Robert Dietrich Cyber

Cyber-Risiken richtig managen

IT-Sicherheit wird in der vernetzten Arbeitswelt zu einem wachsenden Stressfaktor für Unternehmen. Was tun, wenn das eigene ­System attackiert wird? Beratungs- und Service-­Leistungen von Cyber-­Ver­sicherungen unterstützen bei der Prävention und im akuten Schadenfall.

Dieser Beitrag ist Teil von #haftpflicht19. 

#haftpflicht19 packshot

Im Vorfeld der Euroforum-Jahrestagung Haftpflicht 2019 haben uns Sprecher der Veranstaltung
in Interviews und Gastbeiträgen einen Einblick in aktuelle Entwicklungen in den Bereichen Haftpflichtund D&O gegeben.

Verlorene Kundendaten, lahmgelegte oder erpresste Betriebe, gestohlene Geschäfts­geheimnisse – Cyber-­Zwischenfälle ziehen viel­schichtige Konsequenzen nach sich. Ein Blick in die Schlagzeilen reicht, um zu ver­stehen, dass immer mehr Unternehmen von ­Attacken Cyber-Krimineller betroffen sind und mit schwerwiegenden Folgen zu kämpfen ­haben. Einer aktuellen Erhebung des Branchen­verbands BITKOM zufolge wurden in den vergangenen zwei Jahren 68 Prozent der deutschen Unternehmen Opfer von ­digitaler Spionage, Sabotage oder Datendiebstahl. Der Industrie entstand so ein Schaden in Höhe von 43,4 Milliarden Euro.

Cyber-Kriminelle sind nicht wählerisch

Wer zur Zielscheibe wird, hat dabei nichts mit der Unternehmensgröße zu tun. Cyber-Kriminelle fokussieren sich längst nicht mehr nur auf Großkonzerne. Zwar gibt es auch professionelle Hacker, die es auf Großkonzerne abgesehen ­haben. Doch die überwiegende Mehrheit der Cyber-Kriminellen ist opportunistisch und versucht, mit einem Minimum an Aufwand maximalen Schaden anzurichten beziehungsweise für sich einen entsprechenden Gewinn zu erzielen – und das möglichst sicher, also anonym. Ihr Erfolgsrezept geht auf, wie breit angelegte Attacken gezeigt haben. Der Krypto­trojaner WannaCry beispielsweise breitete sich innerhalb weniger Stunden weltweit aus und legte hunderttausende Systeme lahm. Ransomware unterscheidet nicht zwischen Weltkonzern und Mittelständler, sondern verschlüsselt gleicher­maßen alle Daten und fordert Lösegeld von jedem, der nicht aufgepasst hat.

Deutsche Unternehmen scheitern an Cyber-Strategie

Die grundlegenden technischen Abwehrmaßnahmen wie Firewalls und Virenschutz­-
pro­­gramme sind den meisten bekannt, doch nur die Minderheit der Unternehmen bereitet sich um­fassend auf den Ernstfall vor. Wie unser „Cyber Readiness Report 2018“ zeigt, zählen 77 Prozent der deutschen Unternehmen zu den sogenannten Cyber-­Anfängern. Anfänger sind mit ihrer Strategie, den Prozessen, vorhandenen Technologien und Ressourcen nur ungenügend auf Cyber-­Zwischenfälle vorbereitet und schlecht geschützt. Statt sich über Hilfsangebote zu informieren und die Cyber-­Prävention in Angriff zu nehmen, stecken allerdings noch viele Unternehmen den Kopf in den Sand. Nach einem Cyber-­Zwischenfall änderte sich bei 45 Prozent der deutschen Betroffenen nichts. Diese hohen Quoten sind alarmierend, zumal das Thema Cyber-­Sicherheit in der öffentlichen Wahrnehmung immer präsenter wird. Die Verunsicherung bei Unternehmen ist jedoch groß und in vielen Fällen führt sie dazu, dass lieber nichts getan wird, als eine falsche Entscheidung zu riskieren und diese im Zweifelsfall verantworten zu müssen. Wobei Abwarten bei diesem Thema zu deutlich schwerer wiegenden Konsequenzen führen kann.

Ausnahmesituation Cyber-Attacke

Im Ernstfall fällt es oft schwer, einen kühlen Kopf zu bewahren. Dadurch geht wertvolle Zeit ver­loren, in der der Schaden bereits hätte eingedämmt werden können. Simulationen von Cyber-­Attacken haben gezeigt, wie kopflos bzw. überfordert Mitarbeiter in einer solchen Lage oftmals reagieren. Häufig kann auch die eigene IT-Abteilung akute Fragen nicht im Handum­drehen beantworten: Ist ein Back-up vorhanden? Welche Systeme sind bereits vom Virus befallen? Wo finden wir ­einen passenden Anbieter für ein Notfallrechenzentrum, um den Betrieb aufrechtzuerhalten? Muss die Polizei informiert werden oder gibt es jemanden, der ­direkte Hilfe leisten kann? Sollte man auf eine Löse­geldforderung eingehen? Und wer entscheidet eigentlich – der Chef oder der IT-Ver­antwort­liche?

Helfende Hände für den Ernstfall

In unserer Schadenpraxis als Versicherer erleben wir täglich Unternehmen, die mit einem Cyber-­Vorfall umgehen müssen. Sie brauchen im Krisenfall schnelle, kompetente Hilfe. Deshalb unter­stützen wir im Rahmen unseres Cyber­ver­sicherung­­schutzes sofort mit erfahrenen IT-­Spezia­listen, Krisen-PR Beratern und Rechtsberatern. Unser IT-Krisendienstleister ver­­stärkt mit seinem Team die hauseigene IT-Abteilung im Notfall vor Ort. IT-Forensiker analysieren die Systeme, isolieren den Verur­sacher und bereinigen das System, damit der Angreifer nicht erneut Zugriff ­erhält. Sind ­sensible Daten abgezogen worden, müssen ­Benachrichtigungspflichten eingehalten und Betroffene informiert werden. Steht die Reputa­tion eines Unternehmens infolge eines Hacker-­Angriffs auf dem Spiel, werden Experten für ­Krisen-PR beauftragt.

Völlige Sicherheit vor Attacken aus dem Netz kann auch eine Versicherung nicht bieten. Doch mit den umfangreichen Service-Leistungen ­einer Cyber-­Police sowie dem Wissen, dass
finanzielle Schäden abgesichert sind, sind Unternehmen gut vorbe­reitet. In Kombination mit einem gut ausge­arbeiteten Cyber-Krisenplan kann im Schadenfall gemeinschaftlich schnell und kompetent reagiert werden.

Autor: Robert Dietrich, Hauptbevollmächtigter Hiscox Deutschland