Schon im Kindesalter hören die Menschen immer wieder: ,,Spiel nicht mit dem Feuer!" Infolge dieser uralten Erkenntnis gibt es Brandschutzbeauftragte, TÜV-geprüfte Geräte, Rauchmelder, Feuerlöscher oder Sprinkleranlagen. Und sollte es doch mal brennen, gibt es einen schnellen Zugriff auf die Feuerwehr, und die Feuerversicherung steht für die finanziellen Folgen ein. Ganz anders sieht es oft bei Cyberrisiken aus.
Genau dieser Widerspruch treibt Stefan Honrath, Leiter der Direktion Peine bei der Volksbank BraWo, und Christian Gerstung, Direktor Kundenmanagement beim Versicherungsmakler Döhler Hosse Stelzer (DHS), um. „Wenn beispielsweise die Datenkommunikation gestört wird oder vertrauliche Informationen gestohlen werden, kann das für Unternehmen existenzbedrohend sein“ , warnt Honrath. Und Gerstung ergänzt: „Für jede Organisation sollte die IT-Sicherheit oberste Priorität haben, völlig unabhängig von ihrer Größe. Und sie gehört in den Verantwortungsbereich der Geschäftsführung.“
Grundsätzlich geht das Thema alle an: Freiberufler, Handwerker, Unternehmen, Vereine, Verbände und öffentliche Einrichtungen. Alle sind auch gleichermaßen gefährdet. Laut dem Digitalverband Bitkom e. V. investieren 43 Prozent der kleinen und mittelständischen Unternehmen in Deutschland jährlich weniger als 10.000 Euro in die eigene IT-Sicherheit. Aber neun von zehn Unternehmen waren 2020/2021 von Cyberangriffen betroffen. Hackerangriffe, Cybererpressungen, Netzwerksicherheitsverletzungen, Datenrechtsverletzungen, Datenmissbrauch oder -verlust und Sabotage führten in der deutschen Wirtschaft 2021 laut Bitkom zu Schäden in Höhe von mehr als 223 Milliarden Euro. Die Schlussfolgerung für Honrath und Gerstung: „Die IT-Security eines Unternehmens – egal welcher Größe – gehört in die Unternehmensstrategie.“ Als erste Anhaltspunkte dienen laut dem DHS-Experten sechs Fragen.
1. IST EINE EIGENE IT-SICHERHEITSABTEILUNG VORHANDEN?
– Gemeint ist nicht der Datenschutzbeauftragte, sondern Experten, die sich laufend und professionell mit der unternehmenseigenen IT-Sicherheitsstrategie beschäftigen. Dies können eigene Spezialisten oder externe Dienstleister sein.
2. WURDEN IT-ABHÄNGIGKEIT UND-ANFÄLLIGKEIT EVALUIERT?
- Vor Planung aller Maßnahmen ist herauszuarbeiten, wie sich die einzelnen Geschäfts- und IT-Prozesse auf die Geschäftsfähigkeit auswirken. Anhand der Antworten werden die konkreten Schwachstellen aufgespürt und nach Abwägung von Alternativen, Kosten, Risiken und Nutzen verschiedene Maßnahmen erarbeitet. Nur wer viel über seine Infrastruktur und Ablauforganisation weiß, kann diese auch gut schützen.
3. IST EIN ÜBERGREIFENDES RISIKOMANAGEMENT IMPLEMENTIERT?
- Ein Risikomanagement ist ein systematischer Ansatz, um dem Handlungsbedarf, der sich aus Risiken und Chancen ergibt, zu entsprechen. Der durch das Risikomanagement ausgelöste Wertbeitrag ist nicht zu unterschätzen. Denn Schadenvermeidung ist wesentlich wirtschaftlicher als Schadenbehebung.
4. IST EIN KRISENPLAN VORHANDEN?
- Für den Ereignis fall ist ein eingeübter Maßnahmenplan zur Krisenbewältigung inklusive klarer Zuständigkeiten erforderlich, um handlungsfähig zu bleiben. Dazu gehört auch eine professionelle Kommunikation nach innen und außen.
5. WIE IST DER UMGANG MIT GESETZGEBUNG RECHTSPRECHUNG (DSGVO) GEREGELT? UND
– Ein wichtiges Beispiel für rechtliche Vorgaben, die für die IT-Compliance einzuhalten sind, ist der Datenschutz. Die IT muss so gestaltet und genutzt werden, dass der Schutz personenbezogener Daten gewährleistet ist. Compliance in der IT bedeutet, dass mit der IT nicht alles umgesetzt wird, was technisch und organisatorisch möglich ist, sondern nur das, was innerhalb des Regelwerkes erlaubt ist. Unternehmen und Behörden sind deshalb laufend gefordert zu prüfen, ob ein bestimmtes Vorhaben in der IT auch regelkonform und damit compliant ist.
6. BESTEHT EIN AD-HOC-ZUGRIFF AUF SPEZIALISIERTE DIENSTLEISTER IM SCHADENFALL?
– Viele Unternehmen sind für Cyberangriffe organisatorisch schlecht vorbereitet. Der Aufbau dieser Strukturen überfordert sie technisch und/oder finanziell. Dann ist es sinnvoll, spezialisierte IT-Dienstleister an der Seite zu wissen, die beratend und zur Unterstützung im Notfall bereitstehen. Zudem gilt es, sich gegen Vorfälle aller Art abzusichern – besonders wenn man deren Lösung nicht selbst in der Hand hat. Honraths Fazit: „Das Resultat einer durchdachten IT-Strategie und der damit verbundenen Maßnahmen bringt letztendlich alle Geschäftsprozesse voran – auch wenn nichts passiert.“
Grundsätzlich aber gelte: „Man kann nur schützen, was man kennt, und versichern, was geschützt ist.“ In jedem Fall sollte aber eine entsprechende Absicherung wesentlicher Baustein im Versicherungsmanagement eines Unternehmens sein, betont Gerstung auch mit Blick auf hauseigene Lösungsmöglichkeiten: Prävention durch Sensibilisierung und Weiterbildung der Mitarbeiterschaft, Krisenpläne, Soforthilfe im Notfall durch eine 24/7-Krisenhotline mit direktem Zugriff auf Experten, Krisenmanagement, Datenschutz- und Datenrechtsanwälte, PR-Berater, IT-Forensiker, Kostenübernahme bei Betriebsunterbrechungen, Kostenübernahme für die Wiederherstellung von Systemen und Daten und natürlich auch eine Cyber-Haftpflicht. „Im Vorfeld ermitteln wir für unsere Kunden mögliche Gefährdungspotenziale und Unternehmensrisiken“, betont er.
Vorheriger Beitrag
