Kein Unternehmen ist mehr vor Gefahren aus dem Netz gefeit. Da nahezu jede Firma heute auf digital verarbeitete und gespeicherte Daten angewiesen ist, können Störungen der IT- Infrastrukturen weitreichende Folgen für ihre Geschäftstätigkeit haben. Warum Cyberpolicen im Umgang mit diesem Risiko als zusätzliches Sicherheitsnetz fungieren, möchte ich Ihnen im Folgenden darlegen.
Informations- und Telekommunikationstechnologien sind heute ein unverzichtbarer Schlüsselfaktor im Geschäftsleben. Sie verhelfen Unternehmen zu mehr Effizienz und damit zu einer besseren Wettbewerbsfähigkeit. Doch der technologische Wandel geht nicht nur mit Vorteilen einher: Die Verletzlichkeit der IT-Systeme steigt. Denn so viele Möglichkeiten die Technik bietet, so hochkomplex und anfällig ist sie.
Entsprechend groß ist die Gefahr, dass diese gestört wird oder sogar ausfällt und es dadurch zu erheblichen Schäden kommt. Finanzielle Verluste, aber auch Reputationsschäden bei Partnern und Kunden können existenzbedrohend wirken. Dies kann der Fall sein, wenn es eine Beeinträchtigung der IT-Systeme zu einer Betriebsunterbrechung kommt, insbesondere aber wenn Daten manipuliert werden oder verloren gehen – durch Hackerangriffe, technische Fehler oder auch Fahrlässigkeit der eigenen Belegschaft.
Der IT-Branchenverband BITKOM geht davon aus, dass bereits die Hälfte aller deutschen Unternehmen Opfer von IT-Attacken geworden ist.
Für viele Unternehmen sind Wirtschaftsspionage, Sabotage oder Datendiebstahl inzwischen an der Tagesordnung. Dass Cyberrisiken mittlerweile eine reale Gefahr sind, spiegelt sich auch in ihrem hohen finanziellen Schadenpotenzial wider: Die durchschnittlichen Kosten eines Datenschutzvorfalls in Deutschland beliefen sich 2015 auf 3,5 Millionen US-Dollar, so ein Bericht des Ponemon Instituts.
Rasant wachsende Industrie
Mindestens eine Millionen Infektionen durch Schadprogramme, wie Viren oder Trojaner, zählte das Bundesministerium für Sicherheit in der Informationstechnik (BSI) in 2014 – pro Monat. Täglich wächst die Anzahl der Schadcodes zudem um 300.000 neue Varianten. Die Cyberkriminalität ist in den vergangenen Jahren rasant gewachsen und hat sich zur eigenen, äußerst profitable Industrie entwickelt, die von großer Professionalität und immensem Know-how geprägt ist.
Während bis vor wenigen Jahren noch die klassisch hochexponierten Branchen, wie Banken, Versicherungen und vor allem auch der Einzelhandel – aufgrund ihres hohen Volumens an personenbezogenen Daten – im Fokus der Cyberkriminellen standen, kann heute jedes Unternehmen zur Zielscheibe werden. Immer häufiger trifft es sogar staatliche Institutionen, wie jüngst im Falle der schweren Hackerattacke auf den Deutschen Bundestag.
Und nicht zuletzt für die produzierende Industrie sowie Anbieter sogenannter Kritischer Infrastrukturen, etwa Energie- oder Wasserversorger, werden Cyberangriffe zur immer größeren Bedrohung. Das Schadenpotenzial ist hier enorm, bedenkt man, welche Folgen etwa ein städteweiter Stromausfall haben würde.
Sicherheitsbewusstsein schaffen
In unserer vernetzten Welt sind Cyberrisiken eine der größten Herausforderungen. Gleichfalls gewinnt damit das Thema IT-Sicherheit zunehmend an Bedeutung. Doch was tun, um sich vor der Gefahr aus dem Netz adäquat zu schützen? Hier gilt es umfangreiche technische und organisatorische Schutzmaßnahmen vorzunehmen: ein konsequentes Passwortmanagement, die Vermittlung von Sicherheitsregeln und -verfahren sowie eine Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für Cyberrisiken sind wichtige Faktoren.
