Cyber-Crime: „Risiken kennen und im Voraus handeln!“ Schon im Kindesalter hören wir den Satz: „Spiel nicht mit dem Feuer“, weil hiervon ein immens hohes Risiko ausgeht. Maßnahmen, wie z.B. E-Check oder TÜV-geprüfte Geräte sollen uns vor dem Ausbruch eines Brandes schützen, welcher unser Hab und Gut beschädigen oder sogar vernichten könnte. Weitere Vorkehrungen wie Brandmeldeanlagen, Notausgänge, Feuerlöscher und Sprinkleranlagen dämmen das Ausmaß eines Brandes bestenfalls ein. Unternehmen beschäftigen zudem Brandschutzbeauftragte und im Ernstfall ist mit der Notrufnummer 112 ein schneller Zugriff auf die Feuerwehr gewährleistet. Für die Absicherung der finanziellen Folgen steht am Ende die Feuerversicherung ein.
Artikel erschienen am 08.01.2025
IT & Digitalisierung | IT & Digitalisierung 2025
E-Paper

Schutz vor digitalen Risiken

Warum Cyber-Versicherungen für Unternehmen unerlässlich sind

Von Christian Gerstung, Braunschweig
Christian Gerstung
Christian Gerstung
Direktor Kundenmanagement

Foto: Adobe Stock/ Sikov


Aber wie ist das bei dem Risiko „Cyber-Crime“?

Ob die Datenkommunikation gestört ist oder vertrauliche Informationen gestohlen werden – Unternehmen haben stets das Nachsehen und nicht selten steht dabei ihre Existenz auf dem Spiel. Daher sollte für jede Organisation die IT-Sicherheit oberste Priorität haben, völlig unabhängig von ihrer Größe. Alle sind betroffen! Selbständige, Freiberufler, Gewerbetreibende, Unternehmen, Vereine, Verbände, öffentliche Einrichtungen u.v.m. sind im Zeitalter der Digitalisierung auf die eigene Informationstechnologie und die Verfügbarkeit von Daten angewiesen. Die IT-Sicherheit muss in deutschen Unternehmen/Organisationen stärker berücksichtigt werden und gehört in den Verantwortungsbereich der Geschäftsführung und des Vorstands.

Laut des Digitalverbandes Bitkom e.V. investieren 43% der KMU in Deutschland jährlich weniger als 10.000 Euro in die IT-Sicherheit des eigenen Unternehmens. Die Folge: Neun von zehn Unternehmen (88%!) waren bereits von Cyber-Angriffen betroffen. Hackerangriffe, Cyber-Erpressungen, Netzwerksicherheitsverletzungen, Datenrechtsverletzungen, Datenmissbrauch oder -verlust und Sabotage führten in der deutschen Wirtschaft laut Bitkom im Jahr 2023 zu mehr als 267 Milliarden Euro Schaden. Somit sollte jedem klar sein: „Die IT-Strategie eines Unternehmens – egal, welcher Größe – muss ein wesentlicher Bestandteil in der Unternehmensstrategie sein.

Auf der nachfolgenden Basis können und müssen konkrete Sicherheitsmaßnahmen für alle Unternehmen etabliert werden.

Sechs wesentliche Fragen zu der IT-Strategie einer Organisation oder eines Unternehmens:

