IT-Sicherheit, Datenschutz und Cyber-Risiken. Die Digitalisierung schreitet immer weiter voran. Unser Privat und Arbeitsleben ist ohne Internet und digitale Prozesse nicht mehr denkbar. Die Vorteile die sich dadurch ergeben sind enorm, effizienteres Arbeiten – örtliche Ungebundenheit und digitale CRM-Systeme. Weitergehend sogar Künstliche Intelligenz oder das Internet der Dinge. Während die genannten Vorzüge unsere Zeit jedem bewusst sind, werden die Risiken oftmals unterschätzt.
Eine Medaille mit zwei Seiten, deren Chancen und Möglichkeiten sicherlich überwiegen. Allerdings werden die daraus resultierenden Risiken oftmals schlichtweg akzeptiert und im Risikomanagement Prozess unzureichend bewertet.
Von welchen Risiken sprechen wir nun aber? DoS – Denial of Service Attacken, Schadprogramme, Viren, Trojaner, Spam, Phishing, Social Engineering, Identitätsdiebstahl, „Fake-President“-Fälle und Co. Die Bandbreite ist enorm und deren Ausmaß bzw. Schaden so unterschiedlich, wie die Art der Risiken selbst.
Wie geht man nun mit diesen Risiken um? Und ist mein Unternehmen überhaupt gefährdet?
Fakt ist: Das Risiko gehört in jedem Unternehmen beleuchtet und sollte im Risikomanagement beachtet werden. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) nennt die „Informationssicherheit [als Grund-] Voraussetzung für eine erfolgreiche Digitalisierung. Der IT-Grundschutz liefert hierfür ein solides fachliches Fundament und ein umfangreiches Arbeitswerkzeug. […] und verfolgt einen ganzheitlichen Ansatz zur Informationssicherheit: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet.“
Für welche Bereiche benötigen wir eine IT-Infrastruktur? Und welche Ausmaße kann ein Angriff nun haben?
Diese Fragestellung unterscheidet sich von Unternehmen zu Unternehmen. Dir ist sicher klar, dass eine kleine Bäckerei nicht die gleiche Gefahr birgt, wie ein Steuerberater oder gar Ärzte.
Daher muss dies etwas separiert betrachtet werden: Wenn wir über Cyber-Risiken sprechen müssen wir grundsätzlich zwei Komponenten unterscheiden. Einige Unternehmen sind anhängig von ihrer IT-Struktur, um ihre operative Tätigkeit ausführen zu können z.B. produzierende Unternehmen, deren Maschinen digital gesteuert werden.
Schaut man sich an für was die IT-Struktur nun aber notwendig ist, reden wir aber auch immer sofort über Daten. Geschäftsgeheimnisse, Kundendaten, Lieferanten – oftmals auch die von der DSGVO besonders geschützten personenbezogenen Daten. Hier ist die Sensibilität der Daten entscheidend und ein Arzt speichert über den Namen und Geburtsdatum bis hin zur Krankenkasse, Krankenakte z.B. sehr viel. Ein Steuerberater oder wir als Versicherungsmakler ebenso.
All das kann und wird bei sog. Cyber-Attacken missbraucht. Der Missbrauch fällt dann immer sehr unterschiedlich aus – Verschlüsselte Daten, Erpressungen, Betriebsausfall etc.
Vielen Geschäftsführern bzw. Unternehmen ist es hier nicht klar, welche Gefahr bisher alternativlos getragen wird.
Am Beispiel der eigenen Produktionsstätten gelingt es problemlos – wenn die Maschine oder gar die ganze Halle abbrennt, entsteht ein Schaden in Höhe von X. Was aber passiert, wenn die IT plötzlich nicht mehr funktioniert, die internen Unternehmensdaten in die falschen Hände gelangen und z.B. Kunden den Onlineshop nicht mehr aufrufen können?
Im „Hiscox Cyber Readiness Report 2020“ wird für deutsche Unternehmen bereits eine Median Schadenssumme von 72.000€ je Cyber-Angriff genannt.
Kostentreiber sind hier Rechtskosten, Informationskosten, IT-Wiederherstellungskosten, Betriebsunterbrechungskosten, Kreditkartenüberwachungskosten, Vermögensschäden Dritter und Kosten für PR-Beratung und Krisenmanagement.
Wenn Du für Dein Unternehmen hier keine Vorstellung hast, kannst du gerne unseren Dienst zur Schadenssummen-Ermittlung nutzen: LINK ZUR RISIKOERMITTLUNG
Zusammenfassend soll die Message folgende sein: Angriffsmöglichkeiten gibt es genügende, eine Beurteilung des Risikos ist zwingend erforderlich und wenn jemand Deinem Unternehmen wirklich schaden möchte, wird er es vermutlich auch schaffen. Sei Dir daher bewusst was passieren kann und wenn Du dieses Restrisiko abgeben möchtest, achte auf die Ausgestaltung des Versicherungsschutzes. Hier lohnt es sich zu handeln, bevor es zu spät ist. Denn in der Praxis wird eine Cyber Versicherung oftmals leider erst eingeführt, wenn der Unternehmer sich die Hand schon einmal verbrannt hat.
(Quelle: Hiscox Cyber Readiness Report 2020)
Schaut man sich die Mehrleistungen an, die eine Cyber Versicherung für Unternehmen bietet, ist es faktisch nicht rational nachvollziehbar warum Cyber Risiken bisher vernachlässigt werden. Gute Policen bieten als kostenlosen Mehrwert regelmäßige Mitarbeiterschulungen, einen individuellen Notfallplan und stellen ein aus Experten zusammengestelltes Krisenmanagementteam zur Seite.