Thought Leadership
Vorfälle wie WannaCry, Spectre oder Meltdown haben gezeigt: Cyber-Angriffe können enorme finanzielle Konsequenzen für Unternehmen nach sich ziehen. Das ist den meisten Firmen durchaus bewusst – und trotzdem sind sie nicht hinreichend dagegen abgesichert.
Das Management von Cyber-Risiken sorgt in Unternehmen und in der Öffentlichkeit für anhaltende Diskussionen. Schwachstellen wie veraltete Hard- und Software, ein fehlendes Firewall- oder Backup-Konzept sind immer noch klassische IT-Sicherheitslücken, die im Falle eines Angriffs fatale, wirtschaftliche Folgen nach sich ziehen. Die Angriffsfläche ist groß, es reicht nicht aus, nur die IT-Systeme den Sicherheitsstandards anzupassen. Denn größtes Sicherheitsrisiko bleiben nach wie vor die eigenen Mitarbeiter; diese fortlaufend zu sensibilisieren ist unabdingbar. Unternehmen brauchen also umfassende Sicherheitskonzepte, die auch eine Absicherung gegen eintretende Risiken umfasst.
Erschreckende Unwissenheit
Trotz der Bedeutung von IT-Sicherheit kennt ein Großteil der deutschen Unternehmen ihr konkretes Risikoprofil nicht, verfügt über kein Notfall-Management-Konzept und setzt sich bislang nur unzureichend mit dem Thema Cyber-Versicherung auseinander.
Als größte Cyber-Risiken nennen die Teilnehmer aus Deutschland und Österreich Betriebsunterbrechungen (39 Prozent), Reputationsverlust (23 Prozent), Haftungsansprüche (22 Prozent) und Erpressung (14 Prozent). Bei Cybercrime geht es oft um sehr viel Geld oder Existenzbedrohung der Unternehmen. Dennoch haben viele Firmen keinen Überblick über ihre konkrete Bedrohungslage und kennen den Umfang ihres Versicherungsschutzes nicht.
Die Cyber-Studie zeigt außerdem, dass 46 Prozent der befragten Unternehmen keine Mobile- & Cloud-Sicherheitsstrategie besitzen, 26 Prozent sich darüber im Unklaren sind und nur 20 Prozent mit einem externen Datenspeicher für den Ernstfall vorgesorgt haben. Obwohl Cyber-Risiken gemeinhin als IT-Risiken gelten, genügt es nicht, nur primär die IT-Systeme sicherer zu machen – auch die Mitarbeiter müssen entsprechend sensibilisiert werden. Hier geht es vor allem darum, kritische Kompetenzen zu benennen, zu trainieren und im weiteren Talentmanagement zu verankern. Dazu gehört auch, dass die Führungskräfte darin geschult werden, auf ein risikosensibles Verhalten ihrer Mitarbeiter hinzuwirken.
Externe Expertise – eine ungenutzte Chance
Mehr als die Hälfte der Studienteilnehmer wollen bestehende Sicherheitsmaßnahmen in ihrem Unternehmen nicht durch Dritte prüfen lassen – weder in puncto Firewalls und Softwaresicherheit noch im Bereich von Netzwerken oder physischer IT-Sicherheit. Die meisten Unternehmen scheuen sich davor, Einblick in ihre Daten zu gewähren. Demzufolge würden nur 27 Prozent Eindringungsversuche in ihr IT-System im Sinne einer konkreten Risikobewertung akzeptieren. Doch vor dem Hintergrund fehlender Transparenz bleibt auch das Cyber-Risiko-Management auf der Strecke.
Um die konkreten Risiken einer Organisation zu erfassen, müssen Unternehmen alle IT-, Mitarbeiter- und Kapitalrisiken sowie den Versicherungsschutz eingehend analysieren. Nur so ist eine Bewertung individueller Risiken qualitativ und quantitativ möglich. Bei der Evaluierung sehen die Befragten die Risikoeingrenzung bzw. -erfassung (36 Prozent), die quantitative Bewertung von Schadensszenarien (28 Prozent) und die Transparenz bestehender Cyber-Versicherungskonzepte (16 Prozent) als größte Herausforderungen an. Genau diese Schritte sind jedoch elementar, um einschätzen zu können, welche Risiken die Unternehmen eigenständig bewältigen können und welche an Versicherungen übertragen werden sollten.