  • Ist eine eigene IT-Sicherheitsabteilung vorhanden? Gemeint ist nicht der Datenschutzbeauftragte, sondern Experten, welche sich laufend und professionell mit der unternehmenseigenen IT-Sicherheitsstrategie beschäftigen.
  • Wurde die IT-Abhängigkeit und -Anfälligkeit evaluiert? Um die richtigen Entscheidungen zu treffen, ist in der Analyse herauszuarbeiten, wie sich die einzelnen Geschäfts- und IT-Prozesse auf die Geschäftsfähigkeit auswirken. Sind Unternehmensprozesse bei einem Ausfall der IT, bei Nichtverfügbarkeit von Daten betroffen?
  • Ist ein übergreifendes Risikomanagement implementiert? Ein Risikomanagement ist ein systematischer Ansatz, um den Handlungsbedarf, welcher sich aus Risiken und Chancen ergibt, frühzeitig zu erkennen und wirtschaftlich umzusetzen. Die Früherkennung dieses Handlungsbedarfs ermöglicht es, die Risikohandhabung und Chancennutzung optimal zu planen und effizient und effektiv zu realisieren.
  • Ist ein Krisenplan vorhanden? Nicht jedes mögliche Krisenszenario ist vorhersehbar. Es sollte für den Ereignisfall ein anwendbarer eingeübter Maßnahmenplan zur Krisenbewältigung vorhanden sein. Eine erfolgreiche Krisenbewältigung ist abhängig von einer raschen Umsetzung von notwendigen Sofortmaßnahmen zur Eindämmung des Krisenausmaßes.
  • Wie ist der Umgang mit Gesetzgebung und Rechtsprechung (DSGVO) geregelt? Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Was dies konkret bedeutet, regelt auf EU-Ebene seit Mai 2018 die Datenschutz-Grundverordnung (DSGVO).
  • Besteht ein Ad-hoc-Zugriff auf spezialisierten Dienstleister im Schadenfall? Moderne, vernetzte Technologien und Wertschöpfungsprozesse führen dazu, dass fast jedes Unternehmen überall auf der Welt Opfer oder Werkzeug eines Cyberangriffs werden kann. Viele Unternehmen sind für einen solchen Fall organisatorisch schlecht oder nicht vorbereitet. Der Aufbau dieser Strukturen – so sinnvoll er auch im Einzelfall sein mag – überfordert viele Unternehmen sowohl technisch als auch finanziell. Die meisten Unternehmen sind auch nicht auf die Zusammenarbeit zwischen dem strategisch ausgerichteten Krisenmanagement und der operativen Notfallbewältigung im Rahmen des Business Continuity Managements eingerichtet. Auf diese Weise entstehen einerseits hohe Reibungsverluste im Krisenmanagement (das nicht ausreichend schnell mit notwendigen und verständlichen Informationen versorgt wird) und andererseits im Notfallmanagement (das unklare oder unrealistische Vorgaben aus dem Krisenmanagement erhält). In diesem Fall ist es sinnvoll, entsprechend spezialisierte IT-Dienstleister beratend und auch zur Unterstützung im Notfall heranzuziehen. Dabei gilt es, sich gegen Vorfälle aller Art abzusichern – besonders wenn man deren Lösung nicht selbst in der Hand hat.

Im Voraus zu handeln, macht fast alles weitere planbar und das Unternehmen ist im Krisenfall bestenfalls weiterhin handlungsfähig. Das Resultat einer durchdachten IT-Strategie und der damit verbunden Maßnahmen bringt letztendlich alle Geschäftsprozesse voran – auch wenn nichts passiert.

„Man kann nur schützen, was man kennt. Man kann nur versichern, was geschützt ist.“
Eine Absicherung durch eine „Cyber-Police“ sollte ein wesentlicher Baustein des Versicherungsmanagement eines Unternehmens sein, denn ein Cyber-Schadenfall kann die Existenz eines Unternehmens bedrohen!

Eine Versicherungspolice bietet folgende Lösungsansätze: Prävention durch Sensibilisierung, Weiterbildung der Mitarbeiter, Krisenpläne, Soforthilfe im Notfall durch eine 24/7-Krisenhotline mit direktem Zugriff auf Experten wie z.B. IT-Forensiker, Krisenmanagement, Datenschutz- und Datenrechtsanwälte, PR-Berater, Kostenübernahme bei Betriebsunterbrechungen, Kostenübernahme für die Wiederherstellung von Systemen & Daten, Zahlung von Lösegeldern und natürlich auch eine Cyber-Haftpflicht.

Drucken