Schwer zu kontrollieren, noch schwerer zu kalkulieren: Wie lassen sich IT-Schäden absichern?

Cyber-Risiken sind für Unternehmen das Thema der Stunde. Denn immer mehr Maschinen, Rechner und Produktionsbereiche sind mit dem Internet verbunden und miteinander vernetzt. Das eröffnet neue Chancen – birgt aber auch jede Menge Risiken. Neue Versicherungslösungen müssen her.

 

Die deutsche Wirtschaft ist spitze. In diesem Fall ist das ausnahmsweise leider nichts Positives. Denn in der Studie eines amerikanischen IT-Sicherheits-Unternehmens ging es um die Schäden infolge von Cyber-Kriminalität. Und die werden weltweit auf 400 Milliarden Dollar beziffert. In Deutschland schlägt das mit 1,6 Prozent des Bruttoinlandsprodukts zu Buche. Damit ist die deutsche Wirtschaft mehr als doppelt so stark betroffen wie z. B. die der USA (0,64 Prozent) oder in China (0,63 Prozent). Die Angriffsformen sind dabei vielfältig: Webserver werden gehackt, um Datenbanken auszuspionieren, Verschlüsselungstrojaner wie „Locky“ erpressen Unternehmen oder die Steuerungssoftware von Produktionsanlagen wird angegriffen.

Der Grund dafür liegt ganz offensichtlich in der Attraktivität der deutschen Wirtschaft. Bei hiesigen Unternehmen ist eben besonders viel zu holen. Und gerade die erfolgreichen Mittelständler sind längst im Visier von Cyber-Kriminellen, die als hochprofessionalisierte Banden agieren und ein einträgliches, skalierbares Geschäft entwickelt haben. Laut Bundesamt für Sicherheit in der Informationstechnik ist bereits jedes dritte deutsche Unternehmen Opfer von Cyber-Kriminellen geworden. Es genügt daher nicht mehr, die Rechnersysteme allein durch Sicherheitssoftware vor Viren und Trojanern zu schützen – es bedarf eines umfassenden Konzepts zur technischen und organisatorischen IT-Sicherheit.

 

Schäden durch unachtsame Mitarbeiter oder technische Störungen

Dabei ist Cyber-Kriminalität nicht das einzige Risiko im IT-Bereich. „Mindestens ebenso bedrohlich sind Schäden, die durch eigene Mitarbeiter – sei es nun vorsätzlich oder aus Fahrlässigkeit – verursacht werden oder durch technische Störungen“, sagt Cyber-Experte Michael Winte. Verschärfte regulatorische Anforderungen an Datensicherheit, potentiell existenzgefährdende Eigenschäden und Haftungsverlagerungen machen es zusätzlich für Unternehmen besonders schwer, Cyber-Risiken zu definieren und zu kalkulieren.

Wie anfällig IT-Systeme sind und wie fließend die Grenze zwischen kriminellen Aktivitäten und menschlicher Unachtsamkeit ist, das demonstrierten jüngst zwei Studenten aus Paderborn, die eine Sicherheitslücke in einer Steuerungssoftware ausfi ndig machten. Viele Unternehmen steuern ihre Produktion, ihre Pumpwerke oder andere Anlagen mittlerweile über ein solches Computerprogramm. Für die Betreiber ist das schon deswegen attraktiv, weil man damit räumlich unabhängig ist.

Über so eine Steuerungsanlage verschafften sich die Studenten der Wirtschaftsinformatik Zugriff auf ein bayerisches Wasserwerk. Dafür brauchten sie keine besonderen Hacker-Kenntnisse – sie mussten nur mit der richtigen Portion Spürsinn im Netz forschen. Es lag in ihrer Hand, erhebliche Schäden zu verursachen. Sie waren aber ehrlich und informierten die Betreiber über die Sicherheitslücke.

Diese Art der Gefahr betrifft nicht nur Versorgungsunternehmen. Dass eine ausländische Produktionsanlage von Deutschland aus überwacht wird, ist längst Alltag. Das Positive daran: Prozesse werden enormbeschleunigt und vereinfacht, die Produktivität steigt. Die Kehrseite der Medaille ist allerdings: Wenn alles mit allem zusammenhängt, dann entstehen auch völlig neue Risiken. Risiken, die schwer zu kontrollieren sind und noch schwerer zu kalkulieren.

„Binnen weniger Jahre ist das Cyber-Risiko zu einem zentralen Thema für das Risikomanagement in jedem Unternehmen geworden“, so Michael Winte. Auch Wirtschaftsprüfer fragen mittlerweile ab, wie es um die IT-Sicherheit eines Unternehmens bestellt ist.

