Cybergefahr für Unternehmen
Wie lange kann Ihr Unternehmen ohne IT arbeiten? In der digitalisierten Welt von heute können Cyber-Schäden schnell zur existenziellen Bedrohung werden. Woher die Angriffe kommen und wie Unternehmen sich wappnen können.
Der amerikanische Geheimdienst späht das Handy von Bundeskanzlerin Angela Merkel aus: Über diesen Skandal berichteten im Jahr 2013 zahlreiche Medien und machten das Thema Cyber-Risiko einer breiten Öffentlichkeit bekannt. Seitdem gab es zahlreiche weitere prominente Vorfälle, zum Beispiel Attacken mithilfe von Krypto- oder Erpressungstrojanern wie Ryuk, WannaCry, Petya, Cerber, CryptoLocker und Locky. Dabei greifen Hacker auf fremde Daten zu und verschlüsseln diese. Oft bieten die Kriminellen dann an, die Daten gegen Zahlung eines Lösegelds wieder freizugeben. Opfer dieser Angriffe sind nicht nur Privatpersonen, sondern auch Unternehmensnetzwerke und Einrichtungen der öffentlichen Infrastruktur, etwa Energieversorger, Wasserwerke und Krankenhäuser. Cyber-Angriffe stellen somit ein erhebliches Gefahrenpotenzial dar.
Selbst Angriffe aus dem Kinderzimmer sind möglich
Wer die Initiatoren solcher Angriffe sind, bleibt oft unklar. Bei einigen Attacken wird vermutet, dass internationale Verbrecherorganisationen am Werk waren, die mit einer eigenen „Digitalabteilung“ gezielt Unternehmen mit Schadsoftware infizieren. In anderen Fällen geraten ganze Staaten in Verdacht, die Unternehmen in anderen Ländern ausspionieren und sich sensible Informationen beschaffen. Wie ein aktueller Fall zur Jahreswende 2018/2019 in Deutschland gezeigt hat, braucht es aber gar keine organisierten Verbrecherbanden oder staatliche Geheimdienste, um einen Datenskandal zu verursachen. Einem Schüler ist es gelungen, aus seinem Kinderzimmer heraus an sensible Daten von Politikern und Prominenten zu gelangen. Augenscheinlich ist die Sensibilität für Cyber-Risiken auch einige Jahre nach dem Handyskandal von Angela Merkel noch lange nicht ausreichend hoch. Vor diesem Hintergrund mag man sich gar nicht ausmalen, wer möglicherweise ganz still und heimlich in Firmennetzwerken unerkannt mitliest. Es gibt sicherlich genügend Interessenten für Informationen über Patente, technische Zeichnungen, Kunden- und Lieferantenbeziehungen, Preisstrategien, Marktanteile, Deckungsbeiträge und vieles weitere mehr.
„Nichts funktioniert ohne IT. Der Ausfall führt zum Stillstand einzelner Abteilungen bis hin zum Stillstand des ganzen Betriebs.“
Wenn der Betrieb stillsteht
Die IT-Infrastruktur stellt heute das zentrale Nervensystem eines jeden Unternehmens dar. Einzelne Maschinen sind ebenso durch IT verbunden wie auch die gesamten Produktions- und Logistikabläufe miteinander vernetzt sind. Gleiches gilt für viele weitere Subsysteme im Unternehmen. „Nichts funktioniert ohne IT. Der Ausfall dieser vielfach untrennbar miteinander verwobenen Netzwerkstrukturen führt zwangsläufig zum Stillstand einzelner Abteilungen bis hin zum Stillstand des ganzen Betriebs“, sagt Hendrik F. Löffler, Mitglied der Geschäftsleitung von Funk. „Ausfallszenarien von wenigen Minuten über Stunden bis hin zu Tagen und Wochen sind möglich.“
Selbst wenn Unternehmen die Zeichen der Zeit erkannt haben und hochwertige Schutzmechanismen installiert haben, ist kein Unternehmen vollständig vor Schäden aus dem Cyber-Kontext geschützt. Denn Unternehmen müssen sich nicht nur gegen Attacken von außen wappnen. Löffler: „Unaufmerksamkeit und Fahrlässigkeit der eigenen Mitarbeiter oder schlichte Fehlbedienung kann genauso dazu führen, dass die IT ausfällt – und in der Folge der ganze Betrieb stillsteht.“ Für die Bilanz und die Gewinn-und-Verlust-Rechnung eines Unternehmens ist es völlig irrelevant, ob der Schaden intern oder extern entstanden ist. Da konventionelle Betriebsunterbrechungsversicherungen nur in den seltensten Fällen für solche Schäden eintreten, bleiben die Unternehmen oft auf den Kosten sitzen.
