Frankfurt am Main – Noch immer stufen viele Unternehmen ihre Datensicherheit als Angelegenheit der IT-Abteilung ein. Doch die Erfahrung betroffener Unternehmen zeigt, dass gerade Datendiebstahl häufig zu einer Lähmung des Unternehmens mit hohen wirtschaftlichen Folgekosten führt. Deshalb sollte die Geschäftsführung Cyber-Risiken ebenso behandeln wie Haftungs- oder Elementarrisiken: als Aufgabe des Risikomanagements und als Chefsache.
Es gibt nur zwei Arten von Unternehmen, sagt das FBI: solche die bereits gehackt wurden und solche, denen ein Hacker-Angriff noch bevorsteht. In Deutschland wurde bereits knapp ein Drittel aller Unternehmen zum Opfer mindestens einer Cyber-Attacke. Dies zeigt eine Umfrage des Branchenverbands BITKOM vom März 2014. Entsprechend ist auch die Sensibilität der deutschen Industrie gestiegen – inzwischen verfügen neun von zehn Unternehmen nicht nur über ein Sicherheitskonzept zum Schutz ihrer Daten, sondern auch über einen Notfallplan für den Fall eines Datenverlusts. Lücken gibt es jedoch bei der Absicherung im Schadenfall, der oft ernster ist, als es zunächst den Anschein hat.
„Die Auswirkungen, die ein Cyber-Angriff auf alle Bereiche des Unternehmens hat, sind oft weitreichend und schlecht überschaubar“, sagt Oliver Dobner, Leiter des Industriekundengeschäfts beim Versicherungsmakler und Risikoberater Marsh. „Eine Kette von Ereignissen, die rasant eskaliert und in kürzester Zeit weit über ein technisches IT-Problem hinauswächst.“ Nach der Entdeckung einer Sicherheitsverletzung ist als erstes die IT-Abteilung intensiv damit beschäftigt, die Sicherheitslücke zu identifizieren und zu schließen. Kurz darauf wird das Management in Mitleidenschaft gezogen, das sich mit den rechtlichen, wirtschaftlichen und imageschädigenden Folgen auseinandersetzen und entsprechende Maßnahmen einleiten muss. „Bei Bekanntwerden eines Datenverlusts beginnt die Cyber-Attacke, auch die Kapazitäten des Vertriebs und der Öffentlichkeitsarbeit zu schlucken – sehr schnell sind dann alle Unternehmensbereiche betroffen. Das bedeutet Verlust von Aufträgen und Geld“, erklärt Dobner.
Bisher berücksichtigen die Versicherungsprogramme vieler Unternehmen Cyber-Risiken noch zu wenig oder sehen keine ausreichenden Schadensummen vor. Betriebliche Versicherungen schließen Cyber-Risiken in der Regel nicht ein, und Leistungen aus der Betriebsunterbrechungsversicherung erfordern häufig einen ursächlichen Sachschaden. Haftungsschäden aus einem Datenverlust resultieren meist aus einem Vertragsverhältnis und sind deshalb ebenfalls nur selten versichert. Und auch in der Vertrauensschadenversicherung sind oft nur geringe Entschädigungsleistungen für Cyber-Schäden vereinbart.
Der Grund für diese Vernachlässigung der Cyber-Risiken liegt oft in der organisatorischen Verortung: Datensicherheit ist Sache der IT und nicht des Risikomanagements. Dies muss sich ändern, ist Marsh Geschäftsführer Oliver Dobner überzeugt: „In den letzten Jahren sind Cyber-Risiken von einem Randproblem zu einem inhärenten Geschäftsrisiko geworden. Daher ist es höchste Zeit, sie aus der IT-Ecke herauszunehmen und in das allgemeine Risikomanagement zu überführen – Cyber-Risiken benötigen eine individuell zu bestimmende Balance aus Prävention und Schadenbegrenzung. Ihr Management muss genauso zur Chefsache werden, wie dies bei Markt-, Haftungs- oder Image-Risiken der Fall ist.“
Quelle: ots