27.09.2022 Digital

Kommentar: „Mensch bleibt das größte Cyberrisiko“

Miriam Marx vom Industriemakler MRH Trowe kritisiert, dass Unternehmen nicht zum präventiven Cyber-Risikomanagement verpflichtet sind. In ihren Kommentar aus Anlass der „Euroforum Jahrestagung Cyber Insurance 2022“ vergangene Woche empfiehlt sie unter anderem regelmäßige Awareness-Schulungen für Mitarbeiter.

Als Malware bezeichnet man Computerprogramme, die unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Oftmals sind es ahnungslose Mitarbeiter, die solche Programme innerhalb der Firmen-IT verbreiten – z.B. durch einen infizierten USB-Stick oder das Öffnen eines schädlichen Mail-Anhangs. (Foto: @ sitthiphong - stock.adobe.com)
Als Malware bezeichnet man Computerprogramme, die unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. Oftmals sind es ahnungslose Mitarbeiter, die solche Programme innerhalb der Firmen-IT verbreiten – z.B. durch einen infizierten USB-Stick oder das Öffnen eines schädlichen Mail-Anhangs.
(Foto: @ sitthiphong - stock.adobe.com)

Es hilft das beste IT-Sicherheitssystem nichts, wenn der Mitarbeiter oder auch Chef die falsche E-Mail öffnet und damit Hackern die digitale Tür ins Unternehmen öffnet. Knapp die Hälfte der deutschen Unternehmen ist in den vergangenen zwölf Monaten Opfer eines Cyberangriffs geworden. Je höher der Grad der Digitalisierung im Unternehmen, desto größer die Cybergefahr. Und dass die Digitalisierung unsere Zukunft bestimmt, ist allen klar. Es ist also nicht verwunderlich, dass deutsche Unternehmen kaum etwas so sehr fürchten, wie einen Cyber-Angriff. Das bestätigt das „Risk-Barometer“ von Deutschlands führendem Versicherer Allianz. Nur Betriebsunterbrechungen bereiten mehr Sorgen. Dennoch scheint die deutsche Wirtschaft kaum etwas gegen die Gefahr aus dem Netz zu unternehmen.

Management mit umfassender Vernantwortung in Sachen Cybersicherheit

 

Studien bestätigen, dass rund jedes zweite Unternehmen in Deutschland notwendige Maßnahmen zur Cybersicherheit nicht ausreichend umsetzt. Dabei besteht eine gesetzliche Pflicht der Geschäftsleitung zu einer Sicherstellung der Cybersicherheit im Zuge der Unternehmenskontrolle und Compliance. §§ 93 AktG, 43 GmbHG etwa inkludieren die Sorgfaltspflicht zur Sicherstellung der Cybersicherheit in den Haftungsnormen für Vorstände und Geschäftsführer. Bei einem Verstoß können sie haftbar gemacht werden.

Das Management eines Unternehmens muss sich also zwingend dem Thema Cybersicherheit annehmen. Die Verantwortung für die digitale Sicherheit eines Unternehmens liegt bei der Geschäftsleitung. Auch wenn die Maßnahmen operativ an die IT-Abteilung delegiert werden können, ist das Management verpflichtet, etwaige Maßnahmen zur Risikosteuerung und -minimierung zu treffen und auch zu überwachen. Diese beginnen bei der Situationsanalyse: Wie ist die Qualifikation der Mitarbeiter, an die Aufgaben und Verantwortungen in diesem Bereich delegiert werden? Wie wird die andauernde Beobachtung der getroffenen Maßnahmen und des Bedrohungsumfeldes generell durchgeführt? Die Ergebnisse dieser Analyse sollten im nächsten Schritt zu konkreten Handlungen führen. Die Situationsanalyse ist kein einmaliger Schritt. Wie bei jedem Software-Update auf dem Mobiltelefon oder Notebook ist auch hier eine regelmäßige Evaluation und Anpassung der Maßnahmen nötig. Denn nichts ändert sich schneller als der digitale Wandel.