Die IT allein kann diese Herausforderung nicht lösen
Welche Vorkehrungen können Unternehmen treffen? Die IT-Abteilung schützt die eigenen Systeme natürlich nach bestem Wissen und mit den gegebenen Möglichkeiten. Dies geschieht jedoch in aller Regel nur aus dem Fokus der IT und nicht unter Berücksichtigung der unternehmensweiten Wertschöpfungszusammenhänge. Da sich große Cyber-Risikoschadenpotenziale in vielen Fällen aber erst aus den Wechselwirkungen der einzelnen Unternehmensbereiche untereinander ergeben, kann die Unternehmens-IT alleine keine ganzheitliche Schadenkalkulation vornehmen. Ein Beispiel: Um beurteilen zu können, in welcher Größenordnung sich ein Deckungsbeitragsausfall für eine bestimmte Produktlinie bewegt, wenn das ERP-System für fünf Tage ausfällt, bedarf es zwangsläufig auch der Kompetenzen aus dem Controlling und aus der Produktion. Die Ursachen liegen auch häufig gar nicht im Einflussbereich der IT-Abteilung: Ein Produktionsmitarbeiter kann einen großen Schaden anrichten, wenn er zum Beispiel ein Maschinensoftware-Update falsch aufspielt. Oder der externe Maschinenlieferant infiziert das Produktionsnetzwerk per Fernwartung unbeabsichtigt mit einem Virus.
Sind Sie vorbereitet, wenn es Ihr Unternehmen trifft?
Das Cyber-Risiko bleibt aktuell und wird in absehbarer Zeit auch nicht mehr von der Tagesordnung verschwinden. Umso erschreckender ist das Ergebnis des Cyber Security Reports 2018: In jedem dritten Unternehmen setzt sich die Geschäftsführung nicht intensiv – sofern überhaupt – und höchstens anlassbezogen mit dem Thema Cyber-Sicherheit auseinander. Kennen Sie die Cyber-Risiken Ihres Unternehmens? Wissen Sie, welche Auswirkungen die vielfältigen Gefahren auf Ihren Geschäftserfolg haben können? Mit einer spezifischen Risikoanalyse erhalten Sie mehr Transparenz und ein besseres Risikoverständnis. Daher ist sie ein wichtiger Schritt für das effektive Management von Cyber-Gefahren.
Ein Workshop beleuchtet die Prozesse im Unternehmen
Funk bietet Ihnen eine individuelle Analyse im Rahmen eines interdisziplinären Workshops. In der Vorbereitung werden die Projektziele und das dazugehörige Projektteam verbindlich festgelegt. Um alle Unternehmensbereiche abzubilden, nehmen üblicherweise neben dem IT-Leiter auch die Leiter von Einkauf, Controlling/Finanzen, Vertrieb, der Produktionsleiter sowie das Versicherungswesen und Risikomanagement an der Risikoanalyse teil. Die Teilnehmer diskutieren gemeinsam mit den Experten von Funk mögliche Risikoszenarien entlang der Wertschöpfungskette und priorisieren die Risiken. Mittels einer Geschäftsauswirkungsanalyse können die vorhandenen Prozesse im Unternehmen im Zusammenwirken mit den Risiken in ihrer Kritikalität beurteilt werden. Dabei werden sämtliche Risikofelder, vorhandene Maßnahmen, Wechselwirkungen und Ausfallzeiten berücksichtigt, sodass sich ein transparentes Bild über die aktuelle Risikosituation und über die Wechselwirkungen zwischen IT und der analogen Wertschöpfung ergibt. Optional kann mit Hilfe eines Penetrationstests unseres exklusiven Kooperationspartners RadarServices ein konkreter Einblick in die tatsächlich vorhandenen IT-Security-Schwachstellen gewonnen werden. Cyber-Experte Löffler: „Unternehmen gewinnen mit der Funk Cyber-Risk-Analyse nicht nur eine erhöhte Risikotransparenz, sondern auch eine fundierte Grundlage für Versicherungslösungen.“ Mit den gewonnenen Daten können zudem Notfall- oder Business-Continuity-Pläne erstellt werden. So sind Cyber-Schäden zwar immer noch lästig, aber keine existenzielle Bedrohung mehr.
04.11.2019
Ihr Ansprechpartner
