AssCompact suche
Home
06/2015
1. Juli 2015
Schritt für Schritt zur IT-Sicherheit

Schritt für Schritt zur IT-Sicherheit

Die Cyberkriminalität wächst. Das hat die aktuelle Bitkom-Studie eindrucksvoll bestätigt. Unternehmen ist ihr individuelles Risiko allerdings oft nicht klar. Ein neuer VdS-Ansatz könnte das ändern und Versicherungsmakler im Beratungsgespräch unterstützen.

Die Bitkom-Studie 2015 beschreibt die wachsende Bedrohung der deutschen Unternehmen durch die Internetkriminalität und deren Nachholbedarf bei der IT-Sicherheit, bringt aber auch eine wesentliche Erkenntnis auf den Punkt: Bevor die Unternehmen an internationalen Themen und scheinbar übermächtigen Gegnern verzagen, können entscheidende Fortschritte in der IT-Sicherheit mit überschaubaren Maßnahmen vor der eigenen Haustür erzielt werden.

Der Gesamtschaden durch Cyber­attacken und Produktpiraterie wird laut Studie auf rund 51,0 Mrd. Euro geschätzt. Neue Dimensionen entstehen durch die bestellbaren Internetpiraten – „Crime as a service“ – und die fortschreitende Digitalisierung. Mittlerweile wird fast alles mit dem Logo 4.0 versehen. Entscheidend sind dabei zwei Umfrageergebnisse: Die Hauptbedrohung der kriminellen Handlungen kommt mit bis zu 45% aus Deutschland und der Täterkreis rekrutiert sich gemessen an den kriminellen Handlungen mit bis zu 66% aus Mitarbeitern bzw. ehemaligen Mitarbeitern.

Nicht beschrieben wird in der Bitkom-Studie der Weg aus dem IT-Sicherheitsdilemma. Worin besteht der erste Schritt für ein Unternehmen? Wie ist die IT-­Sicherheit eines Unternehmens objektiv zu bewerten? Muss ich hohe Summen investieren, um einen deutlich höheren Sicherheitsgrad zu erreichen?

Cybersecurity – Brandschutz des 21. Jahrhunderts

Auf der Cebit 2015 hat der VdS erfolgreich und von großem Interesse begleitet, seinen Ansatz „Cyber Security, Brandschutz des 21. Jahrhunderts“ präsentiert.

Auf Basis eines einfachen, webbasierten Selbst-Audits erhält das Unternehmen innerhalb von 20 Minuten bei 39 Fragen einen qualifizierten Überblick – eine Landkarte – über seine Risikosituation, sauber strukturiert und in Prozent bewertet. Die Struktur der Fragen entspricht den Erkenntnissen der Bitkom-Studie. Es werden im Wesentlichen Fragen zur Organisation und zu den Prozessen und weniger zur Technik gestellt. Explizit wird nach einem verbindlichen Prozedere bei der Einstellung und beim Ausscheiden von Mitarbeitern gefragt.

 

Schritt für Schritt zur IT-Sicherheit

In der Praxis haben sich die beschriebenen Übersichten bestens bewährt. Die Geschäftsleitung und die IT-Abteilung eines Unternehmens haben plötzlich eine gemeinsame Ebene, auf der sie die einzelnen Punkte besprechen, bewerten und in einen Projektplan einbringen können. In weiteren Schritten kann sich das Unternehmen über ein Audit bis zur neuen VdS-Richtlinie 3473 als neuem Standard zur Bewertung der IT-Sicherheit entwickeln.

 

Schritt für Schritt zur IT-Sicherheit

Versicherungsschutz für das „Restrisiko“ über die Cyberversicherung

Mit Blick auf das individuelle Ergebnis des Quick-Checks wird den Unternehmen ihr – bei allen Bemühungen immer vorhandenes – Restrisiko (Faktor Mensch und Zeitversatz beim Firewall-Update) sofort bewusst. Unbekannt ist den Unternehmen derzeit vielfach noch die Verfügbarkeit von mittlerweile qualifiziertem Versicherungsschutz. Denn der Versicherungsschutz der Cyber­versicherung deckt das Restrisiko.

Anhand aktueller Schadenerfahrungen kann den Unternehmen das Schadenpotenzial dargestellt werden. Auch hier liegt die Bedrohung nicht in gigantischen Zahlenkolonnen, sondern beginnt mit der einfachen Frage an den IT-Leiter, wie viele Tage er oder externe Fachleute für das Aufspüren einer Schadsoftware (Forensik) im gesamten IT-System benötigen. Die weitere schrittweise Ermittlung über Wiederherstellkosten, Kundeninformation und Anwaltskosten stellt auf einmal einen in seiner Gesamtheit existenzbedrohenden Kostenblock dar. Weiter geht es dann, je nach Betriebsart, mit der Diskussion der Betriebsunterbrechungsszenarien, Erpressungssituation und Umleitung von Geldern. Betroffenheit entsteht immer in Branchen mit den Risiken des Kredit­kartendaten- oder Patientendaten-Verlustes.

Die Ermittlung der potenziellen Schaden- oder Versicherungssumme stellt somit auch kein großes Problem dar. Berücksichtigt werden muss aber immer der Abgleich mit bestehenden Versicherungspolicen. Oftmals bestehen – versteckt – Ausschlüsse, die, da sie in der „alten Welt“ entwickelt wurden, vor dem Hintergrund der Internetkriminalität eine vernichtende Wirkung entfalten.

Die oben beschriebene Kombination aus Risikoermittlung und -bewertung führt für das Unternehmen zu einem greif­baren Ergebnis. Erfolgt der Nachweis eines passgenauen ­Bedingungswerks der Cyberpolice und bestehen klare Aus­sagen zur Schadenbearbeitung, kommt es in der Regel zum Abschluss der Cyberversicherung.

Den Artikel lesen Sie auch in AssCompact 06/2015, Seite 42f.

 
Ein Artikel von
Achim Fischer-Erdsiek
  • Anmelden, um Kommentare verfassen zu können

Ähnliche News

Assekuranz
SDK und Stuttgarter wollen Fusion 2026 abschließen
Der geplante Zusammenschluss der SDK und Stuttgarter liegt „voll im Zeitplan“. Das hat die SKD während ihrer Bilanzpressekonferenz bekannt gegeben. Der Gleichstellungskonzern soll zum 01.07.2025 an den Start gehen, etwa 15 Monate danach könnte die Fusion abgeschlossen sein. weiterlesen
Vertrieb
Makler-Business: Digitale Transformation im Maklerbüro
Wie können Versicherungsmakler die Trends und Entwicklungen der Digitalisierung für ihr eigenes Unternehmen nutzen? Und wo bringen neue Technologien und Tools einen echten Mehrwert? Stefanie Weidner gibt praktische Beispiele, wie digitale Lösungen in den Makleralltag eingebaut werden können. weiterlesen
Vertrieb
Diese Trends sieht MRH Trowe im Bereich Gewerbe
In den „Markttrends 2025“ gibt MRH Trowe einen Überblick über die Entwicklungen in der Versicherungswirtschaft im laufenden Jahr. Welche Themen werden Versicherer und Makler im Jahr 2025 beschäftigen? weiterlesen