Die Versicherungswirtschaft steht damit vor neuen Herausforderungen. Denn viele dieser neuen Risiken lassen sich nicht oder nur schwer über die klassische Industrie-Versicherung decken. Funk hat daher eine eigene Deckung entwickelt, die Funk CyberSecure. Ein modulares Versicherungskonzept, welches sich auf die speziellen Bedarfe eines jeden Unternehmens anpassen lässt.

Der Bereich der Cyber-Versicherungen ist aktuell die wahrscheinlich am schnellsten wachsende Produktsparte in der deutschen Versicherungswirtschaft. Zwar liegt der deutsche Markt noch deutlich hinter dem amerikanischen Markt zurück, wo bereits etwa 35 Prozent der Unternehmen eine Cyber-Deckung besitzen. Nicht selten wird die Entwicklung der Cyber-Versicherung in Deutschland mit der der D&O-Versicherung verglichen, welche mittlerweile zu den Standard-Versicherungen gehört. Dies ist nicht zuletzt auf unterschiedliche regulatorische Anforderungen zurückzuführen, wobei mit Umsetzung der EUDatenschutzverordnung mit einer weiteren Verschärfung der Informationspfl ichten zu rechnen ist, weshalb sich Unternehmen frühzeitig mit diesem Thema auseinandersetzen sollten.

Cyber-Risiken im Workshop definieren

Wie die IT-Risiken in Unternehmen jeweils aussehen, das ermittelt Funk im Rahmen eines eintägigen Workshops beim Kunden vor Ort. „Zu diesem Workshop laden wir die Leiter der von Cyber-Risiken betroffenen Bereiche ein. Das sind insbesondere die IT, Produktion, Vertrieb, Einkauf und Finanzen. Je nach Art des Unternehmens kommen weitere dazu“, sagt Nils Büchner, Berater Funk Risk Consulting, der auf ganzheitliches Risikomanagement ausgerichteten Funk-Tochter.

Vor dem Workshop fragen die Risikoexperten von Funk die IT-Gepfl ogenheiten des Kunden ab: Dazu gehören unter anderem Fragen nach der Verschlüsselung von Daten, dem Umgang mit mobilen Endgeräten und Zugangskontrollen.

Im Workshop werden die relevanten Cyber-Risiken in eine Risikofeldermatrix eingeordnet, die sich an der Wertschöpfungskette des Kunden orientiert und alle relevanten Unternehmensbereiche berücksichtigt. Die untersuchten Risikoarten können dabei grob in die vier Felder Sicherheit, Compliance, Haftung und Betriebsunterbrechung unterteilt werden.

Zum Bereich Sicherheit gehören unter anderem das Thema Erpressung oder Schäden infolge von Viren. Zu Compliance zählen Themen wie Datenschutz und die Sicherheit von Kundendaten. Haftung umfasst beispielsweise den Ausfall der Produktion, der dazu führen kann, dass man eine vertraglich zugesicherte Ware nicht rechtzeitig liefern kann.

Für die meisten Unternehmen am relevantesten ist das Thema Betriebsunterbrechung. Hier drohen durch Cyber-Schäden also erhebliche Verluste.

Nach der Klassifi zierung der Cyber-Risiken geht es dann an die entscheidende Frage: Was kann ein IT-Schaden pro Abteilung kosten? Was bedeutet es also konkret, wenn die IT für fünf Stunden lahm liegt? Oder die Produktion für einen ganzen Tag?

Nils Büchner erläutert: „Wir spielen verschiedene Szenarien durch und eruieren im Workshop Bandbreiten über die Kosten, die Cyber-Schäden mit sich führen würden.“ Am Ende des Workshops stehen konkrete Handlungsempfehlungen. Dazu kann zum Beispiel die Erstellung eines Notfallplans zählen. Oder eine Einschätzung dazu, in welchem Turnus die IT-Risikosituation immer wieder neu geprüft werden sollte, sowie Rückschlüsse für den Risikotransfer. So kann aufgezeigt werden, welche Schwerpunkte eine Cyber-Risiko-Versicherung setzen sollte.

Funk CyberSecure als Möglichkeit für Risikotransfer

Klassische Versicherungsprodukte eignen sich für die Absicherung für Risiken mit IT-Bezug nur bedingt. Besonders die Eintrittspfl ichten, Ausschlüsse und Obliegenheiten sind den exponierten Risiken von Unternehmen nicht angepasst.

