungen und stellt damit auch eine Alternative zum Zukauf der erforderlichen Notfall-Expertise dar.

Sie bietet damit die Chance auf einen schnellen Wiederanlauf der IT und deckt die Kosten für die Wiederherstellung und sonstige durch einen Cyber-Angriff entstandenen Aufwände sowie Ertragsausfälle während einer Betriebsunterbrechung. Um einen Beitrag zu mehr Transparenz bezüglich der Leistungsfähigkeit solcher Policen zu leisten, werden die Basiskomponenten einer Cyber-Versicherung in der Studie näher dargestellt.

Sowohl der Deckungsumfang für Eigen- und Fremdschäden als auch der Mehrwert von Assistance-Leistungen werden erläutert und alle aktuell angebotenen 20 Cyber-Versicherungslösungen des deutschen Markts werden auf ihre relative Leistungsfähigkeit für den Einsatz in KMUs verglichen.  Im direkten Vergleich konnten 6 von 20 Policen identifiziert werden, die einen relativ hohen Leistungsumfang bieten (vgl. Abbildung 3: Relativer Leistungsumfang der Cyber-Policen im deutschen Markt): 

Die Autoren kommen zu dem Schluss, dass die Mehrheit der angebotenen Cyber-Policen die wesentlichen finanziellen Risiken des Versicherungsnehmers abdeckt. 
Bei den Standarddeckungskomponenten, wie Betriebsunterbrechungsschäden, Ertragsausfällen und Kosten der System- und Datenwiederherstellung sowie bei Schäden aus Haftpflichtansprüchen von Kunden und Geschäftspartnern und diversen sonstigen Krisenkosten, z.B. für IT-Forensik, Krisenkommunikation und Rechtsberatung unterscheidet sich das Angebot kaum.

Bei 9 Policen wurden jedoch zum Teil sehr umfassende und insbesondere für kleine und mittlere Unternehmen nur schwer erfüllbare Obliegenheiten (= Auflagen der Versicherung) identifiziert. Bei der Komponente der Assistance-Leistungen wurden insbesondere Unterschiede bezüglich der Handlungsfähigkeit der 24/7-Hotline, der verfügbaren Notfallkapazitäten und der Professionalität des Notfallteams (sog. CERT-Service = Computer Emergency Response Team) identifiziert. 

Fazit und Ausblick

Die Studie des Munich Risk and Insurance Centers (MRIC) und der Cyber Risk Agency verdeutlicht den aktuellen, durch die digitale Transformation steigenden Bedarf, Unternehmen besser vor Cyber-Kriminellen zu schützen. Oliver Lehmeyer, Geschäftsführer und Gründer der Cyber Risk Agency rät: "Wer die Chancen der Digitalisierung nutzen möchte, der muss auch die damit einhergehenden Risiken managen. Gehen Sie als Unternehmen davon aus, dass Sie gehackt werden und bereiten Sie Ihr Unternehmen auf den Ernstfall vor."

Für Entscheidungsträger in Unternehmen bedeutet dies konkret, dass verstärkt digitale Kompetenz im Unternehmen aufgebaut werden muss, um den mit der Digitalisierung einhergehenden Risiken begegnen zu können. Daneben kann der Abschluss einer Cyber-Versicherung sinnvoll sein, um einerseits den finanziellen Risiken eines Cyber-Angriffs Rechnung zu tragen und mit der in den Policen integrierten Cyber-Assistance ein professionelles Notfallmanagement für das Unternehmen zu etablieren.

Insbesondere kleine und mittlere Unternehmen haben hier Nachholbedarf, da diese im Vergleich zu großen Unternehmen in der Regel über geringere IT-Sicherheitsstandards verfügen. Eine Kurzfassung der Studie ist auf der Webseite der Cyber Risk Agency downloadbar:

Wie SICHER ist Ihr  Unternehmen? Erhalten Sie Ihren individuellen Cyber-Risiko-Report in wenigen Minuten:

Links

Andere Presseberichte