Cyberkriminalität boomt: So schützen Sie Ihr Unternehmen vor Gefahren aus dem Internet

IT-Risiken gefährlicher als Produktfälschungen und Korruption

Die Arbeitsgemeinschaft für Sicherheit der Wirtschaft (ASW) hat bei 208 Unternehmen nachgefragt und herausgefunden, dass Kriminalität aus dem Netz als gefährlicher eingestuft wird als Diebstahl, Produktpiraterie und Korruption. Das hat einen guten Grund: Gleichzeitig berichten 80 % der Befragten nämlich, selbst Opfer von Hackerattacken geworden zu sein. Dabei nennen sie die Ausstattung der Mitarbeiter mit mobilen Geräten als eine der Hauptursachen. Trotzdem unterschätzen viele Firmen die Gefahren nach wie vor. Dabei tragen sie nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die Verantwortung, falls durch ein unzureichendes IT-Sicherheitsmanagement fahrlässig gehandelt oder nicht gehandelt wurde.

 © Flickr Gut gerüstet gegen Cyberattacken im Netz

Geschäftsrisiko Cyberkriminalität auf dem Vormarsch

Der führende Versicherungskonzern Allianz hat schon zu Jahresbeginn im „Risk Barometer“ Führungskräfte und Schadenexperten im Bereich Unternehmensversicherung befragt und die zentralen Geschäftsrisiken des Jahres 2014 ermittelt. Während die ersten Plätze Betriebs- und Lieferkettenunterbrechungen (43 %), Naturkatastrophen (33 %), Feuer (24 %) und rechtliche Veränderungen (21 %) mehrheitlich weniger risikoreich als 2013 bewertet wurden, stieg Cyberkriminalität und Spionage um 12 % auf Platz 8. Cyber- und Reputationsrisiken haben demnach den größten Sprung nach vorne gemacht. Risikoanalysten sind durch die rasanten technischen Entwicklungen besonders alarmiert. Sie sagen, dass IT-Sicherheit alleine nicht mehr ausreicht, sondern Netzwerksicherheitsrichtlinien und Prozesse benötigt werden, die bis zum Vorstand voll unterstützt werden müssen. Dazu gehört auch ein professionelles Testen, Einführen und Aktualisieren eines IT-Risikomanagements.

Spam bleibt häufigste IT-Gefahrenquelle – vor allem für kleine Firmen

Spam-Attacken (48 %), Spammails mit Malware, Viren und Spyware (44 %) und Phishing-Angriffe (33 %) sind die drei häufigsten Fälle von Cyberkriminalität für Unternehmen in Deutschland – bei steigender Tendenz. Dabei beklagen die IT-Verantwortlichen vor allem Datenverluste, von denen kleine mittelständische Unternehmen deutlich häufiger betroffen sind als große. Zwar sind beim Phishing weniger Firmen betroffen, doch hat ein Datendieb zugeschlagen, sind die monetären Datenströme von Unternehmen und Kunden massiv gefährdet. Ist hier auch nur ein Mitarbeiter sicherheitstechnisch nicht vollständig geschult, ist schnelles Handeln beim Verhindern von Phishing-Schäden gefragt.

Versicherungen minimieren Schaden durch Angriff auf IT-Systeme

Die juristische Verfolgung solcher Attacken gestaltet sich schwer, da die Verantwortlichen meist im Ausland operieren. Das Unternehmen haftet für die Fehler seiner Mitarbeiter, da es zu einem ganzheitlichen Sicherheitskonzept verpflichtet ist. Es muss alle Mitarbeiter umfassend über alle Gefahren aufklären, Risikovorsorge betreiben und die Weitergabe von Daten entsprechend dem BDSG genau regeln. Um einen entstandenen Schaden dennoch im Rahmen zu halten, bieten einige Versicherungen Policen zur finanziellen Absicherung gegen Cyberschäden an. Dabei muss ein Unternehmen spezifizieren, in welchem Bereich er sein IT-System versichert sehen will, etwa im Bereich Malware, Hacking, Missbrauch durch Mitarbeiter, Fehlfunktionen oder physische Angriffe. Nachdem alle Informationen zur aktuellen Situation der internen Datensicherheit erfasst wurden und ein Schadensfall eintritt, prüft der Versicherer, ob Datenschutzrechte an Dritte verletzt wurden oder das eigene System Opfer von Hackern wurde. Programmierfehler, Verschleiß, Schäden durch eine mangelhafte Stromversorgung und Vorsatz sind meistens nicht mit versichert – außer Insider-Attacken durch Mitarbeiter.

Umfassendes Risikomanagement erforderlich

Um vor dem Versicherungsfall zu verhindern, dass es zu einem Schaden kommt und um im Schadenfall schnell handlungsfähig zu sein, ist die Einrichtung eines Krisenmanagements genauso wichtig wie ein professionelles IT-Risikomanagement, wie es der Branchenverband BITKOM in diesem PDF-Dokument empfiehlt und beschreibt. Besonders Mittelständler sind mit der Koordination von IT-Spezialisten, Krisenmanagern und Kommunikationsexperten überfordert, wenn eine IT-Attacke Schaden anrichtet und öffentlich wird. Neben der Gefahr für die IT-Infrastruktur und die Daten verursachen Cyberangriffe besonders häufig einen geschäftsschädigenden Image-Schaden. Das Übersetzen komplexer technischer Sachverhalte für die Mitarbeiter sollte daher einen zentralen Aspekt eines präventiven IT-Sicherheitsmanagements darstellen.