Cyberrisiken richtig managen

Cyber­kriminalität wird zum Versicherungs­thema

| Autor / Redakteur: Rudolf Scheller / Peter Schmitz

Cyberangriffe stellen für Unter­nehmen gewaltige Risiken dar, denen sich inzwischen auch die Ver­si­che­rungs­wirt­schaft stellen muss.
Cyberangriffe stellen für Unter­nehmen gewaltige Risiken dar, denen sich inzwischen auch die Ver­si­che­rungs­wirt­schaft stellen muss. (Bild: Pixabay / CC0)

Das Technologiethema Cyberkriminalität wird zunehmend zum Versicherungsthema. Rund 92 Prozent der deutschen Unternehmen schätzen Cyber-Gefahren als kritisch für ihre Betriebs­fähigkeit ein. Gleichzeitig gehen jedoch nur 42 Prozent davon aus, dass der Betrieb durch Ersatzmaßnahmen aufrechterhalten werden könnte. Was also tun, wenn Cyberangriffe die Produktion lahmlegen?

Der "Cyber-Security-Report 2017" (pdf) von Deloitte kommt zu dem Ergebnis, dass die Gefahr für Unternehmen weiter ansteigt und 83 Prozent der deutschen Unternehmen mit über 1.000 Mitarbeitern mehrmals pro Monat mit Cyberattacken konfrontiert sind.

Aus Sicht der Versicherungswirtschaft lassen sich einige Trends im Hinblick auf Cyberrisiken ableiten. Zunächst einmal müssen die Unternehmen davon ausgehen, dass die Attacken stärker ausfallen und die Konsequenzen gravierender sein werden. Das liegt unter anderem an veralteten Systemen, die in vielen Branchen zum Einsatz kommen und den immer versierteren Angreifern nicht standhalten können. Dieser Trend ist vor allem vor dem Hintergrund zu betrachten, dass sich Cyberangriffe und Datendiebstähle immer stärker finanziell lohnen.

Das Internet der Dinge bringt eine neue Qualität der Gefährdung

Eine weitere Entwicklung vollzieht sich in den Branchen selbst. Waren in der Vergangenheit vor allem IT-Umgebungen betroffen, die finanzielle Transaktionen abgebildet haben, drehen sich die Angriffe in Zukunft vermehrt um die Steuerungssysteme von Produktiveinrichtungen. Durch das Internet of Things (IoT) bekommt die virtuelle Welt verstärkt Schnittstellen zur realen Welt – mit allen Konsequenzen. Angriffe auf das IoT betreffen die öffentliche Sicherheit und es dauert vermutlich nicht mehr lange bis Angreifer die Sicherung von kritischen vernetzten Infrastrukturen und Geräten überwinden und Einzelpersonen zu Schaden kommen. Es ist zwar schlimm, wenn persönliche Daten entwendet werden, jedoch erzeugen gehackte Computer oder Smartphones keine unmittelbaren physischen Beeinträchtigungen bei Menschen oder Maschinen. Konventionelle Attacken sind nicht vergleichbar mit den Konsequenzen eines mutwillig herbeigeführten Betriebsunfalls.

Die Versicherungswirtschaft rüstet auf

Vor dem Hintergrund dieser Entwicklung setzt die Versicherungswirtschaft vermehrt auf den Einsatz von Cyberexperten und die Kooperation mit Unternehmen aus dem IT-Sicherheitsumfeld. Denn nur eine valide Evaluierung und Analyse des Risikos stärkt die Resilienz der Unternehmen im Hinblick auf diese Gefahren. Die Risikomanager in den Unternehmen müssen sich darüber im Klaren sein, dass die Beschädigung oder der Verlust von Daten Konsequenzen auf unterschiedlichen Ebenen hat. So haben die Daten je nach Detailgrad der Information, und meist auch nach Branchenherkunft, einen unterschiedlichen Wert. Viel wichtiger ist es, den potenziellen Ertragsausfallschaden, der durch Datenverlust oder -beschädigung entstehen kann, zu betrachten.

Informationssicherheit deutscher Firmen stagniert

Carmao Business Information Risk Index 2018

Informationssicherheit deutscher Firmen stagniert

19.04.18 - Die Informationssicherheit der deutschen Firmen tritt seit letztem Jahr auf der Stelle und weist unverändert hohe Defizite auf. Zu diesem ernüchternden Ergebnis kommt der Business Information Risk Index 2018 von Carmao auf Basis einer Befragung von über 2.000 Führungskräften. Aktuell liegt lediglich der Finanzsektor leicht über der kritischen Grenze, alle weiteren neun untersuchten Branchen befinden sich teilweise tief im roten Bereich. lesen

Keine Daten, kein Ertrag!

