No Risk, more Fun

23.06.2023

Foto: © May - stock.adobe.com

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, schlug 2022 Alarm: Im Cyber-Raum sei die Gefährdung hoch wie nie. Für Unternehmen avancierten Cyber-Gefahren 2022 zum größten Geschäftsrisiko und hielten im Allianz-Risikobarometer 2023 den 1. Platz.

Cyber-Attacken nehmen überproportional zu und gelten in Folge der kontinuierlichen Weiterentwicklungen als unvorhersehbar. Die Kriminellen steigern die Angriffsintensität. Beispielsweise weiten sich die Erpressungsversuche mit Ransomware von angegriffenen Unternehmen auf deren Zulieferer und Kunden aus. Ein Angriff liefert Einblicke in dortige vertrauliche Daten quasi nebenbei. In den E-Mail-Servern der Angriffsopfer befinden sich Originalvorlagen für gezieltere Phishing- und Fake-President-Mails. Lediglich mit Cyber-Versicherungen sind solche Herausforderungen nicht zu lösen. Eventuell befeuern diese sogar die Gefährdungslage der Unternehmen.

Liebesgrüße aus Moskau

Für die Zunahme an Cyber-Angriffen verorten Experten unter anderem den Ukraine-Krieg. Hackerkolonnen sorgen per Russlands Gnaden für Chaos bei den Ukraine-Verbündeten und deren kritischen Infrastrukturen. Die kriminellen Banden beschaffen zudem systematisch Devisen zur Kriegsfinanzierung. Nordkorea sowie in puncto Wirtschaftsspionage China stehen ebenfalls unter Verdacht, der Cyber-Kriminalität gewissen Vorschub zu leisten. Professionelle, aber unpolitische kriminelle Organisationen erweitern die Geschäftsbereiche Drogen, Schmuggel oder Raub um lukrative Cyber-Attacken. Hacken vom Wohnzimmer-PC aus ist bequem, einfach und gefahrarm – Synergien inklusive. Zur Beute gehören vertrauliche Daten, Firmengeheimnisse und Interna zu Sicherheitssystemen, die Cyber-Angreifer wahlweise veräußern oder später selbst verwenden. Als besonders gefährlich gelten deshalb unerkannte Datenzugriffe, bei denen sukzessive illegale Datenkopien in kriminelle Kanäle gelangen und der Schadensumfang sich unterhalb der Wahrnehmungsgrenze ausweitet.

Leben und sterben lassen

Opfer einer umfangreichen Cyber-Attacke kämpfen um ihre Unternehmensexistenz. Neben eigenen Konto-, Kunden- und Mitarbeiterinformationen sind Partnergeheimnisse, wie z. B. von Arbeitsgemeinschaften, Dienstleistern oder Lieferanten, in ernster Gefahr. Selbst etablierten Handels- oder Produktionsketten drohen nach Hacker-Angriffen das plötzliche Aus oder zumindest kapitale Schäden. Bundesweite Attacken auf deutsche Handelskammern oder auf Supermarktketten via internationalem Zahlungsdienstleister lassen die Möglichkeiten erahnen. Fehlt passendes Risikomanagement, sind selbst Kleinbetriebe und Mittelständler den Angriffsfolgen auch ohne direkte Attacke ausgesetzt. Versicherungsschutz mit weitreichender Deckung ist deshalb ein elementarer Managementpart. Ohnehin fordern Cyber-Versicherer IT-Sicherheitsmaßnahmen auf Basis eines soliden Risikomanagements und bieten Kontakt zu speziellen IT-Dienstleistern. Fraglich bleibt, ob diese Diensteanbieter individuelle Erwartungen erfüllen oder ob die hauseigenen IT-Berater mit bereits erworbenen Unternehmenskenntnissen die bessere Wahl darstellen. In jedem Fall sind Versicherungsmakler gefordert, ihren Teil zum Risikomanagement des Unternehmenskunden beizutragen. Zur Erfassung und Analyse von Haftungen oder notwendigen Einbruchsicherungen ist spezielle Expertise sowie Interaktion mit anderen IT- und Wirtschaftsexperten in komplexen Fällen gefragt.

Cyber-Risiken bergen durchweg komplexe und zunehmend überraschende Konstellationen. Ein Beispiel ist der Brand bei einem großen europäischen Cloud-Anbieter 2021 in Straßburg. Große Teile von rund 100.000 dort betriebenen Servern für Unternehmen und Regierungsinstitutionen gingen in Rauch auf. Die Nutzer waren ohne Daten zu E-Mails,  Finanzunterlagen, Kunden, Produkten oder Webseiten. Der Cloud-Anbieter brachte überdies die Datensicherungen der Nutzer in den gleichen Servergebäuden unter. Etliche Betroffene waren ohne genügenden Feuer- bzw. Cyber-Schutz, der solche Wechselwirkungen und Infrastrukturschäden mit absichert. Nutzten geschädigte Unternehmen die Cloud zur alleinigen Datensicherung, war die Katastrophe perfekt.

Sag niemals nie

Selbst finanziell stabile Unternehmen geraten bei umfassenden Datenverlusten an die Existenzgrenzen. Ohne eine Möglichkeit zur Datenwiederherstellung auf aktuellerem Stand vermeiden auch Notfallpläne selten die nahende Pleite. Die Risikoanalyse zu den wahrscheinlichen Cyber-Gefahren gilt als wichtige Voraussetzung zur Gestaltung einer Risikoabsicherung. Der Gesamtverband der Versicherer, kurz GDV, bietet Interessierten dazu auf Webseiten einen Cyber-Sicherheitscheck an. Unternehmensmanager und andere Entscheider sollen dort „schnell und einfach feststellen, wie gut die IT-Sicherheit ist.“ Das Ergebnis erleichtert die ersten Schritte zur passenden Cyber-Versicherung und unterstützt die profunde Risikoanalyse seitens der Berater. Wie Blitzschlag, Starkregen, Sturm oder andere Naturgewalten können Cyber-Attacken jeden Betrieb direkt oder indirekt treffen. Selbst Betrieben mit Pappordnerarchiven und Papierrechnungen droht Gefahr, wenn Hauptzulieferer oder Großkunden durch Cyber-Attacken ausfallen. Diese Auswirkungen können jeden treffen und das unternehmenseigene Risikomanagement ist gefordert. Eine fundierte Versicherungsberatung bleibt ein wichtiger Teil davon. (gg)

Fazit

Unternehmen benötigen ein Risikomanagement, das unter anderem Datenschutz, Cyber-Gefahren sowie IT-Sicherheit berücksichtigt. Ohne tiefgehendes IT-Risikomanagement spielen Unternehmen Russisch Roulette. Versicherungsmakler mit wenig Kompetenz in IT-Risikofragen spielen mit. Einerseits in Beratungen zur Cyber-Versicherung und andererseits ebenso als gefährdetes Unternehmen.