Cyber-Dämmerung
25.11.2024
Foto: © Yulia - stock.adobe.com
Zentrale Microsoft-Anwendungen fallen weltweit aus. Das ist keine Fiktion mehr. Denn jüngst legte eine Systemstörung Banken, Flughäfen und auch Kliniken lahm. Einzelhändler und Medienunternehmen schlossen ihre Pforten. Stundenlang stockten Versorgungs- und Wirtschaftszweige über Landesgrenzen hinweg. Wenn auch unbeabsichtigt ausgelöst, ging der Warnschuss voll in den Bug.
Ab jetzt ist der gefürchtete globale Systemausfall eine der Kernherausforderungen für Risikoexperten in Maklerbüros und bei deren Unternehmenskunden. Der passende Versicherungsschutz für strukturelle Cyber-Schäden wird hingegen rar. Versicherer meiden gravierende Infrastruktur- und Systemschäden möglichst. Ohne Bedingungsausschlüsse könnten solche Großereignisse in den Schadenbilanzen kumulieren und einige Versicherer unter Umständen existenziell bedrohen. Das hilft den Unternehmen in konkreter Gefährdungslage allerdings kaum weiter und erhöht den Druck auf die dortigen Risikomanager.
Mehr als ein Totalausfall
Die Überlebenszeit nach betrieblichen Totalausfällen ist kurz. Je nach Wirtschaftszweig können Unternehmen binnen Monaten, Wochen oder auch nur Tagen in eine Insolvenz rutschen. Tiefgehende IT-Ausfälle wirken ähnlich zerstörerisch wie Großbrände oder Überschwemmungen. Trends, wie beispielsweise die Anwendungsauslagerung via Web in die Cloud oder eine digital gestützte Elektromobilität, sorgen für Fragilität im IT-Sicherheitsgerüst. Ein Updatefehler im Sicherheitstool brachte Microsoft-Anwender weltweit in die Bredouille und die Systeme zum Stoppen. Ohne wirksame Notfallpläne und geeignete Ausweichsysteme stehen die IT-Räder im Betrieb oder auf Reisen still. Rund zwei von drei Betriebssystemen arbeiten mit Windows von Microsoft. Weit dahinter rangieren Apple und Linux. Besonders in der Versicherungsbranche richten sich die meisten IT-Lösungen auf Microsoft-Anwendungen aus. Ein erneuter langfristiger Softwareausfall könnte sowohl Vermittler und Versicherer als auch die Unternehmenskundschaft in ein wirtschaftliches Abseits katapultieren.
Volldampf für Risikomanager
Die Sicherheit und Stabilität von Betriebssystemen und Cloudlösungen stehen unter kritischem Blick. Bereits im Herbst letzten Jahres zeigte sich das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, um die Microsoftkundschaft besorgt. Sensible Cloudkundendaten könnten einen Weg von Servern in unbefugte Hände finden und Hacker überdies auf Master-Keys der Microsoft-Cloud zugreifen. Eine Beurteilung von Ermittlern in den USA fiel derart vernichtend aus, dass sich Microsoft im Fokus des BSI wiederfand. Trotz Anordnung blieb das BSI monatelang ohne aufklärende Antwort. Dann verzeichnete Microsoft unmittelbar nach dem updatebedingten, globalen Systemausfall einen DDoS-Angriff. Die Gegenmaßnahmen zum Überlastungsangriff sorgten für stundenlange Störungen. Sofern es Nutzungsvereinbarungen zulassen, sind bei derartigen Ausfällen durchaus Regresse denkbar. Juristen zufolge sind solche Durchsetzungen jedoch langatmig und im Ausgang ungewiss. Zwischen Schaden und Verlustausgleich liegen oftmals Jahre, hohe Kosten und mehrere Gerichtsinstanzen. Das wird für kleine und mittelständische Unternehmen zum hoffnungslosen Unterfangen. Unternehmenslenker und Risikomanager müssen also in ihren Bedrohungsanalysen mit langfristigen Systemausfällen rechnen und dürfen nicht zwangsläufig auf einen vollumfänglichen Versicherer- oder Verursacherersatz zählen. Umso wichtiger sind wirksame Notfall- und Maßnahmenpläne sowie Versicherungsmakler, die umfassende Deckungskonzepte bei den Ausfall- und Cyber-Versicherern aufspüren.