Versicherung neu gedacht – Markel im Handelsblatt Journal

Cyber-Risiken bedrohen Assets: Informationssicherheit muss Chefsache werden

Die Bedrohungslage aus dem Netz bleibt auf hohem Niveau angespannt. Auch wenn Einfallstore für Cyber-Angriffe unverändert kritisch bestehen, gehen viele Manager nach wie vor zu lax mit dem Thema Informationssicherheit um.

Industrie 4.0 oder Big Data – mit dem digitalen Fortschritt wächst das Risiko. Für Cyber-Angreifer bieten sich fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, um Informationen und Know-how auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich auf Kosten Dritter kriminell zu bereichern. Die jüngsten Angriffskampagnen wie WannaCry und Petya/NotPetya haben deutlich gemacht, wie verwundbar die digitalisierte Gesellschaft ist.

Fakt ist: Allein in Deutschland verursacht Cyberkriminalität Schäden von rund 13 Mrd. Euro pro Jahr, seit 2011 wurde jedes Unternehmen durchschnittlich zweimal angegriff en – soweit die offiziellen Zahlen. Neben direkten Kosten für Rechtsberatung, IT-Forensik und Aufklärung wiegen die indirekten Kosten durch Stillstandszeiten eigener Mitarbeiter sowie Vertrauensverluste nach einem Hackerangriff besonders schwer. Kundenverluste, Auftragsstornierungen, sinkende Aktienkurse und Mitarbeiterfluktuation sind weitere mögliche Folgen eines Cyber-Angriffes. Umso verblüffender, dass sich ein Drittel der deutschen IT-Entscheider diese Risiken nicht bewusst macht. Rund 85 Prozent der IT-Leiter kritisieren Vorstände und Geschäftsführer für ihre mangelndem Initiative in Sachen digitale Sicherheit (Sopra Steria Consulting).

IT-Sicherheit gehört ins Board-Meeting

„Viele Mittelständler haben den Ernst der Lage noch nicht erkannt und verfügen weder über ausreichende technische Sicherheitsmaßnahmen, noch über einen angemessenen Versicherungsschutz“, erklärte Peter Bartels, Vorstandsmitglied und Leiter des Bereichs Familienunternehmen und Mittelstand von PricewaterhouseCoopers (PwC). Eine moderne IT zur Gestaltung und Steuerung von organisatorischen und technischen Geschäftsprozessen ist jedoch ausschlaggebend, um im Wettbewerb zu bestehen. Was also ist zu tun, wenn leistungsfähige und sichere Kommunikationssysteme die essenzielle Basis für eine funktionierende Wirtschaft bilden? Die Investition in eine funktionierende Informationssicherheit und deren Überwachung durch das Management bleibt alternativlos. Das setzt das Verständnis dafür voraus, dass zahlreiche Faktoren eine erfolgreiche Sicherheitsstrategie beeinflussen. Neben der eigenen IT-Infrastruktur nehmen gesetzliche Verordnungen ebenso wie globale und politische Kräfte Einfluss auf das Sicherheitskonzept. „Das vor Kurzem vollständig überarbeitete IT-Grundschutz-Kompendium
des BSI liefert wertvolle Gestaltungshinweise für eine umfassende IT-Sicherheitsstrategie“, erläuterte Dr. Alexander Hardinghaus, Rechtsanwalt bei der internationalen Kanzlei Reed Smith in München. „Werden die erforderlichen Maßnahmen nicht ergriffen und kommt es schließlich zum Ernstfall, können gegebenenfalls die Mitglieder der Geschäftsleitung auch persönlich haftbar gemacht werden.“

Ein weiterer Risikofaktor ist der Mensch. So beschreibt der neue BSI Jahresbericht einen Anstieg von gezielten Phishing-Angriffen, bei denen einzelne Mitarbeiter und Unternehmen adressiert werden. Neu ist, dass Cyber-Angreifer besonders viel Aufwand beim CEO-Betrug investieren – eine Variante des Social-Engineerings, die zu hohen Schadenssummen führt.

Kurz: Ad hoc Lösungen können keine Antwort sein. Externe Expertise ist gefragt, die Einrichtung eines Compliance-Systems zum Umgang mit Daten, insbesondere die Überwachung, Verarbeitung, Zugangsbeschränkung und Sicherung dieser Daten, beschreibt eine Kernaufgabe der Geschäftsführung zur Cyber-Sicherheitsstrategie. Ein Risikoassesment bringt zudem ans Licht, welches finanzielle Restrisiko nach der Implementierung einer IT-Sicherheitsstrategie noch bleibt und mit einer Cyber-Versicherung abgedeckt werden kann. Im Bereich Cyber-Versicherung arbeitet Markel eng mit den Kollegen aus der D&O-Abteilung zusammen, da immer mehr abteilungsübergreifende Risiken, insbesondere für die Management-Ebene, aufkommen. Wer seine Daten und damit seine Assets nicht geschützt hat, dem drohen mit Inkrafttreten der neuen Datenschutz-Grundverordnung ab 2018 im Schadenfall sogar Bußgeldern bis zu vier Prozent des Umsatzes, maximal 20 Mio. Euro.

erschienen im Handelsblatt Journal, Ausgabe Dezember 2017