Fachartikel aus PROTECTOR 10/2018, S. 32 bis 33

Bewusstsein für Cyberrisiken schärfen Proaktive Prävention

Cyberangriffe können Unternehmensdaten vernichten, die Produktion lahmlegen und dadurch unüberschaubare Folgeschäden mit sich führen. Ziel eines jeden Unternehmens sollte es daher sein, einen Cyberschaden gar nicht erst zu erleiden. Ein proaktiver Ansatz für das Managen von Cyberrisiken wird immer wichtiger.

Bild: FM Global/Shutterstock/Zapp2Photo
FM Global bietet die Möglichkeit, durch ein Cyber Risk Assessment Tool die Resilienzstufe eines Unternehmens in Bezug auf Cyberrisiken zu erfassen. (Bild: FM Global/Shutterstock/Zapp2Photo)

Cyberattacken werden gerne als Brandstiftungen des 21. Jahrhunderts bezeichnet. Eine 2017 veröffentlichte Studie von Bitkom und des Verfassungsschutzes zeigt auf, dass durch Wirtschaftsspionage, Sabotage und Datendiebstahl allein der deutschen Wirtschaft ein jährlicher Schaden von 55 Milliarden Euro entsteht. Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) war innerhalb von zwei Jahren angegriffen worden. Aus Sorge um Imageschäden meldete jedoch nur jedes dritte Unternehmen die Attacken.

Schwachstellen aufspüren

Die Gefahr aus dem World Wide Web ist bekannt: Laut einer Erhebung des Bundesamts für Sicherheit in der Informationstechnik stufen 92 Prozent der befragten Unternehmen das Risiko für die Betriebsfähigkeit ihres Unternehmens durch solche Angriffe als hoch ein. Trotz des vorhandenen Bewusstseins ist erstaunlich, dass nur 42 Prozent der Befragten sagen, dass ihr eigener Betrieb mit Ersatzmaßnahmen aufrechterhalten werden könnte. Der „Cyber-Security-Report 2017“ von Deloitte verlautet, dass die Gefahr für Unternehmen weiter ansteigt und 83 Prozent der deutschen Unternehmen mit über 1.000 Mitarbeitern mehrmals pro Monat mit Cyberattacken konfrontiert sind. Es gilt also, mögliche Schwachstellen aufzuspüren und zu beseitigen, um Betriebsunterbrechungen auf unbestimmte Zeit durch Cyberangriffe, daraus resultierende physische Schäden und Folgeschäden wie Verlust von Marktanteilen oder Image zu minimieren.

Strukturen kennen

Eine Auseinandersetzung mit der eigenen IT-Struktur ist hierbei unerlässlich. Kombinieren Unternehmen Software und Komponenten von unterschiedlichen Herstellern oder werden gar veraltete Betriebssysteme genutzt, sind simple Einfallstore für Hacker geschaffen. Hier muss man sich zum Beispiel nur an die Attacke „WannaCry“ erinnern, von der auch namhafte Unternehmen in Deutschland betroffen waren. Entscheider sollten deshalb zweimal überlegen, ob die Anschaffung eines neuen Betriebssystems nicht doch günstiger ausfällt als ein erfolgreicher Hackerangriff, der unter Umständen die Produktion lahmlegt oder sogar Maschinen zerstört.

Mitarbeiter gezielt schulen

Laut der aktuellen IDC-Studie zur IT-Security in Deutschland bildet jedoch der Faktor Mensch mit 37 Prozent die größte Schwachstelle. Hierbei handelt es sich nicht nur um gekränkte Mitarbeiter, die ihrem Arbeitgeber absichtlich Schaden zuführen wollen. Viele Mitarbeiter sind nicht sensibilisiert und geschult, um sich korrekt zu verhalten. Diesen Zustand gilt es zu beheben. Jedem Mitarbeiter und jeder Mitarbeiterin muss klar sein, dass zum Beispiel die eigenen Zugangsdaten nicht unter Kollegen geteilt werden sollen – auch wenn sie schon seit vielen Jahren vertrauensvoll zusammenarbeiten. Ein lückenloses Wissen, offene Kommunikation und regelmäßige Auffrischungs- und Weiterbildungsseminare sind die Schlüsselfaktoren, damit die Risikokultur von allen Mitarbeitern verstanden, unterstützt und mitgetragen wird. Nur wenn ein Mitarbeiter tatsächlich begreift, warum er sich wie zu verhalten hat und sich auch bei Unklarheiten stets an einen ausgewiesenen Ansprechpartner wenden kann, ist gewährleistet, dass er dazu beiträgt, ein Risiko zu minimieren.

