Schließen TEILEN MIT...

RANKINGS
Schließen
Schließen
Business

Wurden Sie schon gehackt?

Cyber-Attacken werden immer häufiger. Schützen Sie sich!

Bild oben: (Foto: Shutterstock)
„Ich bin überzeugt, dass es nur zwei Arten von Un­terneh­men gibt: Die­jeni­gen, die schon ge­hackt wur­den und die­jeni­gen, die noch ge­hackt wer­den.“ Diese Aus­sage des FBI-Di­rek­tors Robert Mueller ist sein­erzeit häu­fig belächelt wor­den, heute ist sie bit­tere Re­al­ität! Na­hezu täglich bericht­en be­trof­fene Un­terneh­men und die Wirtschaft­s­presse über mas­sivste Störun­gen im ge­samten Bereich der in­ter­nen und ex­ter­nen Daten­nutzung und Daten­verar­bei­tung mit gravieren­den Auswirkun­gen auf Ar­beits­abläufe, Pro­duk­tion und auf das Ver­trauensver­hält­nis zwischen dem be­trof­fe­nen Un­terneh­men, den Lie­fer­an­ten und Kun­den und der Öf­fentlichkeit. Die Ur­sachen dies­er Probleme sind vielfältig; es kön­nen tech­nische Störun­gen in Daten­verar­bei­tungs- und Steuerungsan­la­gen, ab­sichtliche oder un­ab­sichtliche Fehlbe­di­e­nun­gen von Mi­tar­beit­ern oder kriminelle An­griffe durch Dritte von außen sein, die so­ge­nan­n­ten Cy­ber­at­tack­en. Dies­er Ter­mi­nus ist heute im be­trie­blichen wie auch im pri­vat­en Bereich ge­gen­wärtig, und na­hezu jed­er ist von An­grif­f­en in mehr oder weniger gravieren­der Weise schon be­trof­fen und beein­trächtigt wor­den. Aktuelle Beispiele für gravierende cy­ber­basierte Ein­griffe in Be­trieb­sprozesse sind Ab­fahren eines Ho­chofens, Zah­lun­gen an Dritte (Fake Presi­dent), Dieb­s­tahl von Hochre­gal-Lager­dat­en, Blockierung von Tele­fon-/In­ter­net­sys­te­men.

Was ist ei­gentlich Cy­ber?

(Foto: Shutterstock)
(Fo­to: Shut­ter­s­tock)

Nach ein­er möglichen Def­i­ni­tion ist der Be­griff abgeleit­et vom en­gl. Cy­ber­net­ics, der Ky­ber­netik und damit von der Lehre von Regel- und Steuerungsvorgän­gen. Cy­ber und Cy­bers­pace beschreiben kün­stliche Re­al­itäten und um­fassen speziell durch das In­ter­net alle weltweit er­reich­baren In­for­ma­tionssys­teme und -struk­turen.
Über 90 Prozent der deutschen Un­terneh­men haben In­ter­net­zu­gang; ein Großteil nutzt Cloud-Di­en­ste. Die Dig­i­tal­isierung der ge­samten Wertschöp­fungs­kette nimmt ras­ant zu. Die globale Ver­net­zung von In­for­ma­tionsströ­men mit di­rek­ten Ein­flüssen auf be­trie­bliche Vorgänge wie Beschaf­fung, Pro­duk­tion, Ab­satz und Ver­wal­tung (In­dus­trie 4.0) schafft damit auch eine be­sorg­nis­er­re­gende Risikosi­t­u­a­tion für alle Teil­neh­mer.
Na­hezu jedes zweite Un­terneh­men ist bere­its Opfer von zufäl­li­gen oder ziel­gerichteten (z. T. bestell­ten!) At­tack­en ge­wor­den. Die Hack­eran­griffe mit Da­tendieb­stählen be­tr­ef­fen keineswegs nur Großun­terneh­men, son­dern in be­son­derem Maß den Mit­tel­s­tand. Hi­er wird die or­gan­isa­torische und an­la­gen­tech­nische Daten­sicher­heit viel­fach nicht aus­reichend geprüft, ständig ak­tu­al­isiert und damit rel­a­tiv gesichert.

Typische Schwach­stellen er­leichtern Cy­ber-An­greifern das Ein­dri­gen in mit­tel­ständische IT-Sys­teme:

  • Sicher­heit­sau­dits im ei­ge­nen Un­terneh­men und auch bei Geschäfts­part­n­ern sind noch kein Stan­dard
  • Es gibt kaum ein­deutig definierte Sicher­heit­s­regeln zum Schutz sen­si­bler Dat­en
  • Es wer­den sel­ten Sta­tus- und Be­darf­s­a­nal­y­sen er­stellt
  • Vorhan­dene Sicher­heits-Tools wer­den un­zureichend genutzt
  • Das Risiko aus mo­bil einge­set­zten Geräten wird un­ter­schätzt
  • Risiken aus dem In­for­ma­tion­saus­tausch in sozialen Net­zw­erken wer­den außer Acht ge­lassen.
  • Die Mi­tar­beit­er­loy­al­ität ist sch­w­er ein­schätzbar (insbe­son­dere bei struk­turellen Verän­derun­gen im Un­terneh­men)
  • Die rechtlichen, fi­nanziellen und öf­fentlichen Auswirkun­gen von Cy­ber­risiken/-schä­den wer­den un­ter­schätzt.

