Wenn Jürgen Brandt über Risiken spricht, dann tut er das meist mit der Gelassenheit eines Mannes, der weiß, dass er im Ernstfall die Finanzkraft eines Weltkonzerns im Rücken hat. Doch bei einem Thema ändert sich seine Tonlage. Sie wird eindringlicher, fast schon warnend. Es ist das Thema, das viele sächsische Unternehmer noch immer als „Science-Fiction“ oder „Problem der anderen“ abtun, bis der Bildschirm schwarz bleibt: Cyberkriminalität. In seinem Dresdner Büro erlebt Brandt immer häufiger, dass gestandene Handwerksmeister oder Geschäftsführer mittelständischer Industriebetriebe völlig unvorbereitet in eine digitale Falle tappen.
Während die klassische Brandversicherung oder der Schutz gegen Einbruchdiebstahl selbstverständlich sind, klafft beim Schutz der digitalen Infrastruktur oft eine lebensgefährliche Lücke. Im Interview erklärt der Ergo-Generalagent, warum ein Hackerangriff oft schlimmer ist als ein Feuer, wieso Geschäftsführer plötzlich mit einem Bein im Gefängnis stehen können und warum er manchmal ganz bewusst Hacker beauftragt, seine Kunden anzugreifen.
Der unsichtbare Feind im Serverraum
Redaktion: Herr Brandt, Sie haben in unserem Vorgespräch einen Satz gesagt, der hängen geblieben ist: „Cyber ist das neue Feuer“. Ist das nicht etwas übertrieben? Ein Brand vernichtet doch physische Werte, eine Cyber-Attacke sperrt „nur“ Daten.
Jürgen Brandt: Nein, das ist keineswegs übertrieben. Wenn eine Halle abbrennt, ist das furchtbar, aber Sie haben oft noch Maschinen an anderen Standorten, Sie haben Ihre Mitarbeiter, und vor allem haben Sie Ihre Daten noch. Sie wissen, wer Ihnen Geld schuldet und wem Sie Geld schulden. Bei einem modernen Ransomware-Angriff, also einer digitalen Erpressung, ist das anders. Da wird Ihr komplettes digitales Gehirn verschlüsselt. Nichts geht mehr. Keine Produktion, keine Logistik, keine Rechnungsstellung. Für viele Unternehmen ist das der sofortige Herzstillstand. Und die Wahrscheinlichkeit, dass das passiert, ist heute statistisch gesehen viel höher, als dass Ihre Halle abbrennt.
Redaktion: Warum tun sich viele Unternehmer hier in der Region Dresden trotzdem so schwer damit, dieses Risiko abzusichern?
Jürgen Brandt: Weil es ein abstraktes Risiko ist. Wir Menschen sind so gestrickt, dass wir uns vor dem fürchten, was wir sehen können. Wenn der Mitarbeiter auf der Baustelle keine Sicherheitsschuhe trägt, schreitet der Chef sofort ein, weil er das Risiko sieht. In der digitalen Welt fehlt uns dieses Sinnesorgan. Die Sensibilisierung fehlt noch oft, obwohl die Einschläge immer näher kommen.
„Wir denken an alles: Wir brauchen eine Haftpflicht, eine Unfallversicherung. Wir denken daran, wenn der Mitarbeiter die Treppe runterfällt. Aber wir denken fast nie daran, dass der Server morgen verschlüsselt sein könnte.“
Redaktion: Sie sprechen von Einschlägen. Wen trifft es denn? Sind das nicht eher die großen Konzerne?
Jürgen Brandt: Leider ist das der größte Irrtum überhaupt. Die großen Konzerne haben eigene Abteilungen für IT-Sicherheit. Die sind harte Nüsse. Der sächsische Mittelständler, das Autohaus, der Produktionsbetrieb mit 50 Mitarbeitern – das sind die Ziele. Die haben Geld, aber oft keine professionelle Abwehr. Die Angreifer gehen den Weg des geringsten Widerstands. Und wenn sie drin sind, dann geht es um Erpressung. Ich nenne das ganz bewusst Kidnapping. Früher wurden Menschen entführt, heute werden Daten entführt.
