Cyber-Risiko Datendiebstahl: So leidet der Ruf Ihres Business

Egal ob Cyberkriminelle Kunden-, Firmen- oder Zahlungsdaten erbeuten, Sie von Mitarbeiter:innen betrogen werden oder Ihr Business Opfer von (Wirtschafts-)Spionage wird: Die Folgen sind nicht nur der direkte finanzielle Schaden durch den Vorfall, sondern auch der Schaden, den die Reputation Ihres Business nehmen kann. Wieso Sie einen Reputationsschaden nicht auf die leichte Schulter nehmen sollten und wie Sie ihr Business schützen können, erfahren Sie in diesem Artikel.

Cyber-Vertrauensschaden erklärt im Video

Datendiebstahl: Ein teures Risiko für Ihr Business

Daten sind das Gold des 21. Jahrhunderts. Das wissen auch Cyberkriminelle und versuchen bei ihren Angriffen auch immer an möglichst viele elektronische Daten ihrer Opfer zu kommen. Eine Studie des Digitalverbandes Bitkom zeigte im August 2022, dass der deutschen Wirtschaft in diesem Jahr bisher ein Schaden von 203 Milliarden Euro durch den Diebstahl von IT-Ausrüstung und Daten, sowie Spionage und Sabotage entstanden ist. 2021 waren es insgesamt 223 Milliarden Euro. 84 Prozent aller Unternehmen waren dabei bis August 2022 von Diebstahl, Industriespionage oder Sabotage betroffen – 2021 waren es insgesamt 88 Prozent.

Im digitalen Bereich sind dabei die häufigsten Delikte der Diebstahl von IT- oder Telekommunikationsgeräten (40 Prozent), sensiblen Daten und Informationen (36 Prozent), das Ausspähen digitaler Kommunikation (29 Prozent) und die digitale Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen (28 Prozent). Für Unternehmen sind aber nicht nur diese Delikte ein riesiges Problem, sondern auch das Nachspiel. Denn: Kundinnen und Kunden, Auftraggeber:innen oder Geschäftspartner:innen reagieren nicht gerade erfreut auf die Nachricht, dass ihre Daten Kriminellen in die Hände gefallen sind.

Datenschutz: Meldepflicht bei Diebstahl, Spionage oder Sabotage

Wenn Kundendaten geklaut werden – egal ob von Hacker:innen oder Mitarbeiter:innen, müssen Sie dies melden. Artikel 33 der Datenschutzgrundverordnung (DSGVO) schreibt vor, dass die Verletzung des Schutzes personenbezogener Daten – also etwa im Falle eines Datenklaus durch Cyberkriminelle – innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden muss. Besteht dadurch ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, so müssen diese nach Artikel 34 DSGVO auch direkt über den Datenklau informiert werden.

Datenschutzupdate auch in der Schweiz:

Wichtig für all diejenigen, die Waren oder Dienstleistungen in der Schweiz vertreiben und so dort ebenfalls Kundendaten erheben. Auch hier wurde bezüglich der Meldepflicht im Juli 2022 nachgebessert: So müssen nun nach Artikel 24 des revidierten Datenschutzgesetzes (revDSG) Verantwortliche dem Eidgenössischen Datenschutz- und Öffenlichtkeitsbeauftragten (EDÖB) „so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt“ melden.

Business-Risiko Reputationsschaden

Das Bekanntwerden einer erfolgreichen Cyber-Attacke auf das eigene Business ist zunächst einmal natürlich peinlich. Viel schlimmer ist aber der mögliche Schaden für die Reputation denn niemand hört gerne, dass ihre/seine personenbezogenen Daten gestohlen wurden. Einen solchen Vertrauensschaden sollten Sie ernst nehmen, denn dass ein guter Ruf für jedes Business wichtig ist, zeigt etwa eine Studie der Werbeagentur Serviceplan und der Markenberatung Biesalski & Company aus dem Jahr 2018 recht eindrücklich: Eine gute Reputation kann für bis zu ein Viertel des Gesamtumsatzes verantwortlich sein.

