Cyberkriminalität - Risikomanagement bei Datendiebstahl
Aufgrund der rasanten Entwicklung der Informations- und Kommunikationstechnik und einer zunehmend fortschreitenden Vernetzung aller Bereiche des Lebens ist auch das Risiko von Unternehmen, durch die IT und Datenverluste einen Schaden zu erleiden, dramatisch gestiegen.
Kein Knall. Kein Rauch. Kein Feuer. Selten eine Vorwarnung. Cyberrisiken tauchen lautlos auf – hinterlassen aber große Schäden: vom Imageverlust über finanzielle Mehraufwendungen bis hin zu Vertragsstrafen, Bußgeldern und Schadenersatz gegenüber Dritten. „In der Praxis kommen da schnell Beträge von einigen Hundert-tausend Euro, ja sogar bis in Millionenhöhe zusammen“, sagt Marc Heitmann, Branchenteamleiter und Experte für Cyberrisiken beim Versicherungsmakler und Risikoberater Marsh. „Mit Datenlecks und Datenpannen durch Viren, Schadsoftware, Hackerangriffen oder dem Fehlverhalten der eigenen Mitarbeiter geraten meist nur Großkonzerne in die Schlagzeilen. Letztlich ist es aber für jedes Unternehmen eine reale Gefahr“, berichtet der Experte. Eine Erkenntnis, die er auch immer wieder aus Gesprächen mit Kunden bestätigt sieht.
Schäden durch Cyberkriminalität nehmen weltweit zu
Der „Symantec Internet Security Threat Report 2013“ ermittelte sogar regelrecht „gezielte Attacken gegen den Mittelstand“. Die Ergebnisse des Reports können beun-
ruhigen: So nahmen 2012 im Vergleich zum Vorjahr gezielte Spionageangriffe aus dem Ausland um ganze 42 Prozent zu. Dabei geht es vor allem um den Diebstahl geistigen Eigentums. Die Attacken richten sich in erster Linie gegen das produzierende Gewerbe sowie kleine und mittelständische Unternehmen. Gezielte Attacken auf Unternehmen mit weniger als 250 Mitarbeitern haben in den letzten Jahren am stärksten zugenommen und machen mittlerweile 31 Prozent aller gezielten Angriffe aus – Tendenz weiter steigend.
Auch sind Behörden im Visier der Angreifer. So berichtete vor Kurzem etwa der Focus, dass deutsche Verfassungsschützer 2012 mehr als 1.000 Angriffe auf Computer der Bundesbehörden durch Hacker aus dem Ausland abwehren mussten. Hinzu kämen Ausspähaktionen in deutschen Unternehmen, die meist sehr spät oder gar nicht bemerkt werden. Allein deutsche Maschinen- und Anlagenbauer schätzen den jährlichen Schaden durch Wirtschaftsspionage auf 7,9 Milliarden Euro. Eine Studie des Ponemon Instituts hat 122 Datenvorfälle im Jahr 2013 in Deutschland untersucht und beziffert die Kosten einer einzigen Datenpanne auf durchschnittlich 3,7 Millionen Euro bzw. 151 Euro pro verlorenem Datensatz.
Heitmann kennt solche Zahlen aus der Praxis: Über mehrere Monate hatte sich ein Hacker bei einem mittelständischen Onlinevertrieb Zugang zu einem eigentlich streng gesicherten onlinebasierten Abrechnungssystem verschafft und über zwei Millionen Kreditkarten kopiert. Der Datenklau versetzte nicht nur die Mitarbeiter in Aufregung und zog eine Überprüfung der internen IT-Strukturen nach sich, der Schaden schlug sich auch mit über fünf Millionen Euro nieder. Allein über zwei Millionen Euro kostete es, die geschädigten Kunden über den Verlust ihrer Daten zu informieren, denn dies ist gesetzlich Pflicht. Der von den Kreditkartenunternehmen geltend gemachte Vermögensschaden kam hinzu. „Zu dieser finanziellen Belastung für die Firma kommt der immense Reputationsschaden, der nicht eingerechnet ist“, sagt Heitmann.
Bereits heute verdienen Kriminelle nach pessimistischen Einschätzungen mit Cyberkriminalität deutlich mehr als im Handel mit illegalen Drogen erzielt wird. Die wach-
senden Möglichkeiten der Digitalisierung werden diesen Trend noch verstärken.
Größtes Cyberrisiko ist der Mensch
„Mit der digitalen Welt muss das Risikomanagement in den Unternehmen mitwachsen“, mahnt Heitmann. Er verweist auf die Erkenntnisse des „2013 Data Breach Investigations Reports“, wonach fast alle Angriffe auf interne Daten vermeidbar gewesen wären. Besonders erschreckend: Fast die Hälfte (45 Prozent) der deutschen Unternehmen hat keinen Notfallplan oder kein erprobtes Krisenmanagement im Fall von IT-Unterbrechungen und Datenverlusten. „Technisches Aufrüsten mit Echtzeitforensik, Virenscanner, Verschlüsselungen, Firewalls und ähnliches kann nur einen Teil der Probleme lösen.
