27.09.2016
Kolumne Sicherheit im WWW

Eine neue Risikokultur für den Cyber-Space

Goldene Zeiten für Cyberkriminelle – kaum ein Tag ohne neue Berichte über Hacker-Angriffe auf Konzerne und ihre Kunden, Mittelständler, Regierungen, Politiker, Journalisten, Sportler, Privatpersonen, kurz: eigentlich auf alle und jeden. Viele machen es den Angreifern zu leicht. Es wird höchste Zeit für eine neue Risiko-Kultur im Cyber-Space. Die sollte sich durch drei wesentliche Dinge auszeichnen. Die Kolumne des Vorsitzenden der GDV-Geschäftsführung Jörg von Fürstenwerth.

Was haben Yahoo, die Welt-Doping-Agentur WADA und Pippa Middleton gemeinsam? Und bitte erwarten Sie jetzt keinen schlechten Witz von mir, bei dem Thema ist mir das Lachen schon lange vergangen. Der Hintergrund ist ernst: Alle gerieten jüngst als Opfer von Cyber-Kriminellen in die Schlagzeilen. Bei Yahoo haben Diebe Daten von 500 Millionen Kunden erbeutet, Pippa Middleton – die Schwester der britischen Herzogin Kate, wird mithilfe geklauter Privatfotos erpresst und viele Spitzensportler finden vertrauliche medizinische Daten der WADA im Netz wieder. Dabei sind diese Fälle nur die Spitze des Eisbergs: Cyber-Kriminellen erleben gerade eine Art Goldrausch. Das gilt für politisch motivierte oder gar staatlich gesteuerte Hacker ebenso wie für Kriminelle, denen es schlicht um schnelles Geld geht. Das holen sie sich dort, wo das Ziel leicht zu knacken und ernste Gegenwehr nicht zu erwarten ist. Und leichte Ziele gibt es viele – zu viele.

Auf die Erkenntnis folgt meist nur ein Achselzucken

Auf die Erkenntnis, dass die Chancen der Digitalisierung auch Risiken mit sich bringen, folgt bis heute gerade in vielen mittelständischen Unternehmen nur ein Achselzucken. „Was soll mir schon passieren?“ fragt der eine. „Die haben es doch nur auf die Großen abgesehen“, sagt der andere. Wer heute noch so denkt und handelt, spielt mit seinem Unternehmen russisches Roulette. Viel zu viele haben sich zu lange darauf verlassen, dass schon nichts passiert. Wie groß das Dunkelfeld auch als Folge dieser Trägheit mittlerweile geworden ist, zeigen Schätzungen, die den wirtschaftlichen Schaden allein in Deutschland auf 22 oder sogar bis zu 50 Milliarden (PDF) Euro taxieren. Dahingestellt, welche Zahl die richtige ist: Klein ist das Problem wahrlich nicht, kleinreden lässt es sich schon gar nicht. In Zeiten weitgehend digitalisierter Prozesse und jederzeit weltweit verfügbarer Daten ist IT-Sicherheit keine lästige Nebensache, sondern zentrales Aufgabenfeld einer guten Unternehmensführung. Als Hüter vieler Kundendaten sind hier auch Versicherer gefordert. Wir müssen die Sicherheit unserer Systeme ständig überprüfen – und tun das auch.

GDV-NEWSLETTER

Bleiben Sie auf dem Laufenden

Der GDV-Newsletter bietet einen aktuellen Überblick über die wichtigsten Themen der Versicherungswirtschaft – immer donnerstags in Ihrem E-Mail-Postfach.
Hier abonnieren

IT-Sicherheit und Cyber-Versicherungsschutz müssen Hand in Hand gehen

In Teilen der deutschen Wirtschaft gibt es an dieser Stelle aber noch Nachholbedarf. In den USA geben Unternehmen für Cyber-Versicherungen jedes Jahr über zwei Milliarden US-Dollar aus, für Deutschland werden die Ausgaben gerade mal auf rund 20 Millionen Euro geschätzt. Sind die hiesigen Unternehmen also besser geschützt als ihre amerikanischen Kollegen? Wohl kaum, die Erfahrungen lassen eher den gegenteiligen Schluss zu: Nur wer IT-Sicherheit ernst nimmt und sich ausreichend schützt, versichert sich auch gegen Cyber-Risiken. Wir brauchen – insbesondere für den deutschen Mittelstand – also dreierlei:

Erstens und ganz grundlegend die Bereitschaft der Unternehmen, diese Risiken ernst zu nehmen und entsprechend zu handeln. Zweitens ein gemeinsames Verständnis über einen Grad an IT-Sicherheit, der ein Unternehmen zuverlässig schützt, aber nicht wirtschaftlich überfordert. Und drittens natürlich Versicherungen, die das verbleibende Risiko decken und die Unternehmen im Ernstfall nicht nur mit Geld, sondern auch mit Know-How zur Seite stehen.

Die Versicherungswirtschaft bietet Lösungen an: Die GDV-Tochter VdS hat einen Standard entwickelt, mit dem sich kleine und mittlere Unternehmen angemessen vor Cyber-Gefahren schützen und dies durch ein Zertifikat belegen können. Auch Cyber-Versicherungen für den Mittelstand sind bereits auf dem Markt erhältlich. Mit der Veröffentlichung unverbindlicher Musterbedingungen durch den GDV wird sich der junge Markt im kommenden Jahr hoffentlich dynamisch weiterentwickeln. Den ersten Schritt allerdings – das Risiko erkennen und es ernst nehmen – muss jedes Unternehmen selbst gehen, wenn es nicht Opfer des kriminellen Goldrausches werden will.

Ihr
Jörg von Fürstenwerth

 
Jörg von Fürstenwerth