IT-Security
Cyber-Kriminalität: Wann zahlt die Versicherung?
Ob Hacker-Angriff oder Datenverlust: Cyber-Risiken werden für Unternehmen zunehmend zum Problem. Die aufsehenerregenden Fälle der zurückliegenden Monate bei Vodafone, Adobe und Sky sind nur die Spitze des Eisbergs. Gerade kleine und mittlere Unternehmen haben häufig Probleme im Umgang mit Cyber-Risiken. Aus einem einfachen Vorfall wird schnell eine handfeste Krise. Und deren Auswirkungen sind oft nur schwer zu handhaben: Es lauern rechtliche Fallstricke, die Kunden sind beunruhigt, das Firmenimage leidet. Die öffentliche Aufmerksamkeit gegenüber Cyber-Risiken ist hoch und der potenzielle Schaden so bedrohlich wie diffus.
Dennoch sind viele Unternehmen nur mangelhaft vorbereitet: So ergab die Hiscox-eDNA-Studie, eine repräsentative Umfrage auch unter deutschen Mittelständlern, dass 22 Prozent der befragten Unternehmen über kein Backup-System verfügen, 41 Prozent sensible Daten unverschlüsselt mailen und mit 94 Prozent die meisten Unternehmen nicht gegen Online-Kriminalität versichert sind.
Foto: Hiscox
Neben dem oftmals trügerischen Vertrauen in die Leistungsfähigkeit und Sicherheit der eigenen IT-Systeme besteht ein weiteres Problem: Cyber-Angriffe sind nicht zwangsläufig IT-basiert. Ebenso häufig nutzen Angreifer Schwächen in der Organisation oder bedienen sich der Hilfsbereitschaft unbedarfter Mitarbeiter, die dann unfreiwillig dafür sorgen, dass IT-Schutzmaßnahmen nicht mehr greifen ("Social Engineering"). Doch selbst die Antizipation aller Risiken und die größtmögliche Anstrengung zu deren Minimierung können keinen absoluten Schutz garantieren.
Das Krisenmanagement entscheidet
Wenn sich scheinbar hypothetische Risiken doch in konkrete Krisen verwandeln, kann dies vor allem mittelständische Unternehmen schnell in Existenznöte bringen. Neben den juristischen Konsequenzen beim Verlust personenbezogener Daten (wie die Informationspflicht nach §42a BDSG) sind es vor allem die Herausforderungen des Krisenmanagements, die Mittelständler überfordern. Zur Bewältigung werden neben vertrauenswürdigen Experten für IT-Forensik vor allem Krisenmanager und Kommunikationsexperten benötigt, die entsprechende Erfahrung mit Cyber-Angriffen mitbringen. Denn Cyber-Krisen unterscheiden sich in zwei entscheidenden Punkten von anderen kriminellen Angriffen auf Unternehmen: Sie erzeugen fast immer und explosionsartig Öffentlichkeit - und sie erfordern die Übersetzung komplexer technischer Sachverhalte in eine Sprache, die Kunden und Geschäftspartner verstehen.
- Wie hoch ist Ihr Haftungsrisiko?
Viele GmbH Geschäftsführer unterschätzen das Haftungsrisiko des Unternehmens. Eine der Hauptursachen für die nach wie vor hohe Insolvenzquote in Deutschland ist das mangelhafte oder überhaupt nicht vorhandene Frühwarn- und Risikomanagement in den Unternehmen. Beantworten Sie sich in einer ruhigen Minute doch einmal die folgenden Fragen: - Beobachten Sie als Unternehmer und Geschäftsführer eines Systemhauses selbst oder durch beauftragte Mitarbeiter z.B. im Detail die Entwicklung des Themas Software als Service?
- Wo sehen Sie Chancen?
- Wo sind Risiken sichtbar?
- Wie erneuern Sie in diesem Zusammenhang Ihr Geschäftsmodell?
- Haben Sie die Ressourcen (Menschen, Zeit, Kapital), um diesen Trend mitzumachen?
- Passen Ihre Geschäftsprozesse (zum Beispiel den Verkaufsprozess) zu diesem Trend oder können Sie diese regulieren?
- Haben Sie die Gewinnformel in Ihrem Geschäftsmodell diesem Trend schon angepasst?
- Gerät Ihr Unternehmen durch Trends, die nicht genau genug, nicht sorgfältig genug und bewusst beachtet werden, in die Krise?
- Wenn Sie GmbH Geschäftsführer sind, sind Sie sich der Haftungsrisiken in der Krise bewusst?
- Wissen Sie, dass Ihr privates Haftungsrisiko umso höher ist, je weiter der Überschuldungszeitpunkt in der Vergangenheit liegt?
Hierbei spielt es keine Rolle, wodurch genau die Krise ausgelöst wurde - ob durch selbst verschuldete Nachlässigkeit oder einen komplexen Cyber-Angriff. In einer Situation, in der sich viele Menschen Sorgen um den Schutz ihrer Daten machen, ist die Schuldfrage für die Öffentlichkeit unerheblich. Deshalb ist eine gute Krisenkommunikation entscheidend dafür, dass das Vertrauen von Verbrauchern, Kunden und Partnern nicht verloren geht. Die eigene Kommunikationsabteilung eines Unternehmens kann viele IT-Krisen jedoch nicht alleine handhaben und benötigt oftmals Unterstützung von außen.