Das größte Cyberrisiko bleibt der Mensch: Fehlbedienung oder Fehlverhalten stehen oft am Anfang einer Kette“, sagt Heitmann. „Was nutzt es, wenn Unternehmen ihre Internetzugänge sichern, die Mitarbeiter aber intern Schadsoftware aufspielen dürfen und der Betrieb insolvent geht. Problematisch ist auch der oft zu sorglose Umgang mit mobilen Geräten und den darauf gespeicherten Daten. “Dies gilt natürlich auch auf Reisen. Nach einer Untersuchung des Ponemon Institutes werden am Londoner Flughafen Heathrow über 900 Laptops pro Woche gestohlen.
Auf Platz zwei und drei folgen die Flughäfen Amsterdam und Paris mit je rund 700 Laptops, die wöchentlich abhandenkommen. Marc Heitmann rät daher zu einem zeitgemäßen Risikomanagement, dass die individuelle Bedrohungslage des Unternehmens erfasst. „Datensicherheit muss Chefsache sein, das heißt, sie muss im Unternehmen oberste Priorität haben. Denn ohne sichere Daten droht schnell das Aus.“ Dafür müssten die Unternehmen zunächst analysieren, über welche sensiblen Daten sie verfügen. Dann sollte die Technik für die Sicherung der Daten gründlich geprüft werden.
Dramatisch wäre es, so Heitmann, wenn eine ausgesuchte Datenbank oder Cloud zwar über mehrere redundante Systeme für den technischen Ausfall verfügt, der Betreiber aber nicht auch hinsichtlich der Finanzstärke ausgewählt wird und aus diesem Grund anfällig ist.
Datensicherheit muss Chefsache sein
Sind die vorgenannten Voraussetzungen erfüllt, müsse bestimmt werden, wer in welcher Form auf die Daten zugreifen dürfe. Danach müssten Richtlinien für die täglichen Arbeitsprozesse aufgestellt, Berechtigungskonzepte formuliert und durchgesetzt werden. Es hat sich bewährt, Auffälligkeiten im Netzwerk und in der Nutzung von Anwendungen zu überwachen. Am Ende eines solchen Prozesses, den man mit einem externen Risikoberater gemeinsam durchführen kann, muss das Unternehmen sein Restrisiko einschätzen können, und erkennen, für welche Größe es Bilanzschutz benötigt.
Um die Bilanz zu schützen, greifen Unternehmen häufig auf Versicherungslösungen zurück. Die klassischen Versicherungen wie eine Elektronik- oder Betriebsunter-
brechungsversicherung bieten hier jedoch keinen ausreichenden Schutz, weil das Datenrisiko meist ausgeschlossen ist. Auch Haftpflichtversicherungen können die vertraglichen oder verschuldensunabhängigen Schadenersatzansprüche nicht abdecken. Durch spezielle Cyber-Risk-Versicherungen lässt sich diese Lücke jedoch schließen.
In Deutschland gibt es bereits ein Dutzend Versicherungsgesellschaften, die solche Absicherungslösungen gegen Schäden durch Cyberangriffe anbieten. Selbst der physische Datenverlust durch einfaches Liegenlassen oder durch den Klau einer Festplatte mit Firmendaten ist dabei ebenso versichert wie das gehackte Firmenkonto, die Erpressung mit geklauten Daten oder die Betriebsunterbrechung durch IT-Ausfälle. Zusätzlich bieten viele Versicherer Präventionsmaßnahmen und Krisenübungen an, damit ihre Kunden im Fall der Fälle vorbereitet sind.
Wesentlicher Bestandteil dieser Policen ist der Zugriff auf erfahrene Krisenmanager, die in Notfallsituationen sofort zur Verfügung stehen und einen professionellen Umgang mit der Krise sicherstellen. Gute Pressearbeit und entschiedenes sowie sicheres Handeln sichert das Vertrauen von Dritten und schützt die Reputation eines Unternehmens. Unternehmen müssen sich daher ihrer vorhandenen Cyberrisiken bewusst werden, Maßnahmen zur Reduzierung dieser Risiken einführen und deren Einhaltung überprüfen, um im Ernstfall schnell, planvoll und effektiv auf Cyberangriffe und Datenverluste reagieren zu können.
Cyber-Risk-Versicherungen bieten Schutz vor diesen neuartigen Risiken und unterstützen die Unternehmensleitung im Risiko- und Krisenmanagement.