Cyberrisiken – Mangelndes Risikobewusstsein trotz hohem Gefahrenpotenzial

Von Natalie Kress

Digital verarbeitete und gespeicherte Informationen nehmen heute eine Schlüsselposition in der Geschäftstätigkeit der Unternehmen ein – das gilt nahezu für alle Branchen. Auf der einen Seite führt der stetig steigende Integrationsgrad auf Seiten der Nutzer zu einer erheblichen Vereinfachung der Betriebsführung und maximaler Effizienz. Auf der anderen Seite werden Unternehmen zunehmend verwundbarer für interne IT-Fehler, beispielsweise auch durch Mitarbeiterinnen und Mitarbeiter verursacht, und externe Netzangriffe.

Eine Studie, welche die ACE Group (ACE) im sogenannten EMEA-Raum durchgeführt hat, kam für die 100 befragten deutschen Unternehmen zu folgendem Ergebnis: 52 Prozent der Firmen gaben Cyberrisiken als größten negativen Einflussfaktor auf ihr Unternehmen in den kommenden zwei Jahren an. Für 63 Prozent der Befragten stellen allerdings nicht Kriminelle, sondern die eigenen Mitarbeiterinnen und Mitarbeiter sowie interne Prozesse das größte Cyberrisiko dar. Der Mitarbeiter oder die Mitarbeiterin soll also der größte Feind des eigenen Unternehmens sein? Die Antwort ist Nein, in der Regel nicht.

Mitarbeiterinnen und Mitarbeiter handeln nicht unbedingt willentlich aus einer bösen Absicht heraus, wie das nachfolgende Beispiel zeigt: Ein vermeintlicher, ausländischer Geschäftspartner bittet eine Sekretärin ihm eine Präsentation von seinem USB-Stick ausdrucken. Sie kommt diesem Wunsch natürlich nach, schließlich handelt es sich ja um einen Geschäftspartner. Allerdings war der Stick mit einer Spy-Software präpariert, die das neue Produkt des Unternehmens ausspähte und im Ausland günstiger nachproduzierte. Die Firma musste daraufhin die eigene Produktionsreihe einstellen.

ACE-RisksBarometer

 

Ein weiteres Beispiel: Einer Fremdfirma wird für Softwaretests Zugang zum firmeneigenen Netzwerk gewährt und anschließend denkt keiner der Verantwortlichen daran, diesen Zugang auch wieder zu sperren. Bezogen auf die analoge Welt ist dies in etwa so, als fordere man beispielsweise von Handwerkern nach getaner Arbeit die Schlüssel nicht zurück.

Aus unserer Sicht ist es die Aufgabe eines Versicherers, unter ihren Kunden ein Bewusstsein für diese Risikoart, die deutsche Unternehmen mittlerweile am meisten fürchten, zu schaffen. Denn obwohl Unternehmen und ihre Risk Manager die Gefahr für die eigene Firma auf dem Radarschirm haben, verfügen bisher nur Wenige über eine spezielle Absicherung, die das Restrisiko deckt. Einer der Gründe dafür ist, dass die Unternehmen hierzulande absolutes Vertrauen in ihre IT-Sicherheit haben – eine Beobachtung, die der EDV-Sachverständige Norbert Vogel vom Sachverständigenbüro Gramberg&Vogel häufig in der Praxis macht. Hinzu kommen Zeitdruck beim Management, das oftmals auch noch räumlich weitläufig von der IT-Abteilung getrennt ist, was sich auf den Informationsfluss wiederum nicht unbedingt positiv auswirkt. Doch wie realistisch ist es für Unternehmen, ihre IT à la Fort Knox abzusichern?

Mehr dazu erfahren Sie in unserem zweiten Blogbeitrag. Darin geht es auch um folgende Fragestellungen: Sind die speziellen Cyberdeckungen der Versicherer wirklich notwendig? Oder: Warum sollten Unternehmen eine spezielle Cyberdeckung haben?


Über die Autorin

ACE_Group_Natalie_Kress_UW_CyberrisksNatalie Kress ist seit Mai 2013 Underwriter für Cyberrisiken bei der ACE Group (ACE) in Frankfurt. Sie studierte Betriebswirtschaft an der FHWT Vechta und untersuchte für ihre Diplomarbeit die ökonomischen Auswirkungen des Erneuerbaren Energien Gesetzes (EEG) auf die technische Versicherungswirtschaft. Zusätzlich erwarb die Diplom-Kauffrau (FH) die Qualifikation „Kauffrau für Versicherungen und Finanzen“ der IHK.

In ihrer vorherigen Tätigkeit bei einer deutschen Versicherungsgruppe war Kress im Bereich Technische Versicherungen für Underwriting, Bestandspflege und Schadensachbearbeitung verantwortlich. Bei ACE ist Natalie Kress für das Underwriting von Cyberrisiken, die Produktimplementierung und -entwicklung auf dem deutschen Markt verantwortlich.

In Kooperation mit der
INTER Versicherungsgruppe