Dazu können auch Schulungsangebote gehören, beispielsweise dahingehend wie Pishing- und Social Engineering-Angriffe erkannt und abgewehrt werden können. Aus technischer Sicht sind vor allem eine regelmäßige Aktualisierung von Sicherheitssoftwares sowie häufige, geprüften Backups wichtige Schutzmaßnahmen und sollten ein fester Bestandteil des Risikomanagements eines Unternehmens. Mit Maßnahmen wie diesen können Unternehmen bereits Einiges dazu beitragen, das Risiko eines potentiellen Schadenfalls durch Cyberkriminelle zu mindern.
Ein Restrisiko bleibt immer
Selbst umfangreiche organisatorische sowie technische Präventivmaßnahmen können keinen hundertprozentigen Schutz gegenüber Cyberrisiken gewährleisten, ein gewisses Restrisiko bleibt dennoch immer bestehen. Sicherheitslücken können nie gänzlich vermieden werden, gerade da sich die IT-Welt kontinuierlich weiterentwickelt. Vergessen werden darf auch nicht, dass Cyberkriminelle der IT-Sicherheit meist einen Schritt voraus sind.
Um dieses Restrisiko handhaben zu können, sollten Unternehmen eine spezifische Versicherungslösung in Erwägung ziehen.
Eine Cyberpolice deckt im Schadensfall die eigenen Schäden des Unternehmens ab, darunter auch entgangene Betriebsgewinne, ebenso Schäden Dritter, wie etwa mögliche Schadensersatzansprüche aufgrund von Persönlichkeits- und Datenschutzverletzungen. Cyberversicherungen berücksichtigen zudem die Kosten für die Wiederherstellung von Daten, Experten- und Beschleunigungskosten sowie Kosten zur Ursachenermittlung und forensische Untersuchungen.
Auch eine präventive Risikoanalyse, die die individuellen Risikopotenziale des Unternehmens identifiziert und damit dazu beiträgt, die Gefahr möglicher IT-Vorfälle zu reduzieren, ist meist Teil der Cyberpolice. Wichtig ist diese auch für die Erstellung eines Krisenplans, der im Falle eines Cyberereignisses greift. Denn sich adäquat auf potentielle Cybervorfälle vorzubereiten, sollten Unternehmen keinesfalls vernachlässigen, gilt im Schadensfall mehr denn je: So schnell wie möglich reagieren, um Reputationsschäden zu vermeiden.
Führungsebene verantwortlich
Angesichts der zunehmenden Häufigkeit von Cybervorfällen und ihres enormen Schadenpotenzials haben sich Cyberrisiken inzwischen zu einem der wichtigsten Risk Managementthemen entwickelt. Neben den Risk Managern sollten sich gerade auch die Führungskräfte eines Unternehmens mit der Absicherung jener Risikoart beschäftigen. Denn ihre Organisationspflicht umfasst auch den IT-Bereich:
Manager haben dafür Sorge zu tragen, dass ihr Unternehmen bestmöglich vor Cyberrisiken geschützt ist.
Kommen sie ihren Pflichten nicht umfassend nach, zum Beispiel im Hinblick auf die Befolgung bestimmter IT-Sicherheitsrichtlinien, kann ein Cyberschaden sogar als Organisationsverschulden gewertet werden und der oder die Verantwortlichen dafür schadensersatzpflichtig belangt werden. Eine Cyberpolice – als Ergänzung zu umfassenden IT-Sicherheitsmaßnahmen – kann damit nicht nur für Unternehmen, sondern auch für deren Führungskräfte als zusätzliches Sicherheitsnetz agieren – ein Schutz, der im Zuge des digitalen Wandels zum immer bedeutenderen Faktor werden könnte.
Die Autorin ist Manager Cyber Practice der ACE Group in Deutschland.