Ein Klick und der Staatsanwalt steht vor der Tür
Redaktion: Lassen Sie uns das Szenario mal durchspielen. Ein Mitarbeiter klickt auf den falschen Anhang, der Bildschirm wird schwarz, eine Lösegeldforderung erscheint. Was passiert dann im Unternehmen?
Jürgen Brandt: Zuerst herrscht Panik. Dann ruft man den IT-Dienstleister an, und der sagt oft: „Sorry, das ist eine professionelle Verschlüsselung, da komme ich nicht ran.“ Und dann beginnt der eigentliche Albtraum, und der ist nicht nur technischer Natur. Was viele nicht wissen: Ein solcher Vorfall setzt eine juristische Lawine in Gang, die den Geschäftsführer seine private Existenz kosten kann.
Redaktion: Inwiefern? Er ist doch das Opfer.
Jürgen Brandt: Ja, aber er ist auch verantwortlich. Sobald personenbezogene Daten – von Kunden oder Mitarbeitern – betroffen sind, haben Sie ein massives Datenschutzproblem. Die DSGVO ist da gnadenlos. Sie müssen melden, informieren, dokumentieren. Wenn Sie das nicht können oder Fristen versäumen, drohen Bußgelder. Aber es geht noch weiter. Wenn der Vorwurf im Raum steht, dass Sie Ihre IT-Sicherheit vernachlässigt haben, kann das als Pflichtverletzung des Geschäftsführers gewertet werden. Und dann steht plötzlich der Staatsanwalt im Raum.
„Es ist eine Kettenreaktion: Erst sind die Daten weg, dann haben Sie ein Datenschutzproblem, und am Ende drohen strafrechtliche Ermittlungen gegen die Geschäftsführung. Wer hier keinen spezialisierten Schutz hat, riskiert Kopf und Kragen.“
Redaktion: Das heißt, man braucht nicht nur einen IT-Experten, sondern auch einen Anwalt?
Jürgen Brandt: Sie brauchen einen ganzen Stab von Anwälten. Und hier kommt das Problem: Eine normale Rechtsschutzversicherung deckt Strafverfahren gegen Vorsatzvorwürfe oft nicht ab oder hat Deckelungssummen, die viel zu niedrig sind. Ein spezialisierter Strafverteidiger, der Sie da raushaut, nimmt Stundensätze, bei denen Ihnen schwindelig wird. Wenn Sie da keine gute Deckung haben, zahlen Sie das privat. Deswegen sage ich immer: Cyber-Schutz ist Chef-Sache. Es geht um Ihre Existenz.
Der simulierte Ernstfall: Hacker mit Auftrag
Redaktion: Das klingt beängstigend. Wie können Sie Unternehmen helfen, bevor es so weit kommt? Sie sind ja Versicherungsexperte, kein IT-ler.
Jürgen Brandt: Richtig, aber wir arbeiten mit Spezialisten zusammen. Ein Werkzeug, das wir sehr erfolgreich nutzen, ist die Simulation. Wenn ein Geschäftsführer zustimmt – und nur er darf das wissen –, beauftragen wir Partner wie Perseus, das Unternehmen anzugreifen. Wir testen die sogenannte „Human Firewall“.
Redaktion: Wie sieht so ein Test aus?
Jürgen Brandt: Meistens über Phishing-Mails. Wir schauen, wie aufmerksam die Mitarbeiter sind. Das ist oft erschreckend einfach. Da wird eine E-Mail geschickt, die aussieht, als käme sie vom Chef oder einem wichtigen Kunden. Man tauscht zwei Buchstaben in der Adresse, und schon fällt es im Alltagsstress niemandem auf.