Das Risiko besteht zudem nicht nur darin, bestehende Kundinnen und Kunden, Auftraggeber:innen oder Geschäftspartner:innen zu verlieren, sondern auch in starken Einbußen bei der Akquise neuer Kundschaft. Darüber hinaus kommen zu den Umsatzeinbußen ebenfalls die Kosten für Marketing- und PR-Maßnahmen, um die Reputation wiederaufzubauen. Dies geschieht meist nicht über Nacht, sondern bedeutet meist viel Zeitaufwand und hohe Kosten – nicht nur für Werbung, sondern unter Umständen müssen externe Dienstleister:innen (zum Beispiel PR-Berater:innen, Agenturen) engagiert werden.

Tipps zum Umgang mit einem Vertrauensschaden

Das Wichtigste ist Kommunikation – einmal die, zu der Sie gesetzlich verpflichtet sind (zum Beispiel Datenschutz) und dann die, mit der Sie Ihre Kundschaft informieren. Egal ob Ihr Business gehackt wurde, Ihre Mitarbeiter:innen einer Social-Engineering-Attacke zum Opfer gefallen sind oder Daten durch Ransomware verschlüsselt wurden: Stecken Sie den Kopf nicht in den Sand, sondern überlegen Sie, wie Sie die Folgen des Datendiebstahls, der Sabotage oder Spionage kommunizieren. Dazu gibt es ein paar generelle Tipps, die Sie für Ihr Business anpassen können:

Fakten:

Was genau ist passiert und warum: Wurde eine Sicherheitslücke in einem Betriebssystem ausgenutzt, um Ihre Datenbank zu hacken oder fiel einer Ihrer Mitarbeiter:innen auf eine Phishing-Mail herein? Bei diesen beiden Beispielen wird schnell deutlich, dass Cyber-Attacke nicht gleich Cyber-Attacke ist und das es Dinge gibt, die auch IT-Administrator:innen nicht immer zu 100 Prozent vermeiden können. Warum, haben wir auch in diesem Artikel ausgeführt: Kritische Schwachstellen im Betriebssystem oder in Software – so sichern Sie sich ab.

Fokus auf Lösungen:

Fakten sind wichtig, es reicht aber, sich hier auf das Wesentliche zu beschränken. Denn: Ihre Kundschaft will keine langen Erklärungen oder Entschuldigungen hören, sondern vor allem wissen, wie es jetzt weitergeht. Daher ist es wichtig, Lösungen zu kommunizieren, das können beispielsweise sein:

Konkrete Maßnahmen zur Schadensbegrenzung
Konkrete Änderungen, die Sie für die Zukunft planen, um das Risiko einer erneuten erfolgreichen Attacke zu minimieren
Eventuell Entschädigungen für Kundinnen und Kunden

Kommunikation:

Aus den ersten beiden Punkten ergibt sich dann die Strategie für die Kommunikation mit den Kundinnen und Kunden. Wie wollen Sie – abgesehen zu den Dingen, zu denen Sie gesetzlich verpflichtet sind – kommunizieren und vor allem: Über welche Kanäle. Hierbei ist auch wichtig, auf die jeweilige Zielgruppe einzugehen. Auftraggeber:innen sind unter Umständen von einer Pressemitteilung weniger begeistert, Kundinnen und Kunden spricht dies dafür meist mehr an.

Einmal mit Profis:

Gerade Freelancer:innen oder kleine Unternehmen verfügen – abhängig natürlich von der jeweiligen Branche – nicht immer über eine gut aufgestellte Marketing-Abteilung. Daher ist es sinnvoll, sich Hilfe von professionellen PR-Berater:innen oder Agenturen zu holen, die auf Kommunikation und PR spezialisiert sind. So können Sie zum Beispiel die unangenehme Benachrichtigung Ihrer Kundinnen und Kunden über einen Cybervorfall durch das professionelle Versenden von Goodwill-Coupons noch mit einer Marketing Aktion verbinden.

