Kein Unternehmen kann Cyber-Risiken ausschließen. Aber man kann die finanziellen Folgen absichern. Ein Gastkommentar von Ralf Knispel, Bereichsleiter Vermögensschaden-Haftpflicht / Financial Lines bei der Ergo und dort für das Cybergeschäft zuständig.
Als Unternehmer arbeitet man selbstverständlich mit modernen Anlagen, aktuellen Betriebssystemen und einem guten Netzwerk. Aufträge, Kundendaten und Informationen sind im IT-System gespeichert und jederzeit abrufbar. Arbeitsprozesse werden schlanker, Kommunikationswege kürzer. Doch was, wenn plötzlich ein Virus das IT-System lahmlegt? Oder die Internetseite oder der Online-Shop nicht mehr erreichbar sind? Was, wenn man plötzlich die Kontrolle über das eigene Unternehmen verliert?
Eins ist klar: den Vorteilen der zentralen Speicherung und der Einbindung von modernen Kommunikationsmitteln stehen in jedem Fall auch entsprechende Risiken gegenüber. Wie so oft stellt sich die Frage, in welchem Verhältnis Risiko und Nutzen stehen. Und vor allem: Sind wir uns der Risiken überhaupt bewusst?
Immer mehr und immer teurere Angriffe
Angriffe auf die IT-Systeme von Unternehmen sind in den vergangenen Jahren explosionsartig angestiegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet für 2017 von mehr als 600 Millionen Schadprogrammen im Internet - Anfang 2017 wurden täglich rund 280.000 neue erkannt. Experten gehen davon aus, dass die Cyberkriminalität weiter steigt – ebenso wie die hierdurch entstehenden Schäden für Firmen und Privatpersonen.
Lange Zeit hat sich das Bild vom Hacker, der in seiner abgedunkelten Kammer vor dem Monitor hockt, in der öffentlichen Wahrnehmung gehalten. Doch die Gefahren, die sich aus der Nutzung moderner Systeme ergeben, sind heutzutage deutlich vielfältiger. Datenverlust, Cyber-Bedrohungen und Cyber-Erpressungen sind nur einige der möglichen Szenarien. Hinzu kommt, dass die Ursache für ein Cyber-Risiko nicht unbedingt außerhalb des Unternehmens liegen muss. So belegen zum Beispiel unbeabsichtigte Anwendungsfehler und daraus resultierende Schäden einen unerwartet hohen Rang in der Liste der digitalen Gefahren.
Dabei trifft es längst nicht mehr nur große Unternehmen. Auch kleine und mittelständische Unternehmen werden immer häufiger Opfer von Cyber-Attacken. Experten schätzen, dass die Opfer von E-Crime in drei von vier Fällen Mittelständler und kleine Firmen sind. Laut einer Umfrage des Branchenverbandes Bitkom entstand der deutschen Industrie in den letzten beiden Jahren ein Schaden von 43,4 Milliarden Euro durch Hacker. Sieben von zehn befragten Industrie-Unternehmen (68 Prozent) gaben an, schon einmal Opfer einer Attacke geworden zu sein.
Cyber-Kriminelle machen bei kleinen und mittelgroßen Unternehmen oft leichte Beute, weil die IT-Systeme dort vergleichsweise schlecht geschützt sind. Werden dann Daten gestohlen und Schadprogramme eingeschleust, erreicht der Schaden schnell einen Millionenbetrag. Betriebsunterbrechungen und die Wiederherstellung der IT-Infrastruktur verursachen hohe Kosten. Hinzu kommt der Reputationsschaden.
Cyberversicherungen sind eine volks- und betriebswirtschaftliche Notwendigkeit
Wenn möglichst viele Unternehmen die finanziellen Folgen von Computerkriminalität begrenzen und absichern, stärkt das nicht nur die deutsche Volkswirtschaft. Es nützt auch der Versicherungsbranche: „Cyber“ gilt als einer der wichtigen Zukunftssparten im deutschen Markt. Angesichts der aktuell niedrigen Marktdurchdringung schlummert hier noch ein enormes Wachstumspotenzial.
Etliche Unternehmen interessieren sich zwar für eine Cyber-Versicherung, schließen aber keinen Vertrag ab. Zur Begründung heißt es häufig, es sei noch zu schwierig, das geeignete Produkt zu identifizieren. Doch die Absicherung gegen Cyber-Schäden muss im Jahr 2018 Bestandteil einer gesunden Betriebsstrategie sein. Es wäre zu einfach diese Verantwortung zusätzlich an die häufig ohnehin schon überbelasteten IT-Abteilungen zu schieben. Datensicherheit muss als Teil des unternehmerischen Risikomanagements – und damit als Chefsache – verstanden werden.