IT-Security

Wann zahlt die Versicherung?

24.02.2014
Von Robin Kroha und Stefan Sievers
Hacker, Cracker, Datenfänger: Unternehmen können sich gegen Cyberkriminalität und Datenverlust wappnen und mögliche Schäden teilweise versichern.

Ob Hacker-Angriff oder Datenverlust - Cyberrisiken werden für Unternehmen zunehmend zum Problem. Die aufsehenerregenden Fälle der letzten Monate bei Vodafone, Adobe und Sky sind nur die Spitze des Eisbergs. Gerade kleine und mittlere Unternehmen haben häufig Probleme im Umgang mit Cyberrisiken. Aus einem einfachen Vorfall wird schnell eine handfeste Krise. Und deren Auswirkungen sind oft nur schwer zu handhaben: Es lauern rechtliche Fallstricke, die Kunden sind beunruhigt, das Firmenimage leidet. Die öffentliche Aufmerksamkeit gegenüber Cyberrisiken ist hoch und der potenzielle Schaden so bedrohlich wie diffus.

Dennoch sind viele Unternehmen nur mangelhaft vorbereitet: So ergab die Hiscox eDNA Studie 2013, eine repräsentative Umfrage auch unter deutschen Mittelständlern, dass 22 Prozent der befragten Unternehmen über kein Backup-System verfügen, 41 Prozent sensible Daten unverschlüsselt mailen und mit 94 Prozent die meisten Unternehmen nicht gegen Online-Kriminalität versichert sind.

Die Ergebnisse der Hiscox eDNA Studie 2013 zeigen, dass deutsche Mittelständler immer noch unzureichend gegen IT-Risiken gewappnet sind.
Die Ergebnisse der Hiscox eDNA Studie 2013 zeigen, dass deutsche Mittelständler immer noch unzureichend gegen IT-Risiken gewappnet sind.
Foto: Hiscox

Neben dem oftmals trügerischen Vertrauen in die Leistungsfähigkeit und Sicherheit der eigenen IT-Systeme besteht ein weiteres Problem: Cyberangriffe sind nicht zwangsläufig IT-basiert. Ebenso häufig nutzen Angreifer Schwächen in der Organisation oder bedienen sich der Hilfsbereitschaft von unbedarften Mitarbeitern, die dann unfreiwillig dafür sorgen, dass IT-Schutzmaßnahmen nicht mehr greifen ("Social Engineering"). Doch selbst die Antizipation aller Risiken und die größtmögliche Anstrengung zu deren Minimierung können keinen absoluten Schutz garantieren.

Das Krisenmanagement entscheidet

Wenn sich scheinbar hypothetische Risiken doch in konkrete Krisen verwandeln, kann dies vor allem mittelständische Unternehmen schnell in Existenznöte bringen. Neben den juristischen Konsequenzen beim Verlust personenbezogener Daten (wie die Informationspflicht nach §42a BDSG) sind es vor allem die Herausforderungen des Krisenmanagements, die Mittelständler überfordern. Zur Bewältigung werden neben vertrauenswürdigen Experten für IT-Forensik vor allem Krisenmanager und Kommunikationsexperten benötigt, die entsprechende Erfahrung mit Cyberangriffen mitbringen. Denn Cyberkrisen unterscheiden sich in zwei entscheidenden Punkten von anderen kriminellen Angriffen auf Unternehmen: Sie erzeugen fast immer und explosionsartig Öffentlichkeit - und sie erfordern die Übersetzung komplexer technischer Sachverhalte in eine Sprache, die Kunden und Geschäftspartner verstehen.

Hierbei spielt es keine Rolle, wodurch genau die Krise ausgelöst wurde - ob durch selbstverschuldete Nachlässigkeit oder einen komplexen Cyberangriff. In einer Situation, in der sich viele Menschen Sorgen um den Schutz ihrer Daten machen, ist die Schuldfrage für die Öffentlichkeit unerheblich. Deshalb ist eine gute Krisenkommunikation entscheidend dafür, dass das Vertrauen von Verbrauchern, Kunden und Partnern nicht verloren geht. Die eigene Kommunikationsabteilung eines Unternehmens kann viele IT-Krisen jedoch nicht alleine handhaben und benötigt oftmals Unterstützung von außen.

Zur Startseite