Die wichtigsten Maßnahmen

 

Sechs Punkte sind bei der Risikosteuerung von Cyberangriffen wichtig:

1. Festschreibung von Verantwortlichkeiten, Weisungs- und Kontrollstrukturen, Berichtspflichten innerhalb des Unternehmens und der Abteilungen
2. Gewährung entsprechender Befugnisse innerhalb der Geschäftsleitung
3. Mapping der IT-Infrastruktur innerhalb des Unternehmens
4. Notfallplan: Was ist von wem im Notfall zu tun?
5. Je nach Unternehmensgröße Verpflichtung eines permanenten Chief Information Officer
6. Regelmäßige Schulungen für die Mitarbeiter

Foto: MRH Trowe

Die Verantwortung für die digitale Sicherheit eines Unternehmens liegt bei der Geschäftsleitung. Auch wenn die Maßnahmen operativ an die IT-Abteilung delegiert werden können, ist das Management verpflichtet, etwaige Maßnahmen zur Risikosteuerung und -minimierung zu treffen und auch zu überwachen.

Miriam Marx, Rechtsanwältin und Head of Financial Lines bei MRH Trowe

Awareness-Schulungen minimieren Risiko von Cyberangriffen

 

Vor allem der letzte Punkt ist entscheidend. Die Schulung der Mitarbeiter– und hier sind alle inbegriffen. Der Mensch ist in der IT-Sicherheitskette nach wie vor das schwächste Glied. Aber selbst bei der besten Risikoanalyse und eines ausgefeilten Cyberkonzepts kann eine absolute Sicherheit nie gegeben sein, denn es ist allzu oft menschliches Versagen und einfach nur Unbedarftheit wie ein schneller Klick auf den falschen Button, der ein System folgenschwer schädigt. Der „Sosafe Awareness Report 2022“ zeigt, dass Awareness-Schulungen das Risiko von Cyberangriffen im Unternehmen um 90 Prozent reduzieren können. Zusätzlichen Schutz bietet der Abschluss einer Cyberversicherung. Hierin sind häufig sogar Kosten für Präventivmaßnahmen wie Awareness-Schulungen abgedeckt. Darüber hinaus neben der finanziellen Schadenregulierung auch Kosten für die Schadenforensik nach einem Cyberangriff.

Unternehmen unzureichend abgesichert

 

Vor allem mit Blick auf die Compliance-Richtlinien im Unternehmen ist es essenziell, sich mit dem Thema Cybersicherheit, Cyberangriffen, Risikominimierung und entsprechenden Maßnahmen und Versicherungslösungen auseinanderzusetzen. In privaten Hausrat- und Haftpflichtversicherungen gehören Cyberrisiken seit einiger Zeit zum Standardprogramm. Warum tun sich Unternehmen damit so schwer? Die Gefahr aus dem Netz ist allgegenwärtig und wer hier leichtfertig mit umgeht, riskiert nicht nur hohe Schäden für Unternehmen, sondern sieht sich auch persönlichen Haftungsrisiken ausgesetzt. Allerdings schützt keine Versicherung vor dem Schaden und dem Ärger, den ein Cyberangriff im Unternehmen anrichtet. Allein deshalb sind regelmäßige, verpflichtende Schulungen für alle Mitarbeiter auf allen Ebenen die beste Prävention.


Weitere Artikel

Listing

19.09.2023 Digital

Mehr digitale Abschlüsse

Jeder sechste Versicherungsvertrag wird online abgeschlossen. Die Zahl steige langsam, aber stetig, meldet der Branchenverband GDV.

> weiterlesen
Listing

06.12.2022 Digital

Digital wird immer wichtiger

Die digitale Versicherungskompetenz der Bundesbürger wächst. Gefragt sind vor allem Selfservices in der Produktkonfiguration. Persönliche Ansprechpartner bleiben dennoch relevant. Das geht aus dem „Techmonitor Assekuranz 2022“ hervor.

> weiterlesen
Listing

10.11.2022 Digital

Studie: Sind deutsche Versicherer reif für die Cloud?

Eine Befragung unter IT-Experten vor allem großer Sachversicherer will klären, wo die Branche in Sachen Cloud Computing steht. Fast drei Viertel haben hierfür eine entsprechende Strategie und über 80 Prozent verfolgen ambitionierte Ausbauziele. Noch bewegt sich der Cloud-Reifegrad aber auf einem Einführungs-Status.

> weiterlesen