Es mag im ersten Moment verwundern, wenn im Zusammenhang mit Sozialer Arbeit von Cyberrisiken gesprochen wird. Doch die Digitalisierung macht auch vor diesem Berufsfeld nicht Halt. Wir sprachen mit Andreas Braun vom UNION Versicherungsdienst worauf soziale Einrichtungen und Dienste achten sollten.

Herr Braun, in den letzten Jahren sind die Schäden durch Cyberattacken oder fehlerhafte Soft- und Hardware in sozialen Unternehmen gestiegen? Was waren die häufigsten Ursachen?

Andreas Braun: Hier sind ganz eindeutig ungezielte Angriffe in Form von Schadsoftware zu nennen. Wir haben es mit einer Vielzahl von Schäden durch Viren, Würmer und Trojaner zu tun. Ein Beispiel für diese Art von Schäden sind die sogenannten Erpresser-Trojaner. Sie können als Mail-Anhang, über infizierte Internetseiten aber durchaus auch über einen USB-Stick auf die Computer gelangen. Die Trojaner verschlüsseln fast alle Dateien auf lokalen Festplatten und im Netzwerk befindlicher Computer. Für die Wieder-Entschlüsselung wird dann ein Lösegeld gefordert.

Von welchen Schadenshöhen sprechen wir dabei und welche Auswirkungen hatte das auf die betroffenen Unternehmen?

Andreas Braun: Bei größeren Sozialeinrichtungen haben wir bereits mehrfach Schäden zwischen 50.000 € und 100.000 € und bei Krankenhäusern auch weit darüber hinausgehende Schäden reguliert die hier auch die Millionenhöhe überschreiten können.

Oft standen zeitweise diverse EDV-Anwendungen nicht zur Verfügung was in der Regel zu einer erheblichen Mehrarbeit in Form von Überstunden führte. Daneben sind die nicht unerheblichen Kosten für die Wiederherstellung der Daten und in vielen Fällen auch für Sachverständige und Forensik zu nennen. In einigen Fällen haben wir es aber auch mit Ertragsausfällen, Vermögensschäden oder Lösegeldforderungen etc. zu tun. Um derartige Lösegeldforderungen geht es auch im aktuellen und bisher größten Angriff mit Erpressungssoftware bei dem weltweit tausende Rechner u.a. von britischen Krankenhäusern und der Deutschen Bahn AG mit Schadsoftware infiziert wurden.

Sozialarbeiter(innen) sind keine IT-Experten. Was kann man tun?

Andreas Braun: Wichtig ist zunächst ein entsprechendes Problembewußtsein in Bezug auf die IT-Sicherheit. Diesbezüglich ist auch von den Mitarbeitern ein hohes Maß an Sorgfalt gefordert. Neben den üblichen technischen Maßnahmen zur ständigen Gewährleistung einer angemessenen IT-Sicherheit sei an dieser Stelle auch auf unser in Zusammenarbeit mit der Firma HiSolutions AG entwickeltes Konzept zum systematischen Management von Cyberrisiken hingewiesen. Es handelt sich dabei um ein modular aufgebautes Präventionskonzept. Mitglieder des Paritätischen Sachsen nutzen dieses Angebot auf Grundlage des Rahmenvertrages zu einem Vorteilspreis.

Unser Gesprächspartner: Andreas Braun wurde vor 59 Jahren Dresden geboren und wohnt derzeit in Radebeul. Er ist Diplom-Ingenieur (FH) und hat zusätzlich eine Ausbildung zum Versicherungsfachwirt abgeschlossen. Seit 26 Jahren ist er im Außendienst für die Ecclesia-Gruppe tätig.

Cyberrisiken waren auch ein Thema der Führungskräftekonferenz im April 2017. Die Präsentationen zu den Vorträgen finden Mitglieder im internen Bereich.