„Cyber-Risiken genauso bedeutend wie Haftungs- und Elementarrisiken“

Pfefferminzia: Marsh hat im Rahmen einer Studie untersucht, wie gut die deutschen Unternehmen auf Angriffe aus dem Cyber-Raum vorbereitet sind. Wie schätzen Sie die Entwicklung ein: Was läuft gut und wo hapert es noch?

Georg Bräuchle: Unternehmen setzen sich immer mehr mit den Cyber-Risiken auseinander, und das Bewusstsein steigt. Trotzdem stufen viele die Sicherheit ihrer Daten und Prozesse noch immer vor allem als Angelegenheit der IT-Abteilung ein und rüsten dementsprechend hauptsächlich technisch auf. Das genügt aber nicht, denn ein umfassendes Risk-Management-System muss allen Risiko-Faktoren Rechnung tragen, so zum Beispiel auch dem „Risiko Mensch“.

Meist endet die Risikobetrachtung zudem beim eigenen Unternehmen, die Gefährdungen durch Zulieferer und Kunden werden kaum in das Cyber-Risikomanagement einbezogen. Hier muss ein Umdenken stattfinden. Die Erfahrung zeigt, dass Angriffe häufig zu einer Lähmung des Unternehmens mit hohen wirtschaftlichen Folgekosten führen können. Cyber-Risiken sind heute genauso bedeutend wie Haftungs- und Elementarrisiken und gehören deshalb auf die Agenda der Chefetage und in den Fokus des betrieblichen Risikomanagements.

Marsh empfiehlt Unternehmen Versicherungslösungen, die eine „sofortige Unterstützung durch IT-Forensiker, Juristen und erfahrene Krisenmanager“ bieten. Dem einen oder anderen Unternehmer dürfte das womöglich etwas übertrieben erscheinen. Wie gehen Sie mit derartigen Vorbehalten um?

Bei einem Angriff spielt der Faktor Zeit eine zentrale Rolle. In erster Linie geht es darum, den weiteren Abfluss von Daten und deren Missbrauch zu verhindern. Je länger es dauert, Maßnahmen zu ergreifen, desto mehr schädigende Transaktionen können vorgenommen werden und desto länger kann auch eine Betriebsunterbrechung dauern. Um beispielsweise Geld von Banken zurückzufordern, weil falsche Buchungen getätigt wurden, oder um Geschäftspartner schnell über einen Vorfall zu informieren, muss man allerdings erkannt haben, was genau passiert ist. In der Regel verfügt ein Unternehmen nicht über eine entsprechende interne Infrastruktur, um dies im Krisenfall mit der erforderlichen Schnelligkeit aufzuarbeiten. Dazu benötigt man externe Spezialisten wie IT-Forensiker oder Krisenmanager, deren Kosten über eine Cyber-Police abgedeckt werden können.

Welche Ergebnisse aus Ihrer Studie haben Sie mit Verwunderung oder Überraschung zur Kenntnis genommen?        

Trotz der Häufung spektakulärer Schadenfälle glauben viele, dass das eigene Unternehmen für Hacker nicht interessant ist. Es überrascht, dass noch immer ein Großteil der Unternehmen – 61 Prozent – nicht einschätzen kann, wie hoch der finanzielle Verlust durch eine Cyber-Attacke für sie wäre, und über 40 Prozent keinen Reaktionsplan für Cyber-Angriffe haben. Um der Komplexität zu begegnen, ist es wichtig, die Risikofaktoren zu kennen und abzuwägen, welche Lösungen für das Unternehmen passen. Eine erste Einschätzung können Unternehmen hierfür beispielsweise über unseren kostenlosen Cyber-Risikotest unter www.cyber-risikotest.de erhalten.