Cyber-Risiko-MANAGEMENT – auch für die Touristik notwendig
Die Bedrohungslage für den deutschen Mittelstand durch Cyber-Angriffe hat sich in den letzten Jahren massiv verändert. Waren es früher eher Großunternehmen, die in das Fadenkreuz gezielter Hackerangriffe geraten sind, so sind es zunehmend auch kleinere Unternehmen, die in das Visier der Cyberkriminellen geraten. Hierzu hat sich mittlerweile ein „digitaler Untergrund“ mit spezialisierten Anbietern von Cybercrime-Werkzeugen und zugehörigen Diensten etabliert. 30% der Angriffe zielen mittlerweile auf Unternehmen mit weniger als 250 Mitarbeiter. Neben Reputationsschäden sind die Unternehmen im Falle eines erfolgreichen Angriffs oft mit erheblichen Kosten konfrontiert (siehe Abb. 1):
90% der Hackerangriffe starten mit einer einfachen E-Mail. Ein unachtsam geöffneter E-Mailanhang genügt und die Unternehmensdaten sind verschlüsselt und nur gegen Lösegeld wieder frei zu bekommen. Gezielte Attacken auf die Verfügbarkeiten von IT-Systemen sind für kleines Geld online bestellbar. In 50 Prozent der Fälle sind es Mitarbeiter selbst, die einen Schaden verursachen. Insbesondere wenn personenbezogene Daten die Beute von Cyberkriminellen geworden sind und Unternehmen die betroffenen Kunden und Partner entsprechend informieren müssen, ist die Unternehmensreputation und damit die Kundenbasis signifikant gefährdet. Im Krisenfall ist der Einsatz von Profis für IT, Kommunikation und Recht erforderlich, die ihre Leistungen in der Regel nicht unter 1.500 EUR Tagessatz anbieten. Hinzu kommen Kosten des Betriebsstillstandes und ggf. Schadensersatzansprüche Dritter.
Eine technische Abwehr ist notwendig, aber heute nicht mehr ausreichend. Das technische Wettrennen gegen die Hacker kann zumeist nicht gewonnen werden.
Bedarf für „Cyber Risiko Management“
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt ca. 1.000 kritische Schwachstellen in den üblichen Standard-Softwareprodukten.
Größere Unternehmen halten mittlerweile ganze Teams für den Ausbau ihrer Informationssicherheit vor und investieren ca. 10% ihres IT-Budgets für IT-Sicherheit. Energieversorger, die in den Bereich „Kritischer Infrastrukturen“ fallen, werden von Staatswegen mittlerweile zwangsverpflichtet, höchste Sicherheitsstandards zum Schutz vor Hackern zu implementieren und müssen sich bis 2018 hierzu auch zertifizieren lassen.
Kleinere Unternehmen können sich Expertenteams und laufende Investitionen in den Ausbau ihrer Sicherheitsstandards meist nicht leisten. Die Kosten und Reputationsschäden eines Cyberangriffs können aber erheblich sein. Auch die Reiseindustrie ist mit einer differenzierten Risikostrategie gut beraten. Eine Ergänzung der Risikostrategie über technischen Schutz hinaus durch gezielte Sensibilisierung und Qualifizierung der Mitarbeiter und eine Cyber-Versicherung mit entsprechenden Serviceleistungen bereiten auf den Ernstfall vor (siehe Abb. 2):
Personenbezogene und organisatorische Maßnahmen der Prävention sowie die Absicherung von finanziellen Schäden sind keine originären Aufgaben eines IT-Verantwortlichen im Unternehmen. Ein Cyberangriff kann für kleinere Unternehmen existenzbedrohend sein, die Vorbereitung auf den Ernstfall sollte deshalb Aufgabe der Unternehmensleitung sein.
Vorteile einer Cyber-Versicherung
Größere Unternehmen nutzen zunehmend Cyber-Versicherungen zur Risikoreduktion
– nur 5 % der kleineren Unternehmen hingegen haben eine solche Police abgeschlossen, obwohl gerade diese ein leichteres Ziel für Angreifer sind und die Kosten im Schadensfall zur existenziellen Bedrohung für diese werden können (Abbildung 3):
Anstatt Expertise zu hohen Kosten intern aufzubauen, kann für den Mittelstand eine differenzierte Risikostrategie eine Lösung sein. Setzen Sie auf Kooperation und Risiko-Diversifikation durch Versicherungsschutz. Fremd- und Eigenschäden bis zu 1 Mio. EUR sind für kleinere Unternehmen mit einer guten Cyber-Versicherung schon für ca. 1.400 EUR p.a. versicherbar.
Neben dem Bilanzschutz durch finanzielle Leistung im Schadenfall stellen die Assistance-Leistungen einzelner Versicherer vor allem für kleinere Unternehmen eine äußerst attraktive Win-Win-Situation dar. Beide Seiten sind an einer Schadensvermeidung und einer schnellen Schadenbehebung im Ernstfall interessiert. Leistungen wie eine Hotline für den Ernstfall, ein etabliertes Notfall-Management, professionelle Krisen-Kommunikation etc. müssen daher nicht mit erheblichen Kosten intern durch das Unternehmen selbst aufgebaut oder organisiert werden, sondern sind bei einzelnen Anbietern in sehr hoher Qualität verfügbar.
FAZIT: Eine hundertprozentige Sicherheit gibt es nicht – Cyber-Versicherungen bieten über finanziellen Schutz hinaus zum Teil sehr attraktive Mehrwertdienste zur Schadens-eindämmung im Ernstfall.
Mehr zum Thema finden Sie unter: www.CyberRiskAgency.de
Tel: +49 (0)89 20 60 21331.
Autor: Oliver Lehmeyer, Geschäftsführer Cyber Risk Agency, Februar 2017
Lesen Sie mehr News
Wir informieren Sie über aktuelle Themen von und für die Touristik.
Alle Beiträge finden Sie in unserem News-Bereich aufgelistet. Oder wählen Sie aus unseren News-Kategorien einen Themenbereich und lesen Sie nur die jeweiligen Themenbeiträge.