Experten hinzuziehen

Entscheidend ist aber nicht nur die Aufklärungsarbeit bezüglich der Mitarbeiter, sondern auch die Kommunikation zwischen den Zuständigen für den Bereich Risiko management und den IT-Leitern. Ein Schwerpunkt von FM Global ist es, die technische Lücke zwischen diesen Gruppen mit der Expertise seiner Berater für Cyber zu schließen. Es ist wichtig, dass Cyber als Unternehmensrisiko gemanagt wird. Entsprechend vorsichtig sind Unternehmen beim Austausch von Informationen über ihre Cyber-Sicherheitsprogramme. Bei FM Global hat die Sicherheit dieser Informationen oberste Priorität um sicherzustellen, dass die Unternehmensinformationen effektiv genutzt, konsultiert und geschützt werden können. So können zum Beispiel die Ansprechpartner der eigenen Versicherung nicht nur dabei behilflich sein, über Cyberrisiken aufzuklären oder den richtigen Versicherungsschutz festzulegen. Sie können auch durch Vor-Ort-Begehungen und durch Bereitstellung von Tools den Cyberschutz erhöhen.

Bewertung vor Ort

Die Field Engineers bewerten unter anderem vor Ort die Zugangskontrollen und liefern nach Auswertung der Ausgangslage eine objektive Einschätzung der physischen Schwachstellen der IT-Sicherheit am Standort. Die Bewertung der Zugangskon trollen ist das erste Ergebnis einer größeren unternehmensbezogenen Cyberrisikobewertung, die dabei hilft, effektive Lösungen zur Schadenprävention zu implementieren, um die Cyberrisiken im gesamten Unternehmen zu minimieren. Des Weiteren bietet man die Möglichkeit, durch ein Cyber Risk Assessment Tool die Resilienzstufe eines Unternehmens in Bezug auf Cyberrisiken zu erfassen. Der erstellte Abschlussbericht zeigt auf, wie es um die Sicherheit vor Cyberrisiken in den vier Schlüsselbereichen – Unternehmensführung, IT-Sicherheit, Umgang mit Gefährdungen durch Insider sowie Reaktion auf und Umgang mit Cyberschäden – steht und bietet zusätzlich Empfehlungen zur Minimierung des Cyberrisikos.

Stichwort Deckungsumfang

Bei den Gesprächen und Analysen vor Ort fällt auf, dass weiterhin Unsicherheit über den Versicherungsschutz im Cybermarkt besteht und hierbei gerne zusätzliche Gespräche zur Deckungsaufklärung gewünscht sind. Eine wesentliche Deckung umfasst folgende Aspekte:

  • Schäden an Daten, Programmen oder Software, verursacht durch Viren oder andere schädigende Schadsoftware
  • Computernetzwerk Service-Unterbrechung, verursacht durch eine schädigende Cyberaktivität
  • Drittanbieter-Datendienstunterbrechung (Cloud-Ausfall), die zu einer Betriebsunterbrechung und/oder zu Sachschäden führt
  • resultierender Sachschaden und Betriebsunterbrechung auf einer All-Gefahren-Basis zur Police oder des Standort-Limits.
Versicherungen können ein gutes Angebot an Deckungsschutz vorweisen. Die Deckung allein reicht jedoch nicht aus, um das Risiko zu managen. Die Cyberversicherung muss durch Schadenverhütung ergänzt werden. Prävention und Reduzierung von Cyberrisiken sollten bewusst und kontinuierlich im Vordergrund stehen.

Tiago Dias, Cyber Security Consultant bei FM Global, www.fmglobal.de

Kontakt- und Firmen-Infos im Branchenverzeichnis