Am 24. Juni letzten Jahres ging plötzlich gar nichts mehr: Im Maklerbüro von Matthias Ludwig standen alle Systeme still, nur der Drucker wurde unerwartet aktiv und signalisierte in englischer Sprache die Verschlüsselung aller Systeme, der Cloud und der Sicherungslaufwerke. Ludwig und sein Team waren Opfer eines Hackerangriffs geworden. Statt Kunden zu Cyberversicherungen zu beraten, ging es jetzt um das Überleben des eigenen Betriebes, der Versicherungsbüro Ludwig GmbH in Rostock und Plau am See.

Wie man mit dieser Situation umgeht und welche Strategien sich in dieser Situation bewährt haben, schilderte Ludwig jüngst beim Web-Stammtisch des Arbeitskreises für Beratungsprozesse, einer Non-Profit-Initiative mehrerer Vermittlerverbände und Servicegesellschaften zur Entwicklung von Praxishilfen für den Vermittleralltag.

Cyberkriminelle sind Profis
Ludwig (55) betreibt lediglich ein kleines Büro mit insgesamt fünf Mitarbeitern. "Die Cybergefährdung existiert unabhängig von der Firmengröße", konstatierte er vor 120 Teilnehmern beim Stammtisch. Urplötzlich hatte er keinen Zugang mehr zu seinen Servern, obwohl eine doppelte Datensicherung an verschiedenen Orten existierte. "Die Hacker sind Profis und beobachten ihr potenzielles Opfer schon vor dem Angriff – bis hin zu dessen technischer Cyberabwehr", gibt der Makler seine Erfahrung preis. Moderne IT, Virenschutz und Firewall würden keinen Angriff verhindern. Im Grunde dürfte man auf keinen E-Mail-Link mehr klicken, doch gerade die Versicherer verschicken im täglichen Datentransfer massenhaft E-Mails mit solchen Links.

Nach der Attacke fühlte sich Ludwig zunächst wie ein Patient, der unter Schock steht, nachdem sein Arzt ihm die Diagnose einer schweren Krankheit mitteilt. Zunächst war auch kein Fahrplan zu Gegenmaßnahmen vorhanden. Zum Glück hatte der Makler eine Cyberversicherung abgeschlossen. Der Versicherer Markel begann unmittelbar mit technischen Maßnahmen und Verhandlungen mit den Tätern, die für die Entschlüsselung 60.000 Dollar auf einem einzurichtenden Darknet-Konto in Bitcoins verlangten und bei Weigerung drohten, die lesbare Version aller Daten ins Darknet zu stellen.

Vom Schock zur Gegenreaktion
Parallel schaltete der Makler Polizei und Datenschutzbehörde ein. Letzteres bewahrte ihn vor Bußgeld und Beschlagnahme seiner Hardware. Zudem verschickte er über Outlook eine Massen-E-Mail an seine Kunden, die trotz des Daten-Klaus zum Glück zurückhaltend reagierten. Den Wortlaut empfand der Makler den Informationen des Versicherers Die Haftpflichtkasse nach, der bekanntlich vor einiger Zeit gehackt worden war. Betroffen von solchen Attacken war kürzlich auch die Condor und ganz aktuell nach Informationen von Ludwig auch Chubb.

Das genaue Einfallstor für den Hackerangriff kennt Ludwig bis heute nicht, denn der Einsatz von Forensik wäre zu teuer gewesen. Er vermutet aber einen "faulen" Link in einer E-Mail. Mittels einer zweiten Datensicherung, die die Hacker nicht auf dem Schirm hatten, ging er nach eineinhalb Wochen Betriebsausfall an die Wiederherstellung der Daten, auch mit Unterstützung der Versicherer, die den vollen GDV-Datensatz bereitstellten.

Geld vom Versicherer statt auf Erpressung einzugehen
"Der Cyberversicherer bot mir für den Betriebsausfall und die Wiederherstellung volle Entschädigung", so der Makler. Den wirtschaftlichen Schaden bezifferte er auf 30.000 Euro. "Angesichts dessen ist die Jahresprämie von 400 Euro für die Cyberpolice gut angelegtes Geld", so der Makler. Allerdings ist die Cyberversicherung aktuell harten Verwerfungen ausgesetzt und Preissprünge sind an der Tagesordnung. Ludwig jedenfalls zahlte das Erpressergeld nicht. Bis heute kursieren "zur Strafe" Kundendaten im Darknet. "Ich habe meine Kunden in einem weiteren Brief darüber informiert und sie dringend gebeten, bei E-Mail-Post auf die Signatur zu achten und somit die Echtheit zu prüfen", berichtet Ludwig.

Heute unternimmt der Makler mehrere Arten von Datensicherung auf unterschiedlichen Wegen. Details nennt er aus gutem Grund nicht, doch es kommen mehrere Festplatten an unterschiedlichen Orten zum Einsatz, die in geheimen Intervallen bespielt werden und nie wieder ans Netz gehen. Zudem macht er über sein Maklerverwaltungsprogramm (Keasy) unregelmäßige Backups in der Cloud. Regelmäßige Mitarbeiterschulungen gehören inzwischen zur Tagesarbeit, zumal der Cyberversicherer dies kostenlos anbietet und sogar zertifiziert. Auch stärkere Passwörter werden seit dem Angriff auf das Maklerbüro verwendet.

Was andere Makler und deren Kunden daraus lernen können  
Ganz nebenbei vermittelt Ludwig nach dem Hackerangriff viel mehr Cyberpolicen als früher. "Mindestens 50 Prozent meiner Gewerbekunden besitzen inzwischen eine Police", berichtete er beim Stammtisch. Profitieren könnten auch Maklerkollegen vom Know-how der Charta-Börse für Versicherungen, wo Ludwig seit Jahren Partner ist. Der Maklerverbund hat schon seit Längerem nicht nur ein Cyber-Deckungskonzept entwickelt, sondern bietet auch für jeden Maklerbetrieb einen Fahrplan für das Verhalten nach einem Cyberangriff. Der GDV hat schon vor einiger Zeit Cybersecurity-Standards veröffentlicht.

Spannend: Laut einer Umfrage unter den 120 Teilnehmern des Stammtisches schätzen 36 Prozent das Risiko eines Hackerangriffs "eher hoch" ein, aber 63 Prozent besitzen keine Cyberversicherung. Das deckt sich mit den Aussagen der KMU-Studie 2023 der Gothaer Versicherung, wonach 48 Prozent der Befragten in einem Angriff auf die Firmen-IT das meist gefürchtete Szenario sehen (Vorjahr: 46 Prozent). Obwohl die Angst vor einem Angriff aus dem Netz nach wie vor am größten ist, verfügen aktuell nur 20 Prozent der befragten Mittelständler über eine Cyberversicherung (2021: 16 Prozent).

Vom Wert einer Cyberpolice
Eine Cyberpolice bietet Firmen Präventionsmaßnahmen, Expertenrat und finanzielle Absicherung im Schadenfall. Neben technischen Voraussetzungen wie Firewalls sind auch Schulungen von Mitarbeitern eine essenzielle Maßnahme zur Prävention, denn in den meisten Fällen sind sie der zentrale Angriffspunkt für Cyberkriminelle, wie auch andere Experten bestätigen. (dpo)