„Ich bin überzeugt, dass es nur zwei Arten von Unternehmen gibt:
Diejenigen, die schon gehackt wurden und diejenigen, die noch gehackt
werden.“ Diese Aussage des FBI-Direktors Robert Mueller ist seinerzeit
häufig belächelt worden, heute ist sie bittere Realität! Nahezu täglich
berichten betroffene Unternehmen und die Wirtschaftspresse über
massivste Störungen im gesamten Bereich der internen und externen
Datennutzung und Datenverarbeitung mit gravierenden Auswirkungen auf
Arbeitsabläufe, Produktion und auf das Vertrauensverhältnis zwischen dem
betroffenen Unternehmen, den Lieferanten und Kunden und der
Öffentlichkeit. Die Ursachen dieser Probleme sind vielfältig; es können
technische Störungen in Datenverarbeitungs- und Steuerungsanlagen,
absichtliche oder unabsichtliche Fehlbedienungen von Mitarbeitern oder
kriminelle Angriffe durch Dritte von außen sein, die sogenannten
Cyberattacken. Dieser Terminus ist heute im betrieblichen wie auch im
privaten Bereich gegenwärtig, und nahezu jeder ist von Angriffen in mehr
oder weniger gravierender Weise schon betroffen und beeinträchtigt
worden. Aktuelle Beispiele für gravierende cyberbasierte Eingriffe in
Betriebsprozesse sind Abfahren eines Hochofens, Zahlungen an Dritte
(Fake President), Diebstahl von Hochregal-Lagerdaten, Blockierung von
Telefon-/Internetsystemen.
Was ist eigentlich Cyber?
Nach
einer möglichen Definition ist der Begriff abgeleitet vom engl.
Cybernetics, der Kybernetik und damit von der Lehre von Regel- und
Steuerungsvorgängen. Cyber und Cyberspace beschreiben künstliche
Realitäten und umfassen speziell durch das Internet alle weltweit
erreichbaren Informationssysteme und -strukturen.
Über 90 Prozent der
deutschen Unternehmen haben Internetzugang; ein Großteil nutzt
Cloud-Dienste. Die Digitalisierung der gesamten Wertschöpfungskette
nimmt rasant zu. Die globale Vernetzung von Informationsströmen mit
direkten Einflüssen auf betriebliche Vorgänge wie Beschaffung,
Produktion, Absatz und Verwaltung (Industrie 4.0) schafft damit auch
eine besorgniserregende Risikosituation für alle Teilnehmer.
Nahezu
jedes zweite Unternehmen ist bereits Opfer von zufälligen oder
zielgerichteten (z. T. bestellten!) Attacken geworden. Die
Hackerangriffe mit Datendiebstählen betreffen keineswegs nur
Großunternehmen, sondern in besonderem Maß den Mittelstand. Hier wird
die organisatorische und anlagentechnische Datensicherheit vielfach
nicht ausreichend geprüft, ständig aktualisiert und damit relativ
gesichert.
Typische Schwachstellen erleichtern Cyber-Angreifern das Eindrigen in mittelständische IT-Systeme:
- Sicherheitsaudits im eigenen Unternehmen und auch bei Geschäftspartnern sind noch kein Standard
- Es gibt kaum eindeutig definierte Sicherheitsregeln zum Schutz sensibler Daten
- Es werden selten Status- und Bedarfsanalysen erstellt
- Vorhandene Sicherheits-Tools werden unzureichend genutzt
- Das Risiko aus mobil eingesetzten Geräten wird unterschätzt
- Risiken aus dem Informationsaustausch in sozialen Netzwerken werden außer Acht gelassen.
- Die Mitarbeiterloyalität ist schwer einschätzbar (insbesondere bei strukturellen Veränderungen im Unternehmen)
- Die rechtlichen, finanziellen und öffentlichen Auswirkungen von Cyberrisiken/-schäden werden unterschätzt.
Zur
Minimierung der Risiken (Eintritts- und
Auswirkungswahrscheinlichkeiten) durch Cyber-Angriffe bietet sich, wie
auch bei anderen „traditionellen“ Risiken, folgendes Vorgehen an:
- Detaillierte Aufarbeitung, Analyse und Bewertung des Ist-Standes in den Bereichen IT, Compliance und Recht
- Regelmäßige Überprüfung und Aktualisierung der Erkenntnisse und Maßnahmen
- Einrichtung einer Notfall-Planung und Benennung eines Krisenmanagements
- Verlagerung von Tätigkeiten und/oder Risiken auf Dritte (Service-Provider) und auf Versicherer.
Es wird häufig hilfreich sein, an dieser Stelle
spezielle Beratungsunternehmen hinzuzuziehen. Die eigenen IT- und
Rechtsabteilungen kennen zwar die Art und Qualität der implementierten
Maßnahmen, aber Consultingunternehmen kennen aus der Vielzahl der
unterschiedlichen Verhältnisse, Vorgänge und Anforderungen die Risiken
und Lücken und wissen, wie intern und extern vorgegangen werden kann.
Durch diese Identifizierung, Bewertung und zumindest partielle
Beseitigung von Schwachstellen wird die Risikolage schon deutlich
besser. In geringem Umfang kann bereits Versicherungsschutz über
traditionelle Versicherungsverträge (z.B. Sach- und
Betriebsunterbrechung, Vertrauensschaden, Elektronik, Haftpflicht,
Kidnapping und Ransom) bestehen. Eine relativ weitgehende Deckung ist
aber heute über sogenannte Cyber-Schutz-Policen beschaffbar. Diese
Deckungen werden mittlerweile von etlichen Versicherern mit
unterschiedlichen Bezeichnungen angeboten. Das Bedingungswerk ist
uneinheitlich, redaktionell und substanziell nur schwer vergleichbar.
Außerdem wird das Wording in kurzen Abständen den Marktanforderungen und
dem Wettbewerberverhalten angepasst.
Versicherbar sind im Wesentlichen:
-
Haftpflichtansprüche Dritter, z.B. durch Vertraulichkeits- und
Datenschutzverletzungen, Netzwerkssicherheitsverletzungen,
Vertragsstrafen
-
Eigenschäden/Kosten wie Informationskosten, Betriebsunterbrechungen,
Datenmanipulation, Erpressung, forensische Dienstleistungen (zur
Feststellung von Ursachen und Umfängen), Krisenberatungskosten (zur
Vermeidung von Reputationsschäden und zu angemessener Information der
Geschäftspartner, Behörden und Öffentlichkeit)
Die Prämien für diese Cyberdeckung sind
einzelfallbezogen. Kriterien sind u. a. die Art des Unternehmens,
Sicherheitsstandards, Deckungsumfänge, Versicherungssummen,
Selbstbehalte usw. Bei höheren Deckungssummen ist eine detaillierte
Risikoanalyse (siehe oben) Voraussetzung. Sowohl hinsichtlich der
Risikoanalysen als auch der versicherungstechnischen
Alternativen/Lösungen ist der professionelle Versicherungsmakler ein
hervorragender Partner. Er kann bei der Auswahl von Consultants helfen
und ist insbesondere bei der Konzeption, Ausschreibung und Platzierung
bedarfsgerechter Versicherungslösungen unverzichtbar.
