illu cc0 pixabay

Verfügt Ihr Unternehmen über ein Computernetzwerk? Sind vertrauliche Lieferantenverträge oder Personaldaten auf Ihrem Server abgelegt? Managen Sie Lagerhaltung, Rohstoffbeschaffung und Auslieferung über ein ERP-System? Warten Sie Ihre Maschinen online oder per App? Betreiben Sie Ihre Webseite im Haus selbst? Und verwenden Ihre Außendienstler mobile Geräte, mit denen Sie sich in das Unternehmenssystem einloggen? Wie hoch wäre der Schaden, wenn Fremde auf diese Systeme Zugriff erhielten, es manipulieren oder lahmlegen würden?

Unsichtbares Risiko mit weitreichenden Folgen

Im 17. und 18. Jahrhundert galt Feuer als das größte Risiko: es konnte ganze Städte, vor allem aber die eigene Existenz vernichten. Eine Feuerversicherung war daher vielerorts Pflicht. Das 21. Jahrhundert ist vor allem digital geprägt – das gilt auch für wirtschaftliche Belange: »Kaum eine unternehmerische Aktion kommt heute ohne den Austausch elektronischer Daten aus«, erklärt Markus Hoffmann, Kundenbetreuer beim Hamburger Industrieversicherungsmakler Gossler, Gobert & Wolters. »Daher ist eines der größten Unternehmensrisiken heute unsichtbar – und wird vielleicht genau deshalb unterschätzt: Im Ernstfall bringt eine Datenpanne oft nicht einmal einen physischen Schaden mit sich. Und doch kann sie existenzbedrohende Folgen für ein Unternehmen haben – nämlich dann, wenn keine Bestellungen oder Waren mehr abgerufen oder produziert, keine Rechnungen mehr bearbeitet werden können, wenn die Logistik still steht und einzelne Maschinen oder ganze Anlagen außer Betrieb gesetzt werden.«

Angreifer aus der virtuellen Welt

Vor allem durch Schadprogramme erlangen Angreifer Kontrolle über Endsysteme. Sie können Informationen ausspähen und manipulieren, Systeme lahmlegen oder Erpressungsversuche starten. Das Bundeskriminalamt schätzt in seinem Cybercrime Bundeslagebild 2014 die Anzahl der Schadprogramme auf mittlerweile 250 Millionen – täglich kommen rund 300.000 hinzu. Auf diese Weise würden in Deutschland jeden Monat rund eine Million Rechner infiziert.

»Die Betroffenen stehen oft ohnmächtig vor dem Schaden«, beschreibt Hoffmann den Moment, in dem die Verantwortlichen begreifen, was gerade passiert. »Beim Angriff auf den Deutschen Bundestag war selbst vier Wochen nach Bekanntwerden der Attacke weder klar, wie viele und welche Rechner überhaupt betroffen waren, noch fand man in dieser Zeit ein adäquates Mittel, um den eingeschmuggelten Trojaner unschädlich zu machen. Am Ende wurde das komplette Netzwerk des Bundestages ausgetauscht. Eine solche Infizierung von PCs und Netzwerkkomponenten kann jedes Unternehmen treffen.« Hinzu kommt, dass ein Angriff oft erst viel später erkannt wird: Laut einer Studie des Ponemon Instituts vergehen im Durchschnitt 46 Tage, die den Tätern Zeit geben, unentdeckt geheime Daten herunterzuladen, Bestellungen oder Lagerbestände zu verändern oder die Steuerung von Maschinen zu übernehmen. »Ein Schadprogramm kann außerdem monatelang inaktiv in einem System schlummern«, weiß der Versicherungsspezialist. »Wenn unklar ist, wann das Programm in das Netzwerk gelangt ist, bietet selbst eine regelmäßige Sicherung der Serverdaten kein wasserdichtes Back-up.«

Schadenverursacher auch im Unternehmen selbst

Nicht immer muss es jedoch ein feindlicher Hackerangriff oder eine Manipulation von außen sein: Fast ebenso häufig sind Mitarbeiter im Unternehmen – meist aus Versehen – an Datenschutzverletzungen mitbeteiligt. Laut Hoffmann seien das zum Beispiel verloren gegangene Smartphones mit E-Mails oder Laptops mit vertraulichen Unternehmensdaten inklusive Zugriff auf das Firmennetzwerk. Hinzu kämen die lasche Handhabung von Passwörtern, die Nutzung bereits infizierter Devices wie etwa USB-Sticks oder die versehentliche Fehlleitung einer E-Mail mit vertraulichen Vertragsdetails an den falschen Geschäftspartner, die zu Datenschutzverletzungen führen können.

