Unternehmen im IT-Sicherheitsdilemma
Trotz steigender Bedrohungslage ist das Thema IT-Sicherheit in weiten Teilen der deutschen Wirtschaft noch nicht bis in die Chefetagen vorgedrungen., so eine aktuelle Bitkom-Studie von 2015. Dabei ist der Schaden durch Cyberattacken und Produktpiraterie enorm hoch: 51 Milliarden Euro Gesamtschaden. Ganz neue Dimensionen entstehen durch beauftragbare Internetpiraten („Crime as a service“) und fortschreitende Digitalisierung (Web 4.0). Erste Insolvenzen durch hackerbedingte Betriebsunterbrechung gab es bereits.
Eine eindrucksvolle Online-Darstellung der zur Sekunde laufenden Angriffe erhalten sie beim Sicherheitstacho der Telekom- Werfen Sie ruhig auch einen Blick auf die verfügbaren Statistiken.
Doch mangels gesetzlicher Grundlagen und aus falscher Scham werden diese Ereignisse nicht öffentlich gemacht. Es ist grotesk: Der Bundestag beschließt das IT-Sicherheitsgesetz, während eine Cyber-Attacke seine IT-Infrastruktur schwer beschädigt. Deutlicher kann man nicht zeigen, welches Risiko mit der der Digitalisierung der Arbeitsprozesse verbunden ist.
Was ist zu tun, um die IT Sicherheit zu verbessern und das Restrisiko abzusichern?
Schritt 1: Die eigene Risikosituation einschätzen
Frage: Welcher Angreifer interessiert sich für mein Unternehmen?
- Außentäter Die Angreifer schauen weder auf den Ruf noch auf den Namen Ihres Unternehmens, sie suchen nur offene Zugänge in Ihr IT-System. Arbeitet ihr Unternehmen mit elektronischer Datenverarbeitung? Haben Sie IP-Adressen und Schnittstellen ins Internet? Dann sind sie potentielles Opfer.
- Allerdings sind Außentäter nicht etwa nur Täter mit Sitz im Ausland. Eine Bitkom-Studie von 2014 ermittelte, dass die kriminellen Handlungen oft innerhalb der Grenzen stattfinden: Bis zu 45 % der Cyber-Kriminalität geht von Deutschland aus.
- Innentäter sind das unterschätzte Risiko. Der Täterkreis ist oft in den eigenen Reihen zu suchen: Gemessen an den kriminellen Handlungen sind die Täter mit bis zu 66 % unter (ehemaligen) Mitarbeitern zu suchen
Frage: Was kostet mich eine digitale Betriebsunterbrechung und die Wiederherstellung meiner infizierten IT -Infrastruktur?
Das hängt natürlich vom Einzelfall ab. Aber: Unternehmen sind von existentiell bedrohlichen Angriffen betroffen. Berichte hierüber gibt es allerdings nur von Konzernen. Der Mittelstand vermeidet aus verständlichen Gründen bei solchen Ereignissen die Publizität.
Zwei Beispiele aus der Realität
- Ein entlassener Mitarbeiter zerstört Produktionsparameter, Kundenanpassungen und Planungsunterlagen – das kann passieren, weil eine Zugangsberechtigung vergessen wurde. Kosten für Umsatzausfall und Wiederherstellung/ Rettung der Daten: € 450.000,00
- Ein Unternehmen der chemischen Industrie fängt sich über eine infizierte E-Mail eine Schadsoftware ein. Kontodaten werden manipuliert, Zahlungen in Höhe € 100.000,00 von einem Kunden werden umgeleitet und gehen dem Unternehmen verloren. Die Schadsoftware verbreitet sich auf dem Produktionssystem, die Produktion fährt unkontrolliert herunter, die Produktionsanlage wird beschädigt. Kosten für Umsatzausfall, Forensik, Wiederherstellung der Systeme: € 1,3 Millionen
Schritt zwei: Den eigenen IT-Sicherheitsstatus feststellen
Ein einfaches webbasiertes Selbst-Audit kann einen ersten Überblick über die Technik, Organisation und ihre Prozesse geben. Eine gute Basis, um gemeinsam mit der IT-Abteilung die Anforderungen abzuleiten.
Der Quick-Check der Versicherer liefert anhand von 39 Fragen für eine solide Einschätzung der Risikosituation. Das Ergebnis ist eine Art Risikolandkarte, als Grundlage der weiteren Diskussion.
Maßgeschneiderte Testierung von Cyber-Security in Unternehmen: Mit Tools wie dem Selbst-Audit durch den VdS-Quick-Check, vor allem aber mit der neuen VdS-Richtlinie 3473 können Unternehmen und Kommunen einen neuen Standard zur Bewertung ihrer IT-Sicherheit entwickeln. Ein VdS-Zertifikat schafft Vertrauen bei Kunden und Lieferanten, entspricht dem IT-Sicherheitsgesetz und unterstützt gleichzeitig Versicherer bei der Einschätzung des Cyberrisikos.
Schritt 3: Das Restrisiko absichern – durch eine Cyber-Versicherung
Damit eine Versicherung abgeschlossen werden kann, muss das Risiko genau definiert werden. Dazu bieten sich folgende Schritte an, die wir als Versicherungsmakler mit unseren Kunden gemeinsam durchgehen:
- Anhand aktueller Schadenerfahrung lässt sich das Schadenpotenzial darstellen: Die Bedrohung kann durch die Einschätzung des IT-Leiters konkretisiert werden, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware auf dem System benötigen.
- Folgekosten berechnen: Die schrittweise Ermittlung der Wiederherstellungskosten, Kosten für Kundeninformation und Anwaltskosten macht die (oft existenzbedrohenden) Auswirkungen deutlich.
- Weitere Bedrohungsszenarien ausloten: Betriebsunterbrechungen, Erpressungssituation und Geld-Umleitung z. B. Besonders gefährdet sind außerdem Branchen, bei denen das Risiko eines Kreditkarten- oder Patientendatenverlusts besteht.
- Den potenziellen Schaden ermitteln: Auf Basis der erworbenen Erkenntnisse lässt sich der potentielle Schaden und damit die Versicherungssumme leicht ermitteln.
- Ausschlüsse aufspüren: Die bestehenden Versicherungspolicen müssen immer mit der Cyber-Police abgeglichen werden, um Ausschlüsse zu erkennen, die ‚vor der digitalen Revolution’ formuliert wurden und für den Cyber-Fall relevant sind.
- Angebote zur Cyber-Versicherung einholen: Die Cyber-Versicherung muss auf das Unternehmensrisiko abgestimmt sein.
- Notfallplan erstellen: Der Notfallplan ist der mit dem Versicherer abgestimmte Fahrplan für alle Beteiligten im Schadenfall. Eine schnelle und abgestimmte Reaktion verhindert weitere Folgeschäden.
Welche Kosten übernimmt die Cyber-Versicherung?
- Schadenersatzansprüche Dritter (Abwehr unberechtigter Ansprüche, Ausgleich berechtigter Ansprüche)
- Ertragsausfall infolge Unterbrechung des Betriebs
- Kosten für forensische Untersuchungen
- Kosten für externe Unterstützung bei Aufklärung
- Kosten für Einschaltung PR-Berater
- Wiederherstellungskosten bei Verlust/Zerstörung eigener Daten und Netzwerke
- Erpressungsforderungen durch Hacker
- Benachrichtigungskosten bei Verstößen gegen Datenschutz-Vorschriften
Über den Autor: Achim Fischer-Erdsiek ist Geschäftsführer der ProRisk Gesellschaft für Risikomanagement mbH in Hannover.