Weitere Punkte sind die resultierenden Ertragsausfallschäden und die vorübergehenden Kosten zur Verteidigung gegen Cyberangriffe. Oft wird übersehen, dass die digitalisierte Wirtschaftswelt ohne ihre Daten überhaupt nicht mehr einsatzfähig ist. Mit jedem Tag, der vergeht, gehen den betroffenen Unternehmen Einnahmen durch nicht erfolgte Produktion oder nicht erbrachte Services verloren, die dann folgerichtig in Umsatzeinbrüchen resultieren. An dieser Stelle ist noch nicht einmal der Image-Schaden erwähnt, der selbst für einen Versicherer schwer zu beziffern ist. Auch der Abgang von Kunden und fallende Aktienkurse gehören zu den negativen Folgen. Um das Risiko und die Konsequenzen von Cyberangriffen zu bestimmen und letztlich auch die Versicherungsprämien zu definieren, beziehen Versicherungsunternehmen unterschiedliche Parameter mit ein.

  • 1. Branchenherkunft: Aktuell gehören zu den Top 5 der Branchen, die von Cyberattacken betroffen sind, die Finanzwirtschaft, Services und Consulting, Telekommunikation, Produktion und die Versicherungsbranche selbst. Für sie ist der Aufwand entsprechend höher, die eigene Resilienz gegenüber den Folgen von Cyberangriffen zu stärken.
  • 2. Hauptstandort der IT: Je nachdem, in welchem Land sich der Hauptsitz des Unternehmens – und damit zumeist auch der IT – befindet, ist die Bedrohungslage höher einzuschätzen. Hier kommen vor allem Aspekte zum Tragen, die beispielsweise den Einsatz von geschultem Personal für IT-Sicherheit sowie den Einsatz fortschrittlicher Abwehrtechnologien betreffen.
  • 3. Niederlassungen: Wenn ein Unternehmen Niederlassungen in tendenziell politisch und gesellschaftlich instabilen Ländern betreibt, steigt auch die Wahrscheinlichkeit von Angriffen auf den Datenbestand.Der Resilience Index von FM Global gibt unter anderem auch Aufschluss darüber, wie stark die Resilienz einzelner Staaten im Hinblick auf Cyberrisiken ausgeprägt ist.

Ein ganzheitliches Bild schaffen

Der Evaluierungsprozess eines Versicherers umfasst neben den Kernaspekten der physischen und der logischen Sicherheit auch Aspekte der Infrastruktur, wie Steuerungselemente und Stromversorgung. Es geht ausdrücklich nicht nur darum, einen Fragebogen mit dem zuständigen Risikomanager und dem CIO auszufüllen. FM Global beispielsweise prüft die Verhältnisse vor Ort beim Kunden mit der Hilfe seiner Ingenieure, um ein umfassendes Urteil über die Versicherungsleistung fällen zu können. Hier geht es u.a. um bauliche Fragestellungen, die den Zugang von Personen zu den IT-Systemen betreffen. Aus der Analyse resultiert eine Beratung des Kunden, sowohl im Hinblick auf die Absicherung der Daten als auch im Hinblick auf die Versicherung des Geschäftsrisikos bei Verlust oder Beschädigung. Eine wesentliche Deckung umfasst dabei folgende Aspekte:

  • Schäden an Daten, Programmen oder Software verursacht durch Viren oder andere schädigende Schadsoftware.
  • Computernetzwerk Service-Unterbrechung verursacht durch eine schädigende Cyberaktivität
  • Drittanbieter-Datendienstunterbrechung (Cloud-Ausfall), die zu einer Betriebsunterbrechung und/oder zu Sachschäden führt.
  • Resultierender Sachschaden und Betriebsunterbrechung auf einer All-Gefahren-Basis zur Police oder des Standort-Limits. Eine gute Police schließt dabei keine Cyberlimits für Sachschäden an versichertem Eigentum oder Ausfallzeiten aufgrund eines Cyberangriffs aus.

Vorsorge ist besser als Nachsorge

Hacker werden selten vor Gericht gestellt. Dies liegt zum einen an der Komplexität der Verbrechen, zum anderen aber auch an Komplikationen, die mit der Durchsetzung der Gesetze verbunden sind. FM Global ist der Meinung, dass die Mehrzahl der Schäden durch Cyberangriffe vermeidbar ist. Zudem ist es grundsätzlich leichter, Schäden vorzubeugen, als sich von ihnen zu erholen. Unser Ziel ist die Stärkung der Resilienz von Unternehmen, indem wir seit Jahrzehnten erprobte Prinzipien zur Optimierung der Risikoqualität auf die digitale Welt übertragen.

Über den Autor: Rudolf Scheller ist seit 2006 Chief Underwriting Technical Specialist der FM Global Deutschland. Im Rahmen dieser Position ist er für das Versicherungsprodukt sowie die fachliche Führung von Account Managern und Underwritern der FM Global Deutschland verantwortlich.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45369739 / Risk Management)