IT-Security

Wann zahlt die Versicherung?

Robin Kroha leitet den Bereich Corporate Security Management bei der auf Sicherheits- und Krisenmanagement spezialisierten Unternehmensberatung HiSolutions AG mit Sitz in Berlin. Zu seinen Kernkompetenzen gehören neben Krisenmanagement und -kommunikation Business Intelligence und Information Security. Neben seiner Tätigkeit für die HiSolutions AG nimmt er Lehraufträge für Krisen- und Sicherheitsmanagement an der FH Campus Wien und der Frankfurt School of Finance & Management wahr.
Stefan Sievers, seit 2010 Underwriting Manager Specialty Lines, ist seit 2008 bei der britischen Versicherungsgesellschaft Hiscox beschäftigt. Zu seinen Verantwortlichkeiten zählen derzeit die Produktbereiche Kidnap & Ransom, Cyber Risk Management und das Krisenassistance Cover. Davor war der studierte Wirtschaftswissenschaftler sieben Jahre für die Mannheimer Versicherung AG tätig. Dort fungierte er unter anderem als Firmenkundenberater für die Ausschließlichkeitsorganisation. Nach seinem Wechsel zu Hiscox startete Sievers als Underwriter für Art und Private Clients.
Hacker, Cracker, Datenfänger: Unternehmen können sich gegen Cyberkriminalität und Datenverlust wappnen und mögliche Schäden teilweise versichern.

Ob Hacker-Angriff oder Datenverlust - Cyberrisiken werden für Unternehmen zunehmend zum Problem. Die aufsehenerregenden Fälle der letzten Monate bei Vodafone, Adobe und Sky sind nur die Spitze des Eisbergs. Gerade kleine und mittlere Unternehmen haben häufig Probleme im Umgang mit Cyberrisiken. Aus einem einfachen Vorfall wird schnell eine handfeste Krise. Und deren Auswirkungen sind oft nur schwer zu handhaben: Es lauern rechtliche Fallstricke, die Kunden sind beunruhigt, das Firmenimage leidet. Die öffentliche Aufmerksamkeit gegenüber Cyberrisiken ist hoch und der potenzielle Schaden so bedrohlich wie diffus.

Dennoch sind viele Unternehmen nur mangelhaft vorbereitet: So ergab die Hiscox eDNA Studie 2013, eine repräsentative Umfrage auch unter deutschen Mittelständlern, dass 22 Prozent der befragten Unternehmen über kein Backup-System verfügen, 41 Prozent sensible Daten unverschlüsselt mailen und mit 94 Prozent die meisten Unternehmen nicht gegen Online-Kriminalität versichert sind.

Die Ergebnisse der Hiscox eDNA Studie 2013 zeigen, dass deutsche Mittelständler immer noch unzureichend gegen IT-Risiken gewappnet sind.
Die Ergebnisse der Hiscox eDNA Studie 2013 zeigen, dass deutsche Mittelständler immer noch unzureichend gegen IT-Risiken gewappnet sind.
Foto: Hiscox

Neben dem oftmals trügerischen Vertrauen in die Leistungsfähigkeit und Sicherheit der eigenen IT-Systeme besteht ein weiteres Problem: Cyberangriffe sind nicht zwangsläufig IT-basiert. Ebenso häufig nutzen Angreifer Schwächen in der Organisation oder bedienen sich der Hilfsbereitschaft von unbedarften Mitarbeitern, die dann unfreiwillig dafür sorgen, dass IT-Schutzmaßnahmen nicht mehr greifen ("Social Engineering"). Doch selbst die Antizipation aller Risiken und die größtmögliche Anstrengung zu deren Minimierung können keinen absoluten Schutz garantieren.

Das Krisenmanagement entscheidet

Wenn sich scheinbar hypothetische Risiken doch in konkrete Krisen verwandeln, kann dies vor allem mittelständische Unternehmen schnell in Existenznöte bringen. Neben den juristischen Konsequenzen beim Verlust personenbezogener Daten (wie die Informationspflicht nach §42a BDSG) sind es vor allem die Herausforderungen des Krisenmanagements, die Mittelständler überfordern. Zur Bewältigung werden neben vertrauenswürdigen Experten für IT-Forensik vor allem Krisenmanager und Kommunikationsexperten benötigt, die entsprechende Erfahrung mit Cyberangriffen mitbringen. Denn Cyberkrisen unterscheiden sich in zwei entscheidenden Punkten von anderen kriminellen Angriffen auf Unternehmen: Sie erzeugen fast immer und explosionsartig Öffentlichkeit - und sie erfordern die Übersetzung komplexer technischer Sachverhalte in eine Sprache, die Kunden und Geschäftspartner verstehen.

Hierbei spielt es keine Rolle, wodurch genau die Krise ausgelöst wurde - ob durch selbstverschuldete Nachlässigkeit oder einen komplexen Cyberangriff. In einer Situation, in der sich viele Menschen Sorgen um den Schutz ihrer Daten machen, ist die Schuldfrage für die Öffentlichkeit unerheblich. Deshalb ist eine gute Krisenkommunikation entscheidend dafür, dass das Vertrauen von Verbrauchern, Kunden und Partnern nicht verloren geht. Die eigene Kommunikationsabteilung eines Unternehmens kann viele IT-Krisen jedoch nicht alleine handhaben und benötigt oftmals Unterstützung von außen.