Sorry, you need to enable JavaScript to visit this website.
AssCompact suche
Home
Assekuranz
28. Januar 2015
Wie sich Unternehmen vor Cyber-Kriminalität schützen können

Wie sich Unternehmen vor Cyber-Kriminalität schützen können

Die deutsche Wirtschaft setzt immer mehr auf Cloud-Lösungen. Damit entstehen neue Risiken. Unternehmen sind gefährdet durch Hacker, unehrliche Mitarbeiter und unzuverlässige Dienstleister. Es ist an der Zeit, sich der Risiken, die von der Cloud ausgehen, bewusst zu werden und entsprechende Sicherheitsmaßnahmen zu treffen. Die wichtigsten Cyber-Risiken können Berater anhand einer kurzen Checkliste erfassen.

Immer mehr Unternehmensprozesse werden über die Cloud abgewickelt. Damit steigt die Abhängigkeit. Wenn wir von der Cloud reden, meinen wir meistens mehr als externe Server. Es ist vielmehr eine Beschreibung für die Datenströme und Vernetzungen, die nicht mehr in der Hand des Unternehmens liegen, sondern bei Dienstleistern, mit denen häufig gar kein direktes Geschäftsverhältnis besteht. Dabei geht es immer weniger um Websites und dafür verwendete Daten, sondern um Datenumgebungen – von mobilen Endgeräten über vernetzte Autos, Gebäude, Fabriken, Maschinen.

Der kriminelle Hacker

In den letzten Jahren haben kriminelle Hacker tausende von Viren, Trojanern und Schadprogrammen verbreitet. Betroffen waren Unternehmen, Verwaltungen, Regierungen, aber auch hunderttausende von privaten Nutzern. Gestohlen wurden Kreditkarteninformationen, Unternehmensdaten, Entwicklungspläne, Verbraucherprofile und vieles mehr. Die Deutsche Telekom ist bereits dazu übergegangen, elektronische Fallen aufzustellen, sogenannte Honigtöpfe, die vortäuschen, sensible Daten zu enthalten. In Wirklichkeit sind sie jedoch vollkommen isoliert. Die Zahlen sind erschreckend. Allein die Deutsche Telekom zählt 800.000 Angriffe – pro Tag.

Nicht alle Attacken führen zu Datenverlusten. Doch dem IBM Poneman Cyber Report 2014 zufolge ist rund ein Fünftel aller Unternehmen alle zwei Jahre von einem Angriff betroffen, bei dem jeweils bis zu 100.000 Datensätze gestohlen werden. Datenschutzverletzungen oder Datenverluste werden häufig von den betroffenen Unternehmen gar nicht bemerkt. Nur 1% aller Fälle wird entdeckt, und häufig ist es dann schon zu spät, um den Verlust von Daten zu verhindern.

Unbeabsichtigtes Hacking

Die spektakulären Cyber-Attacken dominieren die Medienberichterstattung über Hacker. Dabei gehen nur 40% aller Verstöße oder Angriffe auf das Konto externer Hacker gehen; bei 30% sind Mitarbeiter oder externe Dienstleister die Ursache. Oft steht gar keine Absicht dahinter. Das Smartphone, mit dem sich der Mitarbeiter auf dem Unternehmensserver einloggt, hat eine Malware, also ein Schadprogramm, und schon ist es passiert. Zwei Millionen dieser Schadprogramme sind im Netz unterwegs.

Outsourcing und verzweigte Dienstleistungsketten erhöhen das Risiko

Noch schwerer ist es bei externen Dienstleistern, auf die Unternehmen beim Cloud-Computing immer stärker zurückgreifen oder angewiesen sind. Oft fällt es Unternehmen schwer, alle Dienstleister auf einheitliche Sicherheitsstandards zu verpflichten. Denn die Dienstleister, mit denen die Verträge abgeschlossen werden, machen ihrerseits Outsourcing und vergeben Teilaufträge an Dritte weiter. Mit jedem weiteren Glied in der Dienstleistungskette steigt das Risiko.

Der privilegierte Hacker

Es gibt aber auch Mitarbeiter, die ihren Insider-Status und ihre Zugangsberechtigungen bewusst missbrauchen. 8% aller Vorstöße werden durch Mitarbeiter begangen. Externen Hackern geht es primär darum, ein System zu knacken, um dann im zweiten Schritt an geschützte Daten zu kommen. Insider wissen hingegen gleich, wo die sensiblen Daten zu finden sind. Diese Art Missbrauch findet man auf allen Hierarchieebenen und Unternehmen brauchen in der Regel sehr lange, um undichte Stellen und Vorstöße aufzudecken.

