beebright - stock.adobe.com
Resilienz gegen Schäden durch Cyberangriffe stärken
Cyberattacken führen häufig unmittelbar zu Geschäftsunterbrechungen. Unternehmen können somit regresspflichtig werden. Der IT-Ausfall wird dann zum Versicherungsfall.
Industrieunternehmen in Deutschland erleiden durch Cyberangriffe jedes Jahr Schäden in Höhe von 43 Milliarden Euro. Zu dieser Einschätzung kommt eine aktuelle Studie von Bitkom. Der Schutz vor Hackerattacken bekommt damit immer mehr Priorität, denn bei fast jedem zweiten Vorfall werden wertvolle Kommunikationsdaten wie E-Mails gestohlen. Jedes fünfte Unternehmen wiederum musste den Verlust von Kunden- und Finanzdaten beklagen, zehn Prozent wurden sogar Patente und Entwicklungsdaten gestohlen.
Vor dem Hintergrund des Verlusts dieser Werte geht es bei Cybersicherheit nicht mehr nur um Prävention in Form von IT-Maßnahmen und Verhaltensschulungen für Mitarbeiter. Es geht auch um die konkrete Absicherung im Schadenfall über Versicherungsleistungen. Durch die zunehmende Digitalisierung sind Unternehmen heutzutage nicht mehr nur physisch und organisatorisch im Hinblick auf ihre Produktionsinfrastruktur verwundbar. Cyberattacken führen unmittelbar zu Betriebsunterbrechungen oder zum Verlust der wichtigsten Geschäftswerte moderner Unternehmen – ihrer Datenbestände.
In dem Moment, in dem die Organisation handlungsunfähig wird, ist das Thema IT-Sicherheit nicht mehr nur eine Frage von kurzen Arbeitsunterbrechungen für einzelne Mitarbeiter. Es bedeutet, dass das Unternehmen seine Verpflichtungen nicht mehr erfüllen kann und gegebenenfalls regresspflichtig wird. Der IT-Ausfall wird unmittelbar zum Versicherungsfall. Umso wichtiger ist es, die Resilienz der Unternehmen auch im digitalen Umfeld zu stärken, um die Leistungsfähigkeit als Ganzes zu bewahren.
Gesamtstrategien bilden die Lösung
Versicherungsunternehmen arbeiten eng mit ihren Kunden daran, neue Strategien zum Schutz von Produktion und Produktionsanlagen sowie Datenbeständen zu entwickeln. Denn es zeigt sich, dass die Widerstandsfähigkeit von Unternehmen durch immer neue Faktoren beeinflusst wird. Der Kernansatz ist, die Angriffsmöglichkeiten von Hackern und aus Angriffen resultierende Konsequenzen, inklusive daraus folgender Daten- und Produktionsverluste, richtig zu evaluieren. Daraus müssen dann Vorkehrungen und Absicherungen abgeleitet werden.
Die Versicherungswirtschaft hat einige Trends bezüglich Cyberrisiken analysiert. Unternehmen müssen davon ausgehen, dass Angriffe öfter auftreten und technisch professioneller durchgeführt werden. Aus diesem Grund werden die Folgen einschneidender sein. Auch Cyberkriminelle profitieren von technischen Innovationen und können diese für ihre Attacken verwenden. Gleichzeitig sind sie immer besser organisiert und finden in Unternehmen veraltete Systeme vor. Diese haben den kreativen Angriffen meist nichts entgegenzusetzen. Insgesamt ist die skizzierte Entwicklung auch in dem Kontext zu sehen, dass bei Cyberangriffen und Datendiebstählen immer mehr Geld zu verdienen ist.
Betriebsunterbrechung: Wenn nichts mehr geht
Eine Betriebsunterbrechung liegt dann vor, wenn kritische Anwendungen und Prozesse für eine gewisse Zeit nicht zur Verfügung stehen. Sie tritt immer häufiger dann auf, wenn Cyberangriffe auf Produktionssteuerungsanlagen lanciert werden, um Produktionsprozesse zu unterbrechen. In der Fertigungs- und Automatisierungstechnik kann der Ausfall der IT zu signifikanten Betriebsstörungen führen. Besonderes Augenmerk sollte folglich auf Schäden durch Umsatzausfälle und die Aufwendungen zur Verteidigung gegen Hackerattacken gelegt werden.
Ohne den Zugriff auf Daten ist die digitalisierte Wirtschaftswelt nahezu hilflos. Firmen verlieren täglich Einnahmen durch Produktionsausfälle. Auch Image-Schäden sind hier zu erwähnen, die kaum in Euro zu bemessen sind. Das Gleiche gilt gegeben falls für sinkende Aktienkurse als mögliche Folge und auch für den Verlust von Kundenbeziehungen. Diese sollten ganzheitlich durch Maßnahmen des Risikomanagements abgesichert sein.
