Wurden Sie schon gehackt?

Cyber-Attacken werden immer häufiger. Schützen Sie sich!

(Foto: Shutterstock)
(Foto: Shutterstock)
„Ich bin überzeugt, dass es nur zwei Arten von Unternehmen gibt: Diejenigen, die schon gehackt wurden und diejenigen, die noch gehackt werden.“ Diese Aussage des FBI-Direktors Robert Mueller ist seinerzeit häufig belächelt worden, heute ist sie bittere Realität! Nahezu täglich berichten betroffene Unternehmen und die Wirtschaftspresse über massivste Störungen im gesamten Bereich der internen und externen Datennutzung und Datenverarbeitung mit gravierenden Auswirkungen auf Arbeitsabläufe, Produktion und auf das Vertrauensverhältnis zwischen dem betroffenen Unternehmen, den Lieferanten und Kunden und der Öffentlichkeit.  Die Ursachen dieser Probleme sind vielfältig; es können technische Störungen in Datenverarbeitungs- und Steuerungsanlagen, absichtliche oder unabsichtliche Fehlbedienungen von Mitarbeitern oder kriminelle Angriffe durch Dritte von außen sein, die sogenannten Cyberattacken. Dieser Terminus ist heute im betrieblichen wie auch im privaten Bereich gegenwärtig, und nahezu jeder ist von Angriffen in mehr oder weniger gravierender Weise schon betroffen und beeinträchtigt worden. Aktuelle Beispiele für gravierende cyberbasierte Eingriffe in Betriebsprozesse sind Abfahren eines Hochofens, Zahlungen an Dritte (Fake President), Diebstahl von Hochregal-Lagerdaten, Blockierung von Telefon-/Internetsystemen.

Was ist eigentlich Cyber?


Nach einer möglichen Definition ist der Begriff abgeleitet vom engl. Cybernetics, der Kybernetik und damit von der Lehre von Regel- und Steuerungsvorgängen. Cyber und Cyberspace beschreiben künstliche Realitäten und umfassen speziell durch das Internet alle weltweit erreichbaren Informationssysteme und -strukturen.
Über 90 Prozent der deutschen Unternehmen haben Internetzugang; ein Großteil nutzt Cloud-Dienste. Die Digitalisierung der gesamten Wertschöpfungskette nimmt rasant zu. Die globale Vernetzung von Informationsströmen mit direkten Einflüssen auf betriebliche Vorgänge wie Beschaffung, Produktion, Absatz und Verwaltung (Industrie 4.0) schafft damit auch eine besorgniserregende Risikosituation für alle Teilnehmer.
Nahezu jedes zweite Unternehmen ist bereits Opfer von zufälligen oder zielgerichteten (z. T. bestellten!) Attacken geworden. Die Hackerangriffe mit Datendiebstählen betreffen keineswegs nur Großunternehmen, sondern in besonderem Maß den Mittelstand. Hier wird die organisatorische und anlagentechnische Datensicherheit vielfach nicht ausreichend geprüft, ständig aktualisiert und damit relativ gesichert.

Typische Schwachstellen erleichtern Cyber-Angreifern das Eindrigen in mittelständische IT-Systeme:
   
  • Sicherheitsaudits im eigenen Unternehmen und auch bei Geschäftspartnern sind noch kein Standard
  • Es gibt kaum eindeutig definierte Sicherheitsregeln zum Schutz sensibler Daten
  • Es werden selten Status- und Bedarfsanalysen erstellt
  • Vorhandene Sicherheits-Tools werden unzureichend genutzt
  • Das Risiko aus mobil eingesetzten Geräten wird unterschätzt
  • Risiken aus dem Informationsaustausch in sozialen Netzwerken werden außer Acht gelassen.
  • Die Mitarbeiterloyalität ist schwer einschätzbar (insbesondere bei strukturellen Veränderungen im Unternehmen)
  • Die rechtlichen, finanziellen und öffentlichen Auswirkungen von Cyberrisiken/-schäden werden unterschätzt.

Zur Minimierung der Risiken (Eintritts- und Auswirkungswahrscheinlichkeiten) durch Cyber-Angriffe bietet sich, wie auch bei anderen „traditionellen“ Risiken, folgendes Vorgehen an:
   
  • Detaillierte Aufarbeitung, Analyse und Bewertung des Ist-Standes in den Bereichen IT, Compliance und Recht   
  • Regelmäßige Überprüfung und Aktualisierung der Erkenntnisse und Maßnahmen
  • Einrichtung einer Notfall-Planung und Benennung eines Krisenmanagements
  • Verlagerung von Tätigkeiten und/oder Risiken auf Dritte (Service-Provider) und auf Versicherer.
Es wird häufig hilfreich sein, an dieser Stelle spezielle Beratungsunternehmen hinzuzuziehen. Die eigenen IT- und Rechtsabteilungen kennen zwar die Art und Qualität der implementierten Maßnahmen, aber Consultingunternehmen kennen aus der Vielzahl der unterschiedlichen Verhältnisse, Vorgänge und Anforderungen die Risiken und Lücken und wissen, wie intern und extern vorgegangen werden kann. Durch diese Identifizierung, Bewertung und zumindest partielle Beseitigung von Schwachstellen wird die Risikolage schon deutlich besser. In geringem Umfang kann bereits Versicherungsschutz über traditionelle Versicherungsverträge (z.B. Sach- und Betriebsunterbrechung, Vertrauensschaden, Elektronik, Haftpflicht, Kidnapping und Ransom) bestehen. Eine relativ weitgehende Deckung ist aber heute über sogenannte Cyber-Schutz-Policen beschaffbar. Diese Deckungen werden mittlerweile von etlichen Versicherern mit unterschiedlichen Bezeichnungen angeboten. Das Bedingungswerk ist uneinheitlich, redaktionell und substanziell nur schwer vergleichbar. Außerdem wird das Wording in kurzen Abständen den Marktanforderungen und dem Wettbewerberverhalten angepasst.

Versicherbar sind im Wesentlichen:
 
  • Haftpflichtansprüche Dritter, z.B. durch Vertraulichkeits- und Datenschutzverletzungen, Netzwerkssicherheitsverletzungen, Vertragsstrafen
  • Eigenschäden/Kosten wie Informationskosten, Betriebsunterbrechungen, Datenmanipulation, Erpressung, forensische Dienstleistungen (zur Feststellung von Ursachen und Umfängen), Krisenberatungskosten (zur Vermeidung von Reputationsschäden und zu angemessener Information der Geschäftspartner, Behörden und Öffentlichkeit)
  • Lösegeld
Die Prämien für diese Cyberdeckung sind einzelfallbezogen. Kriterien sind u. a. die Art des Unternehmens, Sicherheitsstandards, Deckungsumfänge, Versicherungssummen, Selbstbehalte usw. Bei höheren Deckungssummen ist eine detaillierte Risikoanalyse (siehe oben) Voraussetzung. Sowohl hinsichtlich der Risikoanalysen als auch der versicherungstechnischen Alternativen/Lösungen ist der professionelle Versicherungsmakler ein hervorragender Partner. Er kann bei der Auswahl von Consultants helfen und ist insbesondere bei der Konzeption, Ausschreibung und Platzierung bedarfsgerechter Versicherungslösungen unverzichtbar.
Ausgabe 03/2017