Funk hat daher eine eigene Deckung entwickelt, die Funk CyberSecure. Die Funk CyberSecure erlaubt es zum Beispiel, besonderes Augenmerk auf die Absicherung von Ertragsausfällen, auf Cyber-Erpressung oder auch Kosten zur Wiederherstellung von Daten oder von IT-Systemen zu legen.

„Bei der Entwicklung der CyberSecure haben wir besonderen Wert darauf gelegt, dass sich das Deckungskonzept nicht nur auf Cyber-Crime und Datenschutzverletzungen beschränkt. So sind z. B. auch Betriebsunterbrechungsschäden versichert, welche auf technische Probleme oder Fehlbedienungen durch IT-Mitarbeiter zurückzuführen sind“, sagt Michael Winte. Viele der gängigen Produkte auf dem Markt leisten genau das nicht.

 

Der Trick mit dem falschen Chef

Ein weiterer übler Trick, mit dem Kriminelle in den letzten Jahren sowohl Kasse als auch Schlagzeilen gemacht haben, ist der „Fake-President“-Trick: Sie spähen dabei die IT einer Firma aus und schauen sich Mitarbeiterstruktur und Kommunikationswege genau an. Dann senden sie, etwa im Namen des Vorstands, eine E-Mail oder ein Fax an den für Überweisungen zuständigen Mitarbeiter. Diesem wird vorgespielt, dass dringend eine hohe Summe auf ein Auslandskonto überwiesen werden müsse.

Derartige Schäden sind in der Regel nicht über eine Cyber-Versicherung versichert. Denn der „Fake-President“-Schaden entsteht üblicherweise dergestalt, dass Täter Informationen aus sozialen Netzwerken oder den EDV-Systemen von Geschäftspartnern erlangen. In der Folge geben sich die Täter mithilfe des erlangten Insiderwissens als Organ des versicherten Unternehmens aus – meist als Vorstandsmitglied – und erwirken durch die Täuschung des für Bankgeschäfte zuständigen Mitarbeiters eine „dringende“ Überweisung zulasten des Unternehmens. In die IT des geschädigten Unternehmens sind sie dabei aber nicht manipulierend eingedrungen. Letzteres ist aber Voraussetzung für das Greifen einer Cyber-Deckung.

Versicherbar sind solche Schäden über eine Vertrauensschaden-Versicherung. Eine solche Police ist mehr als nur eine sinnvolle Ergänzung der bestehenden Betriebs-Versicherungen, um das Risiko für das Firmenvermögen zu minimieren. Eine Vertrauensschaden-Versicherung schützt gegen die klassischen Fälle der Binnenkriminalität – also Veruntreuung, Betrug oder Diebstahl aus dem Tresor durch Betriebsangehörige oder Vertraute des Unternehmens. Geschützt ist in definiertem Umfang auch die Drittkriminalität, zu der der „Fake-President“-Betrug zu zählen ist. Dieser hat in der letzten Zeit bereits bei Mittelständlern, aber auch international agierenden Großkonzernen zu Millionenschäden in bis zu zweistelliger Höhe geführt. Für diesen Deckungsbaustein stehen standardmäßig sublimitierte Versicherungssummen zur Verfügung, so dass von vornherein ausreichend hohe Summen eingekauft werden sollten.

„Aufgrund der Brisanz und Häufi gkeit dieser Fälle ist den Versicherungsnehmern dringend zu raten, dieses Risiko – auch gegen Mehrprämie – in größtmöglicher Höhe abzusichern. Ein Großschaden aufgrund dieses Risikos kann im schlimmsten Fall die wirtschaftliche Existenz eines Unternehmens in Frage stellen. Auch sprechen haftungsrelevante Richtlinien aus Compliance und Risikomanagement für die Absicherung des ‚Fake-President‘-Szenarios“ sagt Eva Joerden, Vertrauensschadenspezialistin bei Funk.

Es ist zu beobachten, dass die Versicherer mittlerweile dazu übergegangen sind, die Kunden dazu anzuhalten, wenigstens einmal im Jahr die relevanten Abteilungen schriftlich oder mündlich für dieses Risiko zu sensibilisieren. Sofern dieser Baustein nicht Bestandteil der Deckung sei, berät Funk hinsichtlich einer besseren Anpassung an diese Gefahr.

 

Der Oktober 2016 ist der „Europäische Monat der Cyber-Sicherheit“ mit vielen Aktionen zum Thema. In Deutschland werden diese koordiniert vom Bundesamt für Sicherheit in der Informationstechnik.
Für viele Unternehmen vielleicht ein Anlass, etwas für die hauseigene Cyber-Sicherheit zu tun!