Proaktive Prävention

Cyberattacken werden gerne als Brandstiftungen des 21. Jahrhunderts bezeichnet. Eine 2017 veröffentlichte Studie von Bitkom und des Verfassungsschutzes zeigt auf, dass durch Wirtschaftsspionage, Sabotage und Datendiebstahl allein der deutschen Wirtschaft ein jährlicher Schaden von 55 Milliarden Euro entsteht. Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) war innerhalb von zwei Jahren angegriffen worden. Aus Sorge um Imageschäden meldete jedoch nur jedes dritte Unternehmen die Attacken.

Die Gefahr aus dem World Wide Web ist bekannt: Laut einer Erhebung des Bundesamts für Sicherheit in der Informationstechnik stufen 92 Prozent der befragten Unternehmen das Risiko für die Betriebsfähigkeit ihres Unternehmens durch solche Angriffe als hoch ein. Trotz des vorhandenen Bewusstseins ist erstaunlich, dass nur 42 Prozent der Befragten sagen, dass ihr eigener Betrieb mit Ersatzmaßnahmen aufrechterhalten werden könnte. Der „Cyber-Security-Report 2017“ von Deloitte verlautet, dass die Gefahr für Unternehmen weiter ansteigt und 83 Prozent der deutschen Unternehmen mit über 1.000 Mitarbeitern mehrmals pro Monat mit Cyberattacken konfrontiert sind. Es gilt also, mögliche Schwachstellen aufzuspüren und zu beseitigen, um Betriebsunterbrechungen auf unbestimmte Zeit durch Cyberangriffe, daraus resultierende physische Schäden und Folgeschäden wie Verlust von Marktanteilen oder Image zu minimieren.

Eine Auseinandersetzung mit der eigenen IT-Struktur ist hierbei unerlässlich. Kombinieren Unternehmen Software und Komponenten von unterschiedlichen Herstellern oder werden gar veraltete Betriebssysteme genutzt, sind simple Einfallstore für Hacker geschaffen. Hier muss man sich zum Beispiel nur an die Attacke „WannaCry“ erinnern, von der auch namhafte Unternehmen in Deutschland betroffen waren. Entscheider sollten deshalb zweimal überlegen, ob die Anschaffung eines neuen Betriebssystems nicht doch günstiger ausfällt als ein erfolgreicher Hackerangriff, der unter Umständen die Produktion lahmlegt oder sogar Maschinen zerstört.

Laut der aktuellen IDC-Studie zur IT-Security in Deutschland bildet jedoch der Faktor Mensch mit 37 Prozent die größte Schwachstelle. Hierbei handelt es sich nicht nur um gekränkte Mitarbeiter, die ihrem Arbeitgeber absichtlich Schaden zuführen wollen. Viele Mitarbeiter sind nicht sensibilisiert und geschult, um sich korrekt zu verhalten. Diesen Zustand gilt es zu beheben. Jedem Mitarbeiter und jeder Mitarbeiterin muss klar sein, dass zum Beispiel die eigenen Zugangsdaten nicht unter Kollegen geteilt werden sollen – auch wenn sie schon seit vielen Jahren vertrauensvoll zusammenarbeiten. Ein lückenloses Wissen, offene Kommunikation und regelmäßige Auffrischungs- und Weiterbildungsseminare sind die Schlüsselfaktoren, damit die Risikokultur von allen Mitarbeitern verstanden, unterstützt und mitgetragen wird. Nur wenn ein Mitarbeiter tatsächlich begreift, warum er sich wie zu verhalten hat und sich auch bei Unklarheiten stets an einen ausgewiesenen Ansprechpartner wenden kann, ist gewährleistet, dass er dazu beiträgt, ein Risiko zu minimieren.

Entscheidend ist aber nicht nur die Aufklärungsarbeit bezüglich der Mitarbeiter, sondern auch die Kommunikation zwischen den Zuständigen für den Bereich Risiko management und den IT-Leitern. Ein Schwerpunkt von FM Global ist es, die technische Lücke zwischen diesen Gruppen mit der Expertise seiner Berater für Cyber zu schließen. Es ist wichtig, dass Cyber als Unternehmensrisiko gemanagt wird. Entsprechend vorsichtig sind Unternehmen beim Austausch von Informationen über ihre Cyber-Sicherheitsprogramme. Bei FM Global hat die Sicherheit dieser Informationen oberste Priorität um sicherzustellen, dass die Unternehmensinformationen effektiv genutzt, konsultiert und geschützt werden können. So können zum Beispiel die Ansprechpartner der eigenen Versicherung nicht nur dabei behilflich sein, über Cyberrisiken aufzuklären oder den richtigen Versicherungsschutz festzulegen. Sie können auch durch Vor-Ort-Begehungen und durch Bereitstellung von Tools den Cyberschutz erhöhen.

Die Field Engineers bewerten unter anderem vor Ort die Zugangskontrollen und liefern nach Auswertung der Ausgangslage eine objektive Einschätzung der physischen Schwachstellen der IT-Sicherheit am Standort. Die Bewertung der Zugangskon trollen ist das erste Ergebnis einer größeren unternehmensbezogenen Cyberrisikobewertung, die dabei hilft, effektive Lösungen zur Schadenprävention zu implementieren, um die Cyberrisiken im gesamten Unternehmen zu minimieren. Des Weiteren bietet man die Möglichkeit, durch ein Cyber Risk Assessment Tool die Resilienzstufe eines Unternehmens in Bezug auf Cyberrisiken zu erfassen. Der erstellte Abschlussbericht zeigt auf, wie es um die Sicherheit vor Cyberrisiken in den vier Schlüsselbereichen – Unternehmensführung, IT-Sicherheit, Umgang mit Gefährdungen durch Insider sowie Reaktion auf und Umgang mit Cyberschäden – steht und bietet zusätzlich Empfehlungen zur Minimierung des Cyberrisikos.

Bei den Gesprächen und Analysen vor Ort fällt auf, dass weiterhin Unsicherheit über den Versicherungsschutz im Cybermarkt besteht und hierbei gerne zusätzliche Gespräche zur Deckungsaufklärung gewünscht sind. Eine wesentliche Deckung umfasst folgende Aspekte:

• Schäden an Daten, Programmen oder Software, verursacht durch Viren oder andere schädigende Schadsoftware
• Computernetzwerk Service-Unterbrechung, verursacht durch eine schädigende Cyberaktivität
• Drittanbieter-Datendienstunterbrechung (Cloud-Ausfall), die zu einer Betriebsunterbrechung und/oder zu Sachschäden führt
• resultierender Sachschaden und Betriebsunterbrechung auf einer All-Gefahren-Basis zur Police oder des Standort-Limits.

Tiago Dias, Cyber Security Consultant bei FM Global, www.fmglobal.de