Das Cyber-Risiko ins Visier nehmen
26.08.2013
Jens Krickhahn
Die Qualität eines umfassenden Systems zum Schutz vor Datenschutzverletzungen darf nicht von der Größe eines Unternehmens abhängen, sondern muss sich am Risikopotenzial eines Unternehmens orientieren.
Waren es früher vorrangig Großunternehmen, die Opfer gezielter Hacker-Angriffe waren, so hat sich das Gefährdungspotenzial durch sogenannte Cyber-Risiken in den vergangenen Jahren massiv auch auf kleine und mittlere Unternehmen ausgeweitet. Dazu zählt neben Attacken von außen auch der fahrlässige Umgang mit Daten oder Computern. So werden laut Ponemon-Institut jede Woche an den großen europäischen Flughäfen über 4.000 mobile Endgeräte – vom Notebook bis zum Smartphone – gestohlen oder vermisst gemeldet. Egal, ob ein gehackter Server oder das gestohlene Notebook eines Mitarbeiters – mit großer Wahrscheinlichkeit finden die Datendiebe sensible und auch personenbezogene Daten, die nicht in die falschen Hände geraten sollten. Das können geheime Entwicklungsdaten sein ebenso wie beispielsweise ein Verteiler mit Kundendaten, im schlimmsten Fall mit Bank- und Kreditkarteninformationen. Der Verkauf solcher Daten oder die Erpressung von Unternehmen bei Datenverlust sind mittlerweile ein alltägliches Phänomen. Aber auch wenn keine kriminelle Energie dahintersteckt, können die Kosten immens sein.
Laut der HP-Studie „Cost of Cyber Crime" belasten Cyber-Angriffe ein deutsches Großunternehmen jährlich mit durchschnittlich 4,8 Millionen Euro an Kosten. Sind personenbezogene Daten betroffen, können diese Zahlen sehr schnell steigen. Das spürt seit 2011 die SonyCorporation im größten bekannten Schadensfall der Cyber-Risk-Geschichte. Der Verlust von rund 77 Millionen Personendaten der Playstation-Nutzer belastet das Unternehmen – vom Vertrauensverlust ganz abgesehen – noch heute. Die direkten Kosten werden von Sony mit mindestens 171 Millionen Dollar beziffert. Experten gehen von einem deutlich höheren Schaden in Milliardenhöhe aus.
Großunternehmen reagieren schon länger mit deutlich erhöhten Investitionen in Datenschutz. Auslöser dafür waren neben einem drastischen Wachstum der Attacken und Schäden auch der Zwang durch eine verschärfte Gesetzgebung auf nationaler und internationaler Ebene im Bereich des Datenschutzes. Kleine und mittlere Unternehmen sind zwar mittlerweile aufgewacht, hinken aber bei den Vorkehrungen zum Schutz ihrer sensiblen und personenbezogenen Daten hinterher. Mittelständische Betriebe aus mit Personendaten agierenden Branchen wie E-Commerce, Medien, Hotels und Gesundheitswesen sind am meisten bedroht und haben den höchsten Bedarf für sichere Systeme und Prozesse auch für den Notfall. Gerade für kleine und mittlere Unternehmen kann es bei einem Schadensfall um die Existenz gehen.
Alleine die durch die Datenschutzverordnungen vorgeschriebene rasche Informationspflicht gegenüber jedem einzelnen Betroffenen, den Behörden und auch den Kreditkartenanbietern, kostet immens viel. Dann muss die Sicherheitslücke schnell geschlossen werden. Das setzt voraus, dass der Ort des Lecks bekannt und identifizierbar ist. Diese nicht immer leichte Aufgabe kann den Einsatz externer Experten, sogenannter „IT-Forensiker", erfordern. Im schlimmsten Fall sind massive und kostenaufwändige Veränderungen in der IT-Architektur erforderlich – und das alles unter zeitlichem Hochdruck. Hinzu kommen erhöhte Kosten für die Betreuung verunsicherter Kunden und Krisenkommunikation. Vermögensschäden oder immaterielle Schäden aus einer Datenrechts- oder Persönlichkeitsrechtsverletzung können ebenso hinzukommen.
Die gute Nachricht ist, dass viele der Kosten im Falle eines Verlustes personenbezogener Daten heute nicht nur beziffer- sondern auch versicherbar sind. Der Spezialversicherer Hiscox war der erst Anbieter, der bereits 2011 in Deutschland ein genau auf Cyber-Risiken zugeschnittenes Versicherungsprodukt angeboten hat, das schon vor dem Eintreten eines Versicherungsfalles ansetzt und so hilft, Schäden von vornherein zu vermeiden. „Cyber Risk Management by Hiscox" schützt Unternehmen gegen Ansprüche aus dem etwaigen Verstoß gegen Datenschutzgesetze sowie für hieraus resultierende Kosten und Betriebsunterbrechungsschäden. Das Deckungskonzept vereint Vermögensschaden-Haftpflichtversicherung und Eigenschadensversicherung in einer Police. Sie greift bei Datenschutzverstößen – egal ob ausgelöst durch Hackerangriffe, den Verlust von Computern oder Datenträgern oder das unredliche Verhalten von Mitarbeitern.
Bei einer Cyber-Risk-Versicherung kommt es noch mehr als bei anderen Versicherungen darauf an, vor Vertragsabschluss das Risikopotenzial eines Unternehmens abzuschätzen und im Schadensfall extrem schnell zu reagieren und den Schaden zu regulieren. Hier sind Experten gefragt. Durch seine exklusive Zusammenarbeit mit HiSolutions, einem führenden Beratungsunternehmen für IT-Sicherheit, kann Hiscox seinen Kunden schnell und verlässlich aufzeigen, wo ihre Risiken liegen und was zu deren Minimierung unternommen werden kann. Mit Vertragsabschluss erhalten alle Versicherungsnehmer automatisch Zugriff auf einen zertifizierten Sicherheitsdienstleister. Sobald beispielsweise ein Versicherungsnehmer gehackt wurde oder auch nur der Verdacht darauf besteht, erhält jener sofortige, professionelle Unterstützung eines exklusiven Hiscox-Partners, welcher bis zur Beendigung der Krisensituation zur Verfügung steht. Egal, ob es sich um forensische Untersuchungen, Unterstützung bei der Krisen-PR oder aber auch um die Schließung von Sicherheitslücken handelt – externe Partner und Hiscox-Schadenexperten stehen im Schadenfall rund um die Uhr zur Verfügung.
Denn schnelles und kompetentes Reagieren bei Datenlecks im Zusammenspiel mit einem geeigneten Versicherungsschutz kann für mittelständische Unternehmen überlebenswichtig sein.
(Jens Krickhahn, Underwriting Manager für Technologie, Media und Telekommunikation beim Spezialversicherer Hiscox)
Gastbeitrag von Jens Krickhahn - Online-Ausgabe 03/2013
http://finanzwelt.de/wp-content/uploads/Beispiel_wie_sich_die_Kosten_beim_Datenklau_summieren.pdf