monsitj - Fotolia

Cybersicherheit: Ein IT-Thema wird zum Versicherungsthema

In die Bewertung potenzieller Schäden durch Cyberangriffe fließen viele, nicht nur direkt IT-zugehörige, Faktoren ein. Ein wichtiger Punkt ist die Wiederherstellung von Daten.

Die deutsche Wirtschaft muss aktuell jedes Jahr 55 Milliarden Euro für die Beseitigung von Schäden aufbringen, die aus Cyberattacken resultieren. Zu diesem Ergebnis kommt eine Studie von BITKOM gemeinsam mit dem Bundesverfassungsschutz. Da wundert es nicht, dass laut Erhebung des Bundesamts für Sicherheit in der Informationstechnik 92 Prozent der befragten Unternehmen das Risiko für die Betriebsfähigkeit ihres Unternehmens durch solche Angriffe als hoch einstufen.

Verwunderung entsteht erst, wenn man liest, dass genau dieselben Befragten lediglich zu 42 Prozent aussagen, dass ihr eigener Betrieb mit Ersatzmaßnahmen aufrechterhalten werden kann. In diesem Kontext ist Cybersicherheit nicht mehr nur eine Frage der Prävention, sondern auch der Absicherung im Schadenfall. Wichtig ist, die Folgen von Attacken und Datenverlust richtig zu evaluieren und entsprechende Vorkehrungen und Absicherungen zu etablieren.

Aus Sicht der Versicherungswirtschaft lassen sich Trends bezüglich Cyberrisiken ableiten. Die Unternehmen sollten damit rechnen, dass die Attacken häufiger auftreten und technisch versierter durchgeführt werden, so dass die Folgen einschneidender sein können. Dies liegt daran, dass die Cyberkriminellen natürlich auch von technischen Innovationen profitieren und diese für ihre Vorhaben nutzen. Gleichzeitig sind sie äußerst professionell organisiert. Sie treffen in Unternehmen auf veraltete Systeme, die den kreativen Angriffen nichts entgegenzusetzen haben. Dieser Trend ist vor allem vor dem Hintergrund zu betrachten, dass sich Cyberangriffe und Datendiebstähle immer stärker finanziell lohnen.

Die richtige Analyse der Cyberrisiken

Da nur eine umfassende Risikoanalyse die Resilienz im Hinblick auf Cybergefahren stärkt, setzt die Versicherungswirtschaft unter anderem auf den Einsatz von Cyberexperten und die Zusammenarbeit mit Organisationen aus dem IT-Sicherheitsbereich. Risiko-Manager sollten dafür sensibilisiert werden, dass Schäden an Daten oder auch deren Verlust Nachwirkungen auf unterschiedlichen Ebenen haben können. So spielen der Detailgrad der Information und auch die Branchenherkunft eine Rolle, wenn der Wert bemessen werden soll.

Die wichtigste Frage lautet jedoch, was es kostet, die Daten komplett wiederzubeschaffen oder auch in ihren ursprünglichen Zustand vor dem Angriff zurückzuversetzen. Die Wiederherstellung von Daten kann in die Millionen gehen. Auch Ingenieursdienstleistungen, um verlorene oder beschädigte Daten wieder nutzbar zu machen, müssen in eine Schadenkalkulation einbezogen werden.

Kein Geschäft ohne Daten

Ertragsausfallschäden und die vorübergehenden Kosten zur Verteidigung gegen Cyberangriffe sollten ebenfalls betrachtet werden. Die digitalisierte Wirtschaftswelt ist ohne Daten nicht mehr einsatzfähig und jeden Tag gehen den betroffenen Unternehmen Einnahmen durch Produktionsausfälle und Umsatzeinbrüche verloren.

Hier sei noch nicht einmal der Image-Schaden erwähnt, der schwer in Euro und Cent auszudrücken ist. Hinzu können Verluste von Kunden und gegebenenfalls sinkende Aktienkurse kommen. Um das Risiko und die Konsequenzen von Cyberangriffen zu bestimmen und letztlich auch die Versicherungsprämien zu definieren, beziehen Versicherungsunternehmen unterschiedliche Parameter mit ein. Hierzu gehören unter anderem die Branche, die Lage des Hauptstandorts der IT sowie die Existenz von Niederlassungen in „sensiblen“ Weltregionen.

Rudolf Scheller, FM Global

„Die Mehrzahl der Schäden durch Cyberangriffe ist vermeidbar. Zudem ist es grundsätzlich leichter, Schäden vorzubeugen, als sich von ihnen zu erholen.“

Rudolf Scheller, FM Global

Neben den Kernaspekten der physischen und der logischen Sicherheit umfasst die Analyse eines Versicherers auch Fragen der Infrastruktur, wie Steuerungselemente und Stromversorgung. Eine Evaluation geht weit darüber hinaus, einen Fragebogen mit dem Risiko-Manager und dem CIO auszufüllen.

Häufig werden Ingenieure eingesetzt, um die Voraussetzungen vor Ort zu prüfen. Hier geht es unter anderem um bauliche Aspekte, die den Zugang von Personen zu den IT-Systemen regeln. Darauf basiert dann eine Beratung des Kunden zur Absicherung der Daten und hinsichtlich der Versicherung des Geschäftsrisikos.

Eine wesentliche Deckung umfasst dabei Schäden an Daten und Anwendungen, Computernetzwerk-Service-Unterbrechung und Drittanbieter-Datendienstunterbrechung (Cloud-Ausfall). Eine „gute“ Policy schließt keine Cyberlimits für Sachschäden an versichertem Eigentum oder Ausfallzeiten aufgrund eines Cyberangriffs aus.

Prävention und Risikoabsicherung gehen Hand in Hand

Die Mehrzahl der Schäden durch Cyberangriffe ist vermeidbar. Zudem ist es grundsätzlich leichter, Schäden vorzubeugen, als sich von ihnen zu erholen. Das Ziel ist die Stärkung der Resilienz von Unternehmen, durch die Übertragung seit Jahrzehnten erprobter Prinzipien zur Optimierung der Risikoqualität auf die digitale Welt.

Über den Autor:
Rudolf Scheller ist Chief Underwriting Technical Specialist bei FM Global.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Firmen Schritt für Schritt absichern

Die IT-Sicherheit mit einem flexiblem Steuerungsmodell optimieren

Cyber Resilience: So können Unternehmen kritischen Bedrohungen begegnen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit