Blog

Digitalisierung und Cyber-Crime

Herausforderung, Chancen und Risiken – Von Axel Pistorius

Das Thema Digitalisierung hat in den letzten Jahren immens an Bedeutung gewonnen. Gern werden die Chancen herausgestellt, die in den Bereichen Big Data, künstlicher Intelligenz und Social Media liegen. Bei alledem sollte man nicht vergessen, Abwehrstrategie für Cyber Crime zu entwickeln. Dazu im Folgenden einige Ansätze.

Mit der Industrie 4.0 bricht ein neues Zeitalter an. Damit sind enorme Chancen verbunden. Lang bewährte Prozesse werden neu überdacht. Die Digitalisierung hat einzelne Branchen schon grundlegend umgekrempelt. An Amazon, Google und Co. kommt man in vielen Branchen schon heute nicht mehr vorbei. Viele Unternehmen müssen ihren Platz in dieser neuen Welt noch finden.

Es stellt sich die Frage, ob uns die Digitalisierung antreibt oder ob wir von ihr getrieben werden. Nicht nur für Unternehmen erschließen sich neue Märkte und Ertragsquellen. Die Digitalisierung ist auch ein Einfallstor für kriminelle Energie. Das Cyberrisiko steigt überproportional an. Die digitale Abhängigkeit macht verwundbar. Befürchtet werden ungeklärte Haftungsfragen bei Datendiebstahl, Folgen von Erpressung, Betriebsunterbrechung und die Gefahr eines Reputationsverlustes.

Es stellt sich die Frage, ob uns die Digitalisierung
antreibt oder ob wir von ihr getrieben werden.

Die Angst vor Cybervorfällen nimmt bei Unternehmen über den ganzen Globus zu. Nach dem Allianz Risk Barometer 2016 werden weltweit die Risiken von Cybervorfällen höher eingestuft als Naturkatastrophen1. Schätzungen zu Folge kostet die Cyberkriminalität die Weltwirtschaft schon heute jährlich 445 Mrd. US-Dollar2. Im Schnitt vergehen, Studien zufolge 90 Tage bis Unternehmen überhaupt merken, dass sie gehackt worden sind.

Bis der Angreifer wieder aus dem Unternehmen gedrängt wird, vergehen im Durchschnitt sogar 200 Tage. Dabei nimmt die Anzahl der Angriffe stetig zu. Volkswagen muss beispielsweise jede Woche 6.000 Angriffe aus dem Internet abwehren3. Die „Cyber-Sicherheitsumfrage 2015“, durchgeführt vom Bundesamt für Sicherheit in der Informationstechnik (BSI), hat ergeben, dass 58% der Unternehmen in den letzten beiden Jahren Ziel von Cyberattacken gewesen sind.

Wie geht man also mit dem Risiko um? Eine Patentlösung gibt es nicht. Klar ist aber, dass die Bewältigung der Cyberrisiken Chefsache ist. Die Bewertung sollte im Gleichschritt mit der stetigen Weiterentwicklung der Digitalisierung erfolgen. Die Abwehrstrategie sollte individuell auf das Unternehmen abgestellt sein. Eine sinnvolle Herangehensweise zur Identifizierung der individuellen Gefährdung kann u.a. sein, sich die typischen Ziele der Hacker anzusehen:

  1. Industriespionage – Besonders gefährdet: innovative Unternehmen, Markt-und Technologieführer. Besonders schwierig, da die Täter sehr darauf bedacht sind, keine Spuren zu hinterlassen und meist lange Zeit unbemerkt bleiben.
  2. Entwendung von Bankdaten und Kreditkartendaten – Besonders gefährdet: Alle Unternehmen die Bankdaten speichern. Die Betroffenen erlangen von der Entwendung in der Regel erst dann Kenntnis, wenn der Betrug beim Kunden oder beim Bankinstitut bemerkt wird. Ein Reputationsverlust ist zu befürchten.
  3. Erpressung – Entwenden von sensiblen, persönlichen Kundendaten. Ungewollte Veröffentlichung von Kundendaten kann für das Unternehmen zu einem erheblichen Image und auch Haftungsschaden führen. Die Androhung der Blockierung von infrastrukturellen Einrichtungen trifft hingegen eher die öffentliche Hand.

Darüber hinaus gefährden Hacker mit weiteren sehr unterschiedlichen Zielsetzungen die Unternehmen: Über Enthüllungsplattformen zu Cyberkriegern bis hin zum Terrorismus. Zu unterscheiden ist zwischen dem zielgerichteten Angriff und flächendeckenden Attacken, die sich über Netzwerke und Massenemails verbreiten.

Gefälschte Emails, die augenscheinlich vom Geschäftsführer stammen und in denen vertrauliche Informationen abgefragt werden, nehmen zu. Ebenso gefälschte Emails von Mitarbeitern an die Personalabteilung, die eine neue Bankverbindung zur Gehaltsüberweisung vorgeben.

Auch erfolgt der Angriff nicht immer online. Betrüger geben sich auch schon mal als Mitarbeiter der Personal- oder IT-Abteilung aus und fragen telefonisch Bank- oder Zugangsdaten ab. Darum gehört neben der Aufrüstung der IT die Sensibilisierung der Mitarbeiter zu den wichtigsten Präventivmaßnahmen. U.a. sollte klar definiert und kommuniziert werden, welche Informationen niemals per Email abgefragt werden. Notwendig ist eine Art digitales „Brandschutzkonzept“ inkl. Notfallplan.