Vier Schritte zum umfassenden Cyber-Risiko-Management:
Am Anfang steht die systematische Erfassung derjenigen Risiken, die die Unternehmensziele substantiell beeinträchtigen könnten. Risiken wie eine Cyberattacke sind sehr komplex und deutlich schwieriger zu erfassen als Gefahren, die sich auf konkrete Firmen-Assets beziehen. Ergebnis eines solchen Assessments ist ein aussagekräftiges Risikoprofil.
Auf Basis dieses Risikoprofils muss ein krisenfähiges Risikomanagement implementiert werden. Auf den konkreten Fall eines Cyber-Angriffs haben sich bisher nur 39 Prozent der befragten Unternehmen mit einem Notfall-Konzept vorbereitet. Dazu kommt, dass derzeit hauptsächlich die internen IT-Abteilungen und keine Spezialisten die Sicherheitssysteme und -vorfälle überwachen: Sie protokollieren relevante Vorfälle und informieren regelmäßig die Geschäftsführung. Knapp ein Viertel verlässt sich sogar ausschließlich auf installierte Firewalls und Sicherheitssoftware.
Sicherheitslücken schließen
In der anschließenden Risikominimierung geht es darum, die identifizierten Sicherheitslücken so gut es geht zu schließen. Dazu gehört auch die Absicherung von Restrisiken durch Versicherungslösungen. Die Cyber-Studie von Willis Towers Watson hat gezeigt, dass es für zwei von drei Unternehmen von Interesse ist, Teile ihrer Cyber-Risiken an einen Versicherer zu transferieren. Um Deckungsüberschneidungen zu minimieren, sollten Unternehmen sich insbesondere mit den Details ihrer Cyber-Police auseinandersetzen. Trotz des generellen Interesse an Cyber-Versicherungen fehlt hier vielmals das explizite Wissen: 72 Prozent der befragten Unternehmen geben an, dass ihnen der Umfang einer Cyber-Versicherung eher oder völlig unklar sei. In der Tat sind gerade die Bedingungen von Cyberversicherungen extrem komplex. Es ist wichtig, genau hinzusehen: Welche Leistungen braucht das Unternehmen wirklich? Was ist dafür eine angemessene Prämie? Und wie lassen sich Deckungsüberschneidungen mit klassischen Versicherungen vermeiden? Es ist unerlässlich, dass Anbieter von Cyber-Versicherungen ihr Angebot klarer von anderen Deckungen abgrenzen.
Aber was tun, wenn eine Cyber-Attacke bereits im Gange ist? Dann heißt es zügig und kontrolliert handeln, um den Schaden so gering wie möglich zu halten. Die Unternehmen brauchen dazu einen Notfallplan mit technischen und organisatorischen Sofortmaßnahmen. Ein weiterer wichtiger Schritt ist das Informieren von neu etablierten Cyber-Crime-Centern: Wenn Unternehmen Attacken und ihre entsprechenden Erfahrungen teilen, profitieren auf Dauer alle davon.
Dringende To Do‘s
Unternehmen ist die Relevanz von Cyber-Risiken bewusst – jetzt müssen Taten folgen. Vor allem sollten Unternehmen das Thema zur Chefsache machen, ihre Risiken qualitativ und quantitativ bewerten, ein Notfall-Management-Konzept entwickeln und sich mit Risikotransferlösungen auseinandersetzen. Denn die nächste Cyber-Attacke kommt bestimmt.
Autoren: Mathias Pahl, Head of Corporate Risk and Broking und Gerald Sonnleitner, Sales Executive Key Accounts bei Willis Towers Watson