Spionage, Sabotage, Diebstahl: Warum machen Mitarbeiter so etwas? Über 70% der Vergehen sind finanziell motiviert. Mitarbeiter und Berater stehlen Daten, um ihr eigenen Unternehmen zu gründen, um sie an Wettbewerber zu verkaufen oder um es einem möglichen neuen Arbeitergeber als „Mitbringsel“ anzubieten. 80% aller Fälle von Diebstahl geistigen Eigentums ereignen sich im ersten Monat nach dem Ausscheiden eines Mitarbeiters.

Hohe Kosten

Datenmissbrauch richtet bei Unternehmen große Schäden an, im Schnitt in Höhe von 3,5 Mio. Dollar. 2014 verursachte allein eine Cyber-Attacke Kosten von 200 Mio. Dollar. 2013 erbeuteten Hacker auf einen Schlag die Passworte und Usernames von 110 Mio. Kreditkartenkunden. Das sind nur zwei Beispiele dafür, dass die Schadenssummen in der Cyber-Kriminalität schnell ansteigen. Entsprechend der wachsenden Gefahr gewinnt es an Bedeutung, in Datensicherheit zu investieren und sich gegen Datenverlust oder Hackerangriffen zu schützen.

Abwehrbereitschaft entsprechend der Bedrohung

Hierzu bieten sich Versicherungen an. Doch zeigen Befragungen der Federation of European Risk Management Associations (FERMA), dass 72% der europäischen und 79% der deutschen Firmen keine Versicherung gegen Cyber-Attacken haben. Dabei bieten viele Cyber-Versicherungen mittlerweile nicht nur weitreichende Deckung im Schadensfall, sondern auch Notfallhilfe einschliesslich 24-Stunden-Hotlines. Versicherungen können so schnell die Verbindung zu den jeweiligen Experten herstellen: kriminaltechnische Sachverständige, IT-Notfallteams, Experten für die Überwachung von Kredit- und Identitäts-Daten, Rechtsbeistand.

Cyber-Policen decken die Kosten für die Wiederbeschaffung von Daten, haften für die Schäden bei Cyber-Erpressung und Datenschutzverletzungen sowie für Notfallmaßnahmen, Computerkriminaltechnik, Krisenmanagement, Krisen-PR und für juristische Hilfe. Cyber-Versicherungen bieten zudem Absicherung gegen die Schäden durch Betriebsunterbrechungen und übernehmen die Kosten, die durch die standardmäßige Sachversicherung nicht gedeckt sind.

Cyber-Risiken: Die Checkliste

Cyber-Risiken nehmen zu und werden komplexer. Versicherungslösungen von der Stange helfen da wenig. Vielmehr ist eine genaue Analyse und Bewertung der Risiken nötig, damit die Police auch alle Gefahren, denen ein Unternehmen ausgesetzt ist, berücksichtigt. Ein erfahrener Versicherungspartner kann hierbei wertvolle Hilfe leisten, Risiken minimieren und im Schadensfall nicht nur finanzielle Verluste abfedern, sondern auch dabei helfen, dass die Geschäfte mit der geringstmöglichen Unterbrechung weiterlaufen. Diese Analyse sollte folgende Punkte umfassen:

1. Unternehmen sollten zunächst ein Cyber-Risk-Mapping machen: wo genau lauern die Gefahren? Wo liegen die internen Schwachstellen, wo die externen? Bei welchen Zulieferern, bei welchen Subunternehmen? Wie gut sind unsere Sicherheitsprotokolle?

2. Sind die Risiken durchs Risk-Mapping sichtbar gemacht worden, sollten die Eintrittswahrscheinlichkeiten und Kosten im Schadensfall berechnet werden. Die Summe aller Kosten bestimmt die nötige Deckung. Gleichzeitig ist zu untersuchen, wo Risiken gesenkt werden können durch a) interne Systemverbesserung und b) Wechsel der Zulieferer und Subunternehmen.

3. Inwieweit sind Cyber-Risiken durch die bestehenden Sach- und Haftpflichtversicherungen gedeckt? Gibt es Lücken für den Fall von Betriebsunterbrechungen? Wer deckt die Schäden im eigenen Unternehmen, wer beim Kunden? Je besser das Risk-Mapping, desto genauer können Versicherungen die bestehenden Lücken füllen.

Zum kompletten Artikel gelangen Sie hier.

 
Ein Artikel von
Marcel Braun