Hohe Kosten bei digitaler Datenpanne

Laut Digitalverband Bitkom sind knapp drei Viertel aller deutschen Unternehmen in den vergangenen zwei Jahren Opfer von Cyberangriffen geworden. Die Kosten für einen verlorenen Datensatz betragen durchschnittlich knapp 190 Euro. »Der Betrag setzt sich aus Kosten für die Analyse des Angriffs, der Wiederherstellung der Daten, der Benachrichtigung der betroffenen Kunden, Geschäftspartner und Behörden sowie einem möglichen Verdienstausfall durch den entstandenen Imageschaden und der damit verbundenen Abwanderung von Kunden zusammen«, erklärt Markus Hoffmann. »Und auf den ersten Blick wirkt die Summe tatsächlich nicht bedrohlich. Eine Studie des Ponemon-Instituts ermittelte pro Datenpanne aber immerhin zwischen 3.700 und 90.000 betroffene Datensätze. Legt man hier die durchschnittlichen Kosten pro Datensatz zugrunde, führt das jedoch zu Schadensummen zwischen 0,7 und 17 Millionen Euro.«

Objektive Risikoermittlung und -Bewertung als wesentlicher Bestandteil des Risikomanagementprozesses

In deutschen Unternehmen herrscht in Bezug auf die Risiken einer Cyberattacke bislang digitale Sorglosigkeit. Doch diese Sorglosigkeit sollte zumindest auf einer objektiven Ermittlung und Bewertung potenzieller Gefahren und Schadenerwartungswerte basieren. Welche Cyberrisiken ergeben sich individuell für das Unternehmen? »Dazu zählen beispielsweise Datenverluste, Datenschutzverletzungen, Hackerangriffe, Erpressungsversuche, Persönlichkeitsverletzungen und Rufschädigung, Ausspähen von vertraulichen Daten und Ertragsausfälle durch eine Betriebsunterbrechung«, erklärt Hoffmann. Wichtig sei auch eine Analyse der digitalen Schnittstellen im Unternehmen. »Welche könnten das Eintreten der vorgenannten Risiken begünstigen und wie könnte eine Manipulation von innen und außen – absichtlich oder unabsichtlich – aussehen?« Darüber hinaus stellt sich auch die Frage, welche finanziellen, zeitlichen und organisatorischen Folgen beispielsweise ein Komplettausfall der IT hätte? »Für einen DoS-Angriff muss ein Angreifer nicht einmal in das Firmennetzwerk eindringen«, weiß Hoffmann. »Er bombardiert Server, Rechner oder sonstige Komponenten eines Datennetzes mit so vielen Anfragen von außen, bis das System diese nicht mehr verarbeiten kann und durch die Überlastung zusammenbricht.«

Risikoprävention: Risiken minimieren und Handlungsfähigkeit sicherstellen

Aus der Ermittlung und Bewertung der Risiken lassen sich Maßnahmen des Risikomanagements ableiten. »Sie sorgen für einen erschwerten Zugang zum System und stellen im Ernstfall schnelles Handeln sicher«, so Hoffmanns Erfahrung. Oberstes Gebot sei dabei ein guter IT-Schutz. »Kein Unternehmen arbeitet heute noch ohne Virenscanner und Firewall«, gibt er zu. Aber zu den Anforderungen an die Datensicherheit des Unternehmens zähle längst mehr. »Die Hard- und Software-Infrastruktur sollte vereinheitlicht und möglichst übersichtlich organisiert sein«, empfiehlt er. »Grund- und Sicherheitseinstellungen sollten übergeordnet für alle gewählt, ein Hard- und Softwareaustausch übergreifend vorgenommen werden. Passwörter sind nach bestimmten Voraussetzungen zu wählen und in regelmäßigen Abständen zu erneuern. Wichtige Bereiche mit hochsensiblen Daten sollten vom übrigen Netzwerk abgetrennt und separat verwaltet werden. Zur Speicherung und Übertragung von Daten ist auf sichere Verschlüsselungstools zu achten.«

Doch das Risikomanagement allein auf die IT-Sicherheit zu verlagern ist ungenügend. Mitarbeiter sollten mithilfe von Schulungen aufmerksam gemacht, sensibilisiert und einbezogen werden. »Auch die Entwicklung eines erprobten Krisenmanagements inklusive eines Notfallplans mit Aufgaben, Ansprechpartnern und Zuständigkeiten sorgt im Ernstfall für schnelle Handlungsfähigkeit und größtmögliche Schadensbegrenzung«, so sein Rat.