Dazu gehört auch die Einschränkung der Zugriffsrechte der Mitarbeiter im Firmennetzwerk. Eventuell macht es Sinn, für besonders kritische Bereiche ein Offline-Netzwerk einzurichten.

Kommt es zum Schaden, muss umgehend reagiert werden. Die Informationswege sollten schon vorher geregelt sein. Zu prüfen ist auch, sofern Mitarbeiter oder Kunden betroffen sein sollten, ob eine Informationspflicht besteht und zuständige Behörden einzuschalten sind.

Es sollte klar kommuniziert werden, welche
Informationen niemals per Email abgefragt werden.

Für viele kleinere und z.T. auch mittelständische Unternehmen ist es nicht wirtschaftlich, eigene Personalressourcen für IT-Sicherheit vorzuhalten. Sie sollten sich externe Hilfe ins Haus holen. Ferner sollten die Versicherungen hinsichtlich der Cybergefahren überprüft werden. Die Assekuranz hat in jüngster Zeit mit neuen Cyberdeckungen auf den steigenden Bedarf reagiert.

Neben dem Haftungsrisiko sind dort auch Eigenschäden abgedeckt. Die Bandbreite was versicherbar ist, ist relativ breit. Abgedeckt werden können u.a. die Kosten zur Datenwiederherstellung, bei Erpressung: Kosten der Beseitigung der Gefahr, die IT-Forensik zur Identifizierung der Sicherheitslücke bei Schadenverdacht, Kosten für Krisenmanagement und Reputationsmaßnahmen, Eigenschaden wegen Computerbetrug und der Ertragsausfallschaden.

Um den Schaden gering zu halten, liegt es dann auch im Interesse des Versicherers das Unternehmen schnellstmöglich wieder handlungsfähig zu machen. Dies ist ein nicht zu unterschätzender Aspekt für den Unternehmer.

 Eine Versicherungslösung speziell für Unternehmensberater

Beim Risiko ist zwischen Dritt- und Eigenschaden zu differenzieren. Der Drittschaden tritt in diesem Zusammenhang in Verbindung mit der Verletzung von Datenschutzgesetzen und Vertraulichkeitsverletzungen auf, für die der Unternehmensberater haftbar gemacht werden kann. Verfügt der Berater über eine Vermögensschadenhaftpflichtversicherung, sollte er prüfen, ob und in wie weit diese Drittschäden dort abgedeckt sind. In Ergänzung dazu müssten dann nur noch die Eigenschäden abgedeckt werden.

In der Eigenschadendeckung sollte u.a. der wichtige
Bestandteil der IT-Forensik enthalten sein.

In der Eigenschadendeckung sollte u.a. der wichtige Bestandteil der IT-Forensik enthalten sein, um die Bedrohung bzw. den Angriff schnell zu identifizieren und zu beseitigen. Insbesondere bei kleineren Beratungshäusern ist es dabei wichtig, dass der Versicherer auch die Kosten der Serviceleistung trägt, wenn sich der Verdacht des Cyberangriffs nicht bestätigt, sondern sich beispielsweise „nur“ ein Programm- oder Hardwarefehler herausstellt.

Beachtet werden sollte auch, dass nicht nur die Wiederherstellung von Programmen, sondern auch die Wiederherstellung der Daten mitversichert ist. Sollten Daten in der Cloud gespeichert sein, wäre der Einschluss des Datenverlustes beim externen Dienstleister zu empfehlen.

Über: Pistorius & Partner GmbH

Die Pistorius & Partner GmbH wurde 1992 als Versicherungsmaklerunternehmen gegründet. Von Beginn an spezialisierte man sich auf die Identifizierung und Bewältigung von existenzgefährdenden Risiken für kleine und mittelständische Unternehmen. Seit 2005 betreut die Pistorius & Partner GmbH den Bundesverband freier Berufe und die KMU Berater e.V. Für die Mitglieder des Verbandes hat man spezielle Rahmenkonzepte u.a. im Bereich Vermögensschadenhaftpflicht- und Cyberversicherung erstellt und stetig nach den sich wandelnden Anforderungen weiterentwickelt.

Aufgrund einer Meistbegünstigungsklausel profitieren alle versicherten Mitglieder unabhängig vom Zeitpunkt des Vertragsabschlusses von allen Verbesserungen des Rahmenvertrages. Da nahezu alle Mitglieder an diesem Vertrag teilnehmen, hat dies zudem den Vorteil, dass die versicherten Berater über P&P den Draht in die Führungsebene des Underwriting des Versicherers haben.

Kontakt:

Axel Pistorius
Pistorius & Partner GmbH
Tel (089) 17 80 94 80
info@pistorius-gmbh.de

Quellen
1 Allianz Risk Barometer 2016
2 Vgl. Germis, C.: Jede Woche 6000 Angriffe aus dem Internet gegen VW, faz.net, Berlin 18.08.2016
3 Vgl. ebenda

 

Es sind noch keine Kommentare vorhanden. Schreibe Du den ersten!

Schreibe einen Kommentar

 

« zurück zur Liste

Kategorien

Archiv

Wie funktioniert der Blogzugang?

Die Beiträge der Kategorie News sind dauerhaft frei zugänglich. Für alle anderen gilt: Freier Zugang auf Seite 1 des Blogs. Ab Seite 2 brauchst du die Zugangsdaten, um alle - über 400 - Beiträge ansehen zu können.

Als Mitglied des StrategieNetzwerks kannst du alle Beiträge freischalten. Oder du buchst ganz einfach den Zugang zur StrategieDatenbank: