Cyber-Risiko

Arne Behr, 17.12.2016

Risikomanagement der realen und digitalen Infrastruktur sind zwei Seiten derselben Medaille


Das Thema Datensicherheit und Cyber-Crime wird häufig als neues, lästiges Thema gesehen, das mit dem Unternehmen und der Planung der realen wie digitalen Infrastruktur nichts zu tun hat. Viele Unternehmer haben den Eindruck, dass hier mit Ängsten und Unsicherheit schnell Geschäft gemacht werden soll.


Das mag in dem einen oder anderen Fall auch so sein. Allerdings bietet ein kritischer Blick auf die Sicherheit der Infrastruktur einer Firma die Chance, sowohl die digitale als auch die reale Sicherheit zu überprüfen und auf einen neuen Standard zu bringen. Dazu bedarf es allerdings eines fächerübergreifenden Beratungsansatzes. Tatsächlich ist das Thema Datensicherheit und Cyberkriminalität aus Sicht eines Versicherungsvermittlers nur ein ergänzender Baustein der bestehenden Firmenabsicherung. Viele Bereiche der realen und digitalen Welt teilen sich die gleichen Räume und unterliegen den gleichen oder ähnlichen Gefahren. Wie sich die Überschneidungen in einer Beratung darstellen können, möchte ich an Hand der Grafik und einiger Beispiele veranschaulichen.


Nehmen wir als erstes das Thema Beschädigung der Betriebseinrichtung durch Feuer in der Sach-Inhaltsversicherung. Wenn es in einem Gebäude zum Feuer kommt und die Kabel und Datenleitungen in der Vergangenheit einfach durch Löcher in den Mauern geführt wurden, ohne brandhemmende Muffen und Versiegelung der Bohrungen, zieht das Feuer einfach durch die Wände und die dahinterliegenden Geräte, z.B. Server werden physisch zerstört, da hilft die beste Firewall nichts (sorry für das Wortspiel). In diesem Beispiel betrifft eine gemeinsame Planung den Brandschutz und die saubere Dokumentation der Datenleitungen auf Seiten der Versicherung und die Datensicherung in einem externen Datenzentrum, einer Cloudlösung o.ä. auf Seiten der IT. Wenn es also um die Erneuerung oder Ergänzung von IT-Netzwerken, Datenleitungen und Verkabelungen geht, ist ein gemeinsamer Ansatz von IT und Versicherung absolut von Vorteil, er kann dem Unternehmer viel Geld sparen.

 

Als zweites Beispiel betrachten wir das Thema Betriebsunterbrechung oder auch Ertragsausfall genannt. Jedes produzierende Unternehmen kennt das Problem, dass eine durch z.B. Feuer, Leitungswasser oder bei Elektronik durch fehlerhafte Bedienung beschädigte Produktionsanlage für einige Zeit die gesamte Produktion zum Erliegen bringt und damit hohe finanzielle Verluste drohen. Dagegen kann man sich standardmäßig als Ergänzung der Inhaltsversicherung oder mit einem eigenständigen Vertrag versichern. Das gleiche Risiko trägt ein Betrieb aber natürlich auch, wenn z.B. ein Webshop durch Schadprogramme/Schadsoftware (engl. Malware) gesperrt ist und die Kunden tagelang nichts bestellen können (Denial-of-Service-Angriff). Auch das führt zu einer Betriebsunterbrechung, nur denkt kaum jemand daran dieses Risiko zu versichern, obwohl es inzwischen viel öfter eintritt, als ein Feuer. In diesem Zusammenhang noch ein Hinweis: Die klassische Elektronikversicherung deckt explizit keine Schäden durch Viren oder Trojaner etc., das leistet nur eine Cyber-Versicherung!


Als drittes und letztes Beispiel möchte ich das große Feld der Haftung, im Besonderen die Vermögensschadenhaftung betrachten. Die Aufgabe einer Haftpflichtversicherung ist die Abwehr unberechtigter Ansprüche oder der Ersatz der Kosten für berechtigte Ansprüche, also die Entschädigung der Geschädigten. Ein großes finanzielles Risiko für ein Unternehmen kann durch die Verletzungen des Bundesdatenschutzgesetzes entstehen. Allein ein Verstoß nach § 43 Absatz 2 BDSG kann mit einem Bußgeld bis zu 300.000 € belegt werden, eine Summe, die ein mittelständisches Unternehmen ruinieren kann, besonders da ja aus dem Schaden selbst weitere Kosten entstehen.


Ein typisches Beispiel ist der Fall, dass Hacker auf die Systeme einer mittelgroßen Hotelkette einen Angriff verübten und sich über mehrere Monate einen illegalen Zugang zu dem streng gesicherten Online-Zahlungssystem verschafften. In diesem Fall muss eine Kette von Maßnahmen erfolgen, wie die Information der Kunden, die Sperrung der Kreditkarten, der Zugang des Angriffs muss gefunden und geschlossen werden und es steht der Verdacht der Fahrlässigkeit im Raum. Das heißt es entstehen sofort Kosten und Forderungen, von der Überforderung des Managements und der Angestellten völlig abgesehen.


Gerade dieser Fall zeigt wie wichtig eine Zusammenarbeit zwischen IT-Dienstleister und Versicherung ist. Je besser das Unternehmen und die Mitarbeiter auf einen Angriff vorbereitet sind, Notfallpläne erarbeitet und die Technik auf den neuesten Stand gebracht wurden, desto schneller kann der Schaden bemerkt und begrenzt werden. Das Cyber-Risk-Management der Hiscox bietet neben der reinen Versicherungsleistung auch ein 24-Stunden Notfallservice und stellt ein Krisenteam bereit, so dass Sie sich im Katastrophenfall gut aufgehoben fühlen können. http://youtu.be/9kpui50cOMA


Eine kostenfreie, unverbindliche und schnelle Selbsteinschätzung Ihres individuellen Sicherheitsniveaus bietet die VdS Schadenverhütung GmbH der deutschen Versicherungswirtschaft im Internet unter https://www.vds-quick-check.de. Zur weiteren Beratung und für die Umsetzung von Maßnahmen stehen Ihnen im Bedarfsfall zertifizierte IT-Experten wie Dr. Frank H. Thiele (http://www.dr-thiele.it) zur Verfügung. Wie dies konkret aussehen kann, erfahren Sie im nächsten Teil dieser Reihe.


Wenn Sie sich unverbindlich über eine übergreifende Risiko-Analyse informieren möchten, zögern Sie bitte nicht und melden sich einfach bei:


Mag.phil. Arne Behr
Rebenstraße 18, 64646 Heppenheim
Tel.:06252/60 30 77   
Mobil: 0171/95 31 257
Email: arne.behr.4136220@dvag.de
https://www.dvag.de/arne.behr.4136220/

 

Druckversion Druckversion | Sitemap Diese Seite weiterempfehlen Diese Seite weiterempfehlen
Copyright:
 Dr. Thiele IT-Beratung, 64354 Reinheim, Darmstädter Straße 53
 Tel.: 06162 1052, Fax: 06162 1055