Das Risiko definieren
Versicherungsunternehmen beziehen verschiedene Parameter mit ein, um das Risiko und die Folgen von Cyberattacken zu definieren. Hieraus leitet sich dann auch die Höhe der Versicherungsprämie ab. Zu den Faktoren zählen beispielsweise die Branchenherkunft, die geographische Positionierung des Hauptstandorts der IT sowie das Vorhandensein von Niederlassungen in „sensiblen“ Regionen der Welt. Die Auswertung von Versicherungen umfasst neben Kernmerkmalen der physischen und der logischen Sicherheit auch Fragen der Infrastruktur wie Steuerungselemente und Stromversorgung. FM Global beispielsweise beschäftigt zahlreiche Ingenieure, die die Gegebenheiten vor Ort analysieren. Bewertet werden in diesem Zusammenhang unter anderem Möglichkeiten, unbemerkt vor Ort an IT-Systeme zu gelangen oder Schadsoftware in die begangenen Werke einzuschleusen. Die Beratung des Kunden zur Absicherung der Daten und Produktivsysteme sowie hinsichtlich der Versicherung des Geschäftsrisikos basiert auf diesen Erwägungen.
Verlust von Daten
Um den Wert von Daten zu evaluieren, muss man vor allem die Branchenherkunft des Unternehmens und die Abhängigkeit der nutzenden Abteilungen betrachten. Je höher der Wertbeitrag der Daten für den Unternehmenserfolg ist, desto größer ist ihr individueller Wert und desto mehr schmerzt ihr Verlust.
„In dem Moment, in dem die Organisation handlungsunfähig wird, ist das Thema IT-Sicherheit nicht mehr nur eine Frage von kurzen Arbeitsunterbrechungen für einzelne Mitarbeiter.“
Rudolf Scheller, FM Global
Hier kommt auch zum Tragen, ob Daten als vertraulich eingestuft werden oder nicht. Gleichzeitig ist die Abhängigkeit einzelner Abteilungen einer Firma von Daten unterschiedlich, so dass auch hier eine individuelle Betrachtung notwendig ist. Dies gilt auch für die Branche des Unternehmens. So ist beispielsweise der Datenverlust eines E-Commerce-Anbieters schwerwiegender einzuschätzen als in anderen Märkten. Wenn diesen Unternehmen keine Daten mehr zur Verfügung stehen, dann erzielen sie keine Umsätze mehr, die Reputation leidet extrem und oft sind auch andere Services dieses Unternehmens betroffen.
Die Analysten von Gartner haben vor einiger Zeit Parameter definiert, die den Wert von Daten für ein Unternehmen erfassbar machen sollen.
- Der intrinsische Wert von Daten. Hierbei handelt es sich um den Nutzen, den die Daten für das Unternehmen aus sich heraus besitzen; sozusagen der unverarbeitete Rohstoff.
- Individuelle Fähigkeit der Nutzer. Die Fähigkeit der handelnden Akteure, den Wert von Datensätzen zu erkennen und in konkrete Aktionen zu überführen.
- Die Anzahl der Verwender. Die Zahl der Nutzer (Mitarbeiter, Geschäftspartner, Kunden etc.), die mit den Informationen arbeiten.
- Aktionen. Die Maßnahmen, die für das Unternehmen mithilfe der Daten umgesetzt werden. Diese können umsatzsteigernd wirken oder auch generell risikobehaftet sein.
Wie man sehen kann, ist die Definition des konkreten Wertes eines Datensatzes aktuell noch ein Annäherungsversuch. Diese Einschätzungen benötigen viel Know-how auf Seiten der Versicherungswirtschaft im Bereich des Underwritings, jedoch auch im Bereich der IT.
Die Versicherer stellen sich auf
Die Resilienz in Bezug auf Cybergefahren kann ausschließlich durch eine umfängliche Risikoanalyse gestärkt werden. Deshalb baut die Versicherungswirtschaft auf den Einsatz von Cyberexperten und Partnerschaften mit Organisationen aus dem IT-Sicherheitsumfeld. Risikomanager und CIOs sollten hier Hand in Hand arbeiten und eine Sensibilität für die Bedeutung von Schäden auf unterschiedlichen Ebenen und Abteilungen entwickeln.
Die Frage lautet immer für den Individualfall, wie hoch der Aufwand ist, Daten komplett wiederzubeschaffen oder auch in ihren ursprünglichen Zustand zurückzuversetzen. Dies kann Millionen verschlingen und auch Dienstleistungen, um verlorene oder beschädigte Daten wieder nutzbar zu machen, müssen in eine Schadenkalkulation einbezogen werden.
Resilienz liegt in der Hand von Unternehmen
Versicherer unterstützen Risikomanager und CIOs dabei, Risiken zu erkennen, zu definieren, zu quantifizieren sowie ihre Schadenerfahrung zu teilen. Auf diese Weise bekommen Unternehmen bereits ein sehr genaues Bild davon, was beispielsweise ein Sachschaden oder eine Geschäftsunterbrechung kosten wird. Diese Motivation sollte dann dazu dienen, Maßnahmen zur Steigerung der eigenen Resilienz zu ergreifen. Hier unterstützen die Versicherer ebenfalls mit ihrer Beratung zur Absicherung der Risiken, um Ausfallzeiten und Verluste zu minimieren. Cyber-Know-how und Erfahrung in der Schadenverhütung, kombiniert mit einer langfristigen Verpflichtung gegenüber den Kunden, sind die wirksamsten Ansätze, um künftig Cyberschäden zu verhindern.
Über den Autor:
Rudolf Scheller ist Chief Underwriting Technical Specialist bei FM Global.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
