Die Bitkom-Studie 2015 beschreibt die wachsende Bedrohung der deutschen Unternehmen durch die Internetkriminalität und deren Nachholbedarf bei der IT-Sicherheit, bringt aber auch eine wesentliche Erkenntnis auf den Punkt: Bevor die Unternehmen an internationalen Themen und scheinbar übermächtigen Gegnern verzagen, können entscheidende Fortschritte in der IT-Sicherheit mit überschaubaren Maßnahmen vor der eigenen Haustür erzielt werden.
Der Gesamtschaden durch Cyberattacken und Produktpiraterie wird laut Studie auf rund 51,0 Mrd. Euro geschätzt. Neue Dimensionen entstehen durch die bestellbaren Internetpiraten – „Crime as a service“ – und die fortschreitende Digitalisierung. Mittlerweile wird fast alles mit dem Logo 4.0 versehen. Entscheidend sind dabei zwei Umfrageergebnisse: Die Hauptbedrohung der kriminellen Handlungen kommt mit bis zu 45% aus Deutschland und der Täterkreis rekrutiert sich gemessen an den kriminellen Handlungen mit bis zu 66% aus Mitarbeitern bzw. ehemaligen Mitarbeitern.
Nicht beschrieben wird in der Bitkom-Studie der Weg aus dem IT-Sicherheitsdilemma. Worin besteht der erste Schritt für ein Unternehmen? Wie ist die IT-Sicherheit eines Unternehmens objektiv zu bewerten? Muss ich hohe Summen investieren, um einen deutlich höheren Sicherheitsgrad zu erreichen?
Cybersecurity – Brandschutz des 21. Jahrhunderts
Auf der Cebit 2015 hat der VdS erfolgreich und von großem Interesse begleitet, seinen Ansatz „Cyber Security, Brandschutz des 21. Jahrhunderts“ präsentiert.
Auf Basis eines einfachen, webbasierten Selbst-Audits erhält das Unternehmen innerhalb von 20 Minuten bei 39 Fragen einen qualifizierten Überblick – eine Landkarte – über seine Risikosituation, sauber strukturiert und in Prozent bewertet. Die Struktur der Fragen entspricht den Erkenntnissen der Bitkom-Studie. Es werden im Wesentlichen Fragen zur Organisation und zu den Prozessen und weniger zur Technik gestellt. Explizit wird nach einem verbindlichen Prozedere bei der Einstellung und beim Ausscheiden von Mitarbeitern gefragt.
In der Praxis haben sich die beschriebenen Übersichten bestens bewährt. Die Geschäftsleitung und die IT-Abteilung eines Unternehmens haben plötzlich eine gemeinsame Ebene, auf der sie die einzelnen Punkte besprechen, bewerten und in einen Projektplan einbringen können. In weiteren Schritten kann sich das Unternehmen über ein Audit bis zur neuen VdS-Richtlinie 3473 als neuem Standard zur Bewertung der IT-Sicherheit entwickeln.
Versicherungsschutz für das „Restrisiko“ über die Cyberversicherung
Mit Blick auf das individuelle Ergebnis des Quick-Checks wird den Unternehmen ihr – bei allen Bemühungen immer vorhandenes – Restrisiko (Faktor Mensch und Zeitversatz beim Firewall-Update) sofort bewusst. Unbekannt ist den Unternehmen derzeit vielfach noch die Verfügbarkeit von mittlerweile qualifiziertem Versicherungsschutz. Denn der Versicherungsschutz der Cyberversicherung deckt das Restrisiko.
Anhand aktueller Schadenerfahrungen kann den Unternehmen das Schadenpotenzial dargestellt werden. Auch hier liegt die Bedrohung nicht in gigantischen Zahlenkolonnen, sondern beginnt mit der einfachen Frage an den IT-Leiter, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware (Forensik) im gesamten IT-System benötigen. Die weitere schrittweise Ermittlung über Wiederherstellkosten, Kundeninformation und Anwaltskosten stellt auf einmal einen in seiner Gesamtheit existenzbedrohenden Kostenblock dar. Weiter geht es dann, je nach Betriebsart, mit der Diskussion der Betriebsunterbrechungsszenarien, Erpressungssituation und Umleitung von Geldern. Betroffenheit entsteht immer in Branchen mit den Risiken des Kreditkartendaten- oder Patientendaten-Verlustes.
Die Ermittlung der potenziellen Schaden- oder Versicherungssumme stellt somit auch kein großes Problem dar. Berücksichtigt werden muss aber immer der Abgleich mit bestehenden Versicherungspolicen. Oftmals bestehen – versteckt – Ausschlüsse, die, da sie in der „alten Welt“ entwickelt wurden, vor dem Hintergrund der Internetkriminalität eine vernichtende Wirkung entfalten.
Die oben beschriebene Kombination aus Risikoermittlung und -bewertung führt für das Unternehmen zu einem greifbaren Ergebnis. Erfolgt der Nachweis eines passgenauen Bedingungswerks der Cyberpolice und bestehen klare Aussagen zur Schadenbearbeitung, kommt es in der Regel zum Abschluss der Cyberversicherung.
Den Artikel lesen Sie auch in AssCompact 06/2015, Seite 42f.
Achim Fischer-Erdsiek 
- Anmelden, um Kommentare verfassen zu können