Vertrauensschäden versichern, mit der Cyber-Versicherung

Wie Sie sehen, kann ein Reputationsschaden nach einer erfolgreichen Cyber-Attacke, bei der Daten gestohlen wurden, teure Folgen haben. Aus diesem Grund hat die Cyber-Versicherung über exali den Zusatzbaustein Cyber-Vertrauensschaden. Dieser umfasst die Versicherung finanzieller Schäden, die Ihnen durch eigene Mitarbeiter:innen oder Dritte entstehen – und das auch, wenn es nicht um Cyberkrimininalität geht. Der Versicherer ersetzt hier zum einen die Summe der unmittelbar verursachten Schäden – und übernimmt außerdem die Kosten für eine Krisenberatung zur Schadensabwehr oder -minderung.

Vertrauensschäden durch mitversicherte Personen

Mitversicherte Personen sind beispielsweise Mitarbeiter:innen oder externe Dienstleister:innen. Unter einem Cyber-Vertrauensschaden versteht man Vermögensdelikte, die durch Personen begangen werden die aus dem direkten Businessumfeld kommen und zu denen Sie im allgemeinen Vertrauen aufgebaut haben. Solche Vermögensdelikte können beispielsweise sein:

Betrug durch eigene Mitarbeiter:innen
Urkundenfälschung und -unterdrückung
Unterschlagung und Diebstahl (zum Beispiel von Firmengeldern, Kundendaten, Waren oder Dienstleistungen)
Vorsätzliche Sachbeschädigung an Ihren IT-Systemen und/oder Programmen

Vertrauensschäden durch Dritte

Dies meint Fremde wie beispielsweise Cyberkriminelle oder (Wirtschafts-)Spione, die durch betrügerische Handlungen einen Vermögensschaden verursachen. Darunter fallen beispielsweise Schäden, die durch Social Engineering zustande kommen, wenn etwa Ihre Mitarbeiter:innen durch Phishing-Mails, einen Fake President Trick oder andere Betrugsmaschen von Cyberkriminellen getäuscht werden. Das in der kürzeren Vergangenheit immer beliebter werdende widerrechtliche Umleiten von Zahlungsströmen, der sogenannte Payment Division Fraud, gehört ebenfalls in diese Kategorie.

Tipp:

Mehr zu Social Engineering und wie Sie Ihr Business vor solchen Angriffen schützen können, haben wir in folgendem Artikel für Sie zusammengefasst: Social Engineering: Wenn der Mensch zum Risiko wird

Cyber-Risiken individuell versichern

Die Cyber-Versicherung über exali schützt Sie sehr umfassend vor den Folgen von Cyberkriminalität. So enthält bereits der Basisschutz eine sofortige Notfallhilfe, bei denen Ihnen vom Versicherer eine IT-Expertin beziehungsweise ein IT-Experte zur Seite gestellt wird. Diese:r unterstützt Sie bei der Analyse der Situation, der Einleitung von Maßnahmen zur Schadensbegrenzung und der schnellstmöglichen Wiederherstellung Ihrer IT-Systeme, Programme und Daten.

Darüber hinaus übernimmt der Versicherer auch die Kosten der Wiederherstellung oder Reparatur Ihrer IT-Systeme, Programme und elektronischen Daten für den festgestellten Cyberschaden. Nicht zu vergessen die Kosten für Public-Relations-Maßnahmen zur Erhaltung oder Wiederherstellung Ihrer öffentlichen Reputation. Hiervon umfasst sind auch die Kosten für die Gestaltung und das Versenden von Goodwill-Coupons mit Rabatten, Preisnachlässen oder Gutscheinen.

Über fünf weitere frei wählbare Module können Sie den Basisschutz an Ihr Businessmodell anpassen. Der Zusatzbaustein „Cyber-Vertrauensschaden“ versichert z.B. die im Artikel erwähnten Schäden durch Betrug, Urkundenfälschung, (Daten)diebstahl, Social Engineering, Fake President- und Payment Diversion Frauds. Eine gute Zusammenfassung der Leistungen unserer Cyber-Versicherung finden Sie auch in diesem Video:

Die Cyber-Versicherung können Sie direkt online über unser Portal abschließen oder Sie lassen sich von unserem Kundenservice-Team beraten. Unsere Servicezeiten unter der Nummer +49 (0)821 80 99 46-0 sind von Montag bis Freitag von 9:00 Uhr bis 18:00 Uhr.