„Oft reicht es, zwei Buchstaben in der Absenderadresse zu tauschen. Der Mitarbeiter überfliegt den Namen, denkt ‚Ah, das ist der Chef‘, klickt auf den Anhang – und schon ist die Schadsoftware im System.“
Redaktion: Und wenn der Mitarbeiter klickt?
Jürgen Brandt: Dann landet er bei unserem Test auf einer Lernseite, die ihm erklärt: „Achtung, das war ein Test. Hier hättest du misstrauisch sein müssen.“ Es geht nicht ums Bloßstellen, sondern ums Lernen. Aber wenn das ein echter Hacker gewesen wäre, wäre das Netzwerk jetzt verseucht. Diese Tests öffnen vielen Inhabern die Augen. Sie merken: Die beste Firewall nützt nichts, wenn der Mensch dahinter die Tür aufmacht.
Das Rettungspaket: Cyber, D&O und Strafrecht
Redaktion: Wenn das Kind in den Brunnen gefallen ist, was leistet dann die Cyber-Versicherung der Ergo? Zahlen Sie das Lösegeld?
Jürgen Brandt: Das Thema Lösegeld ist heikel, aber im Kern geht es um die Wiederherstellung der Arbeitsfähigkeit. Wir bezahlen die Forensiker, die das System reinigen. Wir bezahlen die Kosten für die Betriebsunterbrechung – denn wenn Sie zwei Wochen nicht produzieren können, kostet das richtig Geld. Und ja, in Abstimmung mit den Behörden und Experten werden auch Lösungen für die Entschlüsselung gesucht. Aber mein Ansatz ist ganzheitlicher. Ich verkaufe ungern eine isolierte Cyber-Police.
Redaktion: Sondern?
Jürgen Brandt: Ich kombiniere das. Sie brauchen die Cyber-Versicherung für den Schaden an der Firma. Aber Sie brauchen zwingend eine D&O-Versicherung für die Geschäftsführer-Haftung und einen Spezial-Strafrechtsschutz für die Anwaltskosten. Das ist das Dreieck, in dem viele Unternehmer scheitern, wenn sie falsch beraten sind. Wenn Sie Gesellschafter haben, die sagen: „Warum hatten wir keinen Schutz? Du haftest!“, dann sichert die D&O Ihr Privatvermögen. Und der Strafrechtsschutz bezahlt den Top-Anwalt, der das Verfahren gegen Sie abwendet.
Redaktion: Das klingt nach einem komplexen Beratungsgespräch und nicht nach einem schnellen Online-Abschluss.
Jürgen Brandt: Absolut. Das können Sie nicht online machen. Da müssen wir uns hinsetzen, die Risiken analysieren und ein Konzept bauen. Aber genau das ist ja mein Job. Ich will nicht der sein, der am billigsten war, sondern der, der da ist, wenn die Hütte brennt – oder eben der Server steht.
Redaktion: Herr Brandt, zum Abschluss: Was raten Sie einem Dresdner Unternehmer, der jetzt gerade diesen Artikel liest und noch keine Cyber-Versicherung hat?
Jürgen Brandt: Nicht warten. Das Risiko verschwindet nicht, indem man die Augen zumacht. Rufen Sie mich an, wir machen einen Check, vielleicht sogar so einen Test-Angriff. Es kostet weniger als Sie denken, aber es rettet im Zweifel Ihr Lebenswerk. Und glauben Sie mir: Die Hacker schlafen nicht, die sind global vernetzt und arbeiten rund um die Uhr. Wir müssen das auch tun.
Haben Sie sich schon einmal gefragt, was passiert, wenn morgen früh Ihre Firmendaten verschlüsselt sind?
Setzen Sie Ihr Lebenswerk nicht aufs Spiel und vertrauen Sie auf einen Partner, der Cyber-Sicherheit ganzheitlich denkt. Vereinbaren Sie noch heute einen Termin zur Risikoanalyse bei Jürgen Brandt und seinem Team der Ergo Agentur in Dresden.