Zur Min­imierung der Risiken (Ein­tritts- und Auswirkungswahrschein­lichkeit­en) durch Cy­ber-An­griffe bi­etet sich, wie auch bei an­deren „tra­di­tionel­len“ Risiken, fol­gen­des Vorge­hen an:

  • De­tail­lierte Au­far­bei­tung, Anal­yse und Be­w­er­tung des Ist-Stan­des in den Bereichen IT, Com­pliance und Recht
  • Regelmäßige Über­prü­fung und Ak­tu­al­isierung der Erken­nt­nisse und Maß­nah­men
  • Ein­rich­tung ein­er Not­fall-Pla­nung und Be­nen­nung eines Krisen­ma­n­age­ments
  • Ver­lagerung von Tätigkeit­en und/oder Risiken auf Dritte (Ser­vice-Provider) und auf Ver­sicher­er.
Es wird häu­fig hil­freich sein, an dies­er Stelle spezielle Be­r­a­tung­sun­terneh­men hinzuzuzie­hen. Die ei­ge­nen IT- und Rechts­abteilun­gen ken­nen zwar die Art und Qual­ität der im­ple­men­tierten Maß­nah­men, aber Con­sultin­gun­terneh­men ken­nen aus der Vielzahl der un­ter­schiedlichen Ver­hält­nisse, Vorgänge und An­forderun­gen die Risiken und Lück­en und wis­sen, wie in­tern und ex­tern vorge­gan­gen wer­den kann. Durch diese Iden­ti­fizierung, Be­w­er­tung und zu­min­d­est par­tielle Be­sei­ti­gung von Schwach­stellen wird die Risiko­lage schon deut­lich bess­er. In geringem Um­fang kann bere­its Ver­sicherungsschutz über tra­di­tionelle Ver­sicherungsverträge (z.B. Sach- und Be­trieb­sun­ter­brechung, Ver­trauensscha­den, Elek­tronik, Haftpflicht, Kid­nap­ping und Ran­som) beste­hen. Eine rel­a­tiv weit­ge­hende Deck­ung ist aber heute über so­ge­nan­nte Cy­ber-Schutz-Po­li­cen beschaff­bar. Diese Deck­un­gen wer­den mittler­weile von etlichen Ver­sicher­ern mit un­ter­schiedlichen Bezeich­nun­gen ange­boten. Das Be­din­gungsw­erk ist un­ein­heitlich, re­dak­tionell und sub­s­tanziell nur sch­w­er ver­gleich­bar. Außer­dem wird das Word­ing in kurzen Ab­stän­den den Mark­tan­forderun­gen und dem Wett­be­wer­berver­hal­ten ange­passt.

Ver­sicher­bar sind im Wesentlichen:

  • Haftpflich­tan­sprüche Drit­ter, z.B. durch Ver­traulichkeits- und Daten­schutzver­let­zun­gen, Net­zw­erks­sicher­heitsver­let­zun­gen, Ver­tragss­trafen
  • Ei­gen­schä­den/Kosten wie In­for­ma­tion­skosten, Be­trieb­sun­ter­brechun­gen, Daten­ma­nip­u­la­tion, Er­pres­sung, foren­sische Di­en­stleis­tun­gen (zur Fest­stel­lung von Ur­sachen und Um­fän­gen), Krisen­ber­a­tungskosten (zur Vermei­dung von Rep­u­ta­tionsschä­den und zu angemessen­er In­for­ma­tion der Geschäfts­part­n­er, Be­hör­den und Öf­fentlichkeit)
  • Lösegeld
Die Prämien für diese Cy­berdeck­ung sind einzel­fall­be­zo­gen. Kri­te­rien sind u. a. die Art des Un­terneh­mens, Sicher­heits­s­tan­dards, Deck­ung­sum­fänge, Ver­sicherungs­sum­men, Selb­st­be­halte usw. Bei höheren Deck­ungs­sum­men ist eine de­tail­lierte Risiko­a­nal­yse (sie­he oben) Vo­raus­set­zung. So­wohl hin­sichtlich der Risiko­a­nal­y­sen als auch der ver­sicherung­stech­nischen Al­ter­na­tiv­en/Lö­sun­gen ist der pro­fes­sionelle Ver­sicherungs­mak­ler ein her­vor­ra­gen­der Part­n­er. Er kann bei der Auswahl von Con­sul­tants helfen und ist insbe­son­dere bei der Konzep­tion, Ausschrei­bung und Platzierung be­darfs­gerechter Ver­sicherungs­lö­sun­gen un­verzicht­bar.

Ausgabe 03/2017



WEITERE INHALTE