Herkömmliche Versicherungen decken Cyberrisiken nur unzureichend ab

Die entstehenden Kosten im Schadenfall fangen die Maßnahmen des Risikomanagements nicht auf. Je nach Größe des Risikos und der potenziellen Kosten sollte zusätzlich über eine Versicherungslösung nachgedacht werden. »Übliche Industrieversicherungen decken Cyber-Risiken in der Regel aber nur unzureichend ab«, warnt der Versicherungsspezialist. »Sachdeckungen greifen nur bei materiellen Schäden. Eine Betriebsunterbrechung aufgrund einer »Fremdsteuerung« der Maschinen und eines dadurch herbeigeführten Ausfalls der Logistik oder die Lahmlegung des Unternehmensservers durch einen DoS-Angriff wäre nicht abgedeckt, denn ein physischer Schaden oder Defekt liegt nicht vor.« Auch eine Vertrauensschadenversicherung bietet seiner Meinung nach keinen absoluten Schutz: Sie greife bei Vermögensschäden, die vorsätzlich durch Vertrauenspersonen oder Dritte herbeigeführt werden. »Voraussetzung ist der Bereicherungsversuch der schädigenden Person«, gibt Hoffmann zu bedenken. Jedoch würden mittelbare Schäden wie Ertragsausfälle oder Lösegeldforderungen in der Regel von der Deckung ausgeschlossen. »Ein Hackerangriff, der »lediglich« die Lahmlegung eines Warenwirtschaftssystems auf dem Servers zum Ziel hat, wäre in diesem Fall nicht abgedeckt, ebenso wie die Lösegeldforderung des Angreifers zur Freigabe der blockierten Daten. Erst im Februar sorgte der Trojaner »Locky« diesbezüglich für Aufregung, da er Daten in ganzen Netzwerken verschlüsselte und seine Urheber für die Decodierung die Zahlung eines Lösegelds forderten.«

Cyberversicherungen

Cyberdeckungen beruhen dagegen auf immateriellen Schäden. Sie beinhalten Komponenten der Haftpflicht-, Sach- und Ertragsausfall- sowie der Vertrauensschadenversicherung und greifen bei Verschwinden oder der Nichtverfügbarkeit von Daten, etwa durch Blockierung oder Manipulation. Sie decken zum einen Drittschäden wie etwa Schadenersatzansprüche ab, die entstehen, wenn personenbezogene Daten wie Personalakten oder vertrauliche Vereinbarungen aus Verträgen mit Lieferanten oder Abnehmern veröffentlicht werden. Zum anderen decken sie Eigenschäden und Ausfälle durch einen Cybergangriff ab, beispielsweise Kosten für die Wiederherstellung von Daten, Systemen und Netzwerken, die dem Unternehmen durch ein Schadprogramm entstehen. »Sie kommt auch für teure datenforensische Untersuchungen auf, die nötig sind, um verloren gegangene Daten wiederherzustellen und die Umstände des Angriffs zu ermitteln«, sagt Hoffmann. »Dabei wird auch transparent, an welcher Stelle das System wann und wie manipuliert wurde. Das Unternehmen erhält so wichtige Anhaltspunkte über die jeweilige Schwachstelle und kann überlegen, wie ein wiederholtes Eindringen vermieden werden kann.«

Handlungsfähigkeit in der Krise sicherstellen

Oft »brennt« es im Rahmen eines Cyberschadens aber noch an ganz anderen Stellen: »Trotz eines vermeintlich gut entwickelten und erprobten Krisenmanagements verlangsamen Unsicherheit und Unwissen schnelles Handeln und eine entsprechende Außenkommunikation«, so die Beobachtungen des GGW Versicherungsexperten. »Aus diesem Grund bietet eine Cyberversicherung zusätzlich Leistungen einer professionellen Unterstützung durch einen externen Krisenstab aus Juristen, IT-Forensikern und Kommunikationsexperten. Er koordiniert und übernimmt in Abstimmung mit der Geschäftsführung nötige Schritte wie Meldungen an entsprechende Behörden, betroffene Kunden und Geschäftspartner oder Maßnahmen der Krisen-PR, um einen drohenden Imageschaden möglichst klein zu halten.«

Digitalisierung ist keine Modeerscheinung

Die Digitalisierung ist längst zu einem festen Bestandteil unserer Gesellschaft geworden – sowohl im privaten Bereich als auch im Arbeits- und Berufsleben. »Gerade mit der fortschreitenden technologischen Entwicklung wird die Sicherheit von IT und Netzwerken weiter an Relevanz gewinnen«, so Hoffmanns Prognose. »In Zukunft werden in der Produktion zunehmend aufeinander abgestimmte Maschinensysteme eingesetzt, die im Rahmen der einzelnen Produktionsschritte nicht nur untereinander vernetzt sind, sondern auch aktuelle Bestände oder ihren Wartungsbedarf an die Server der Verwaltung kommunizieren