Hackerangriffe

Ein falsches Gefühl von Sicherheit

Faktoren wie Branchenzugehörigkeit, Hauptstandorte und Niederlassungen können die Exponiertheit gegenüber Hackerangriffen definieren.

Ein Schloss für Sicherheit

Verschiedene Branchen sind unterschiedlich anfällig gegenüber Cyberangriffen.

Cyberversicherungen leisten einen Beitrag zur Absicherung von Risiken, die aus Hackerattacken oder anderen IT-basierten Betriebsausfällen entstehen. Vor diesem Hintergrund hat der Industriesachversicherer FM Global eine Studie zum Umgang mit solchen Versicherungslösungen aufgesetzt. Die Befragung basiert auf den Antworten von über 100 CFOs und anderen Finanzverantwortlichen in Unternehmen mit einem weltweiten Umsatz von 1 Mrd. US-Dollar oder mehr. Sie erwarten, dass ihre Versicherer eine breite Palette von aus Cyberangriffen resultierenden Verlusten abdecken würden. Diese Ansicht könnte jedoch eine zu leichtfertige Haltung sein. Denn Cyberversicherungen ersetzen nicht die notwendige Prävention basierend auf der Analyse des eigenen inhärenten Cyberrisikos.

Sieben von zehn Finanzverantwortlichen der weltweit größten Unternehmen glauben, dass ihr Versicherer den größten Teil oder gar den gesamten Schaden eines Cyberangriffes abdecken würde. Leider ist es jedoch so, dass die meisten der erwarteten Auswirkungen in der Regel nicht durch Versicherungen abgedeckt sind.

Zu diesen Effekten gehören:
– ­Schädigung der Marke/Reputa­tion des Unternehmens (46 Prozent gaben dies als eine wahrscheinliche Folge eines Cybersicherheitsereignisses an)
– stärkere Kontrollen durch Investoren (40 Prozent)
– Umsatzrückgang (38 Prozent)
– durch das Ereignis entstandene Compliance-Probleme (35 Prozent)
– Verlust von Marktanteilen (24 Prozent)
– Schwächung des Aktienkurses (24 Prozent)

Hinzu kommen auch neue finanzielle Aufwände, um erlittene Verluste zu mildern. In der Tat würden viele dieser neuen Kosten durch eine umfassende Cyber- oder Sachversicherung abgedeckt sein. Die Kosten für Rechtsstreitigkeiten und Kundenbenachrichtigungen wären Gegenstand einer Haftpflichtversicherung. Die übrigen der in der Umfrage aufgeführten Kosten müssten jedoch vermutlich vom betroffenen Unternehmen selbst getragen werden. Wichtig ist also, einen technischen Ansatz zu verfolgen, um Cyberrisiken zu identifizieren und vermögensbezogene Verluste zu vermeiden. Hierbei geht es um die Identifikation von Schwachstellen in den Bereichen physischer Zugangskontrollen, in der Informationssicherheit sowie bei industriellen Steuerungs- und Gebäudeautomationssystemen. Doch wie definiert man eigentlich sein eigenes inhärentes Cyberrisiko?

Verschiedene Branchen sind unterschiedlich anfällig gegenüber Cyberangriffen. Vor allem die Arten von Angreifern und deren Methoden unterscheiden sich stark. Bei der Industriezugehörigkeit sprechen wir von der Grundkategorie der Geschäftstätigkeit. Interessant ist hier, wie ein Unternehmen hauptsächlich seinen Umsatz generiert und wo entsprechend seine Hauptvermögenswerte liegen. Heutzutage sind das meist Daten und Produktionsanlagen. Bei einem Unternehmen wie Coca Cola geht es um ganz zentrale Assets wie Rezepte, die für das Bestehen von immenser Bedeutung sind. Sie beeinflussen bei Verlust die Wettbewerbsfähigkeit stark, weil sie Rechte an geistigem Eigentum betreffen und die Markenreputation schädigen.

In anderen Branchen sind weitere Aspekte entscheidend. Im Bereich der kritischen Infrastruktur stehen beispielsweise nicht unbedingt Datendiebstahl und persönliche Bereicherung im Fokus. Energieversorger sind Teil dieser kritischen Infrastruktur und die Motivation, sie zu attackieren, ist eine ganz andere als im Bereich des Einzelhandels.

Unternehmen mit Hauptquartieren in Industriestaaten profitieren zumeist von gut entwickelter digitaler Infrastruktur. Andererseits steigert dieses Umfeld jedoch auch das inhärente Risiko für Cyberangriffe. Dies liegt daran, dass der Hauptsitz eines Unternehmens seine Führung, seine Finanzen und sein Know-how zentralisiert. Gleichzeitig ist es jedoch auch so, dass entwickelte Staaten bereits über ausgefeiltere Gesetzgebung in Bezug auf Cybersicherheit verfügen.

Zudem ist der allgemeine Vorbereitungsgrad auf digitale Angriffe höher einzuschätzen als beispielsweise in einem Entwicklungsland. Am Beispiel Europas ist hier die Datenschutz-Grundverordnung (EU-DSGVO) zu nennen, die den Datenschutz auf einen hohen Standard gesetzt hat. Auch spricht zumeist die Zugriffsmöglichkeit auf professionelle und weltweit tätige Serviceanbieter, z. B. im Bereich des Rechenzentrumsbetriebs, für bessere Schutzmöglichkeiten. Europäische Unternehmen sollten besonders auf Niederlassungen und Tochtergesellschaften im außereuropäischen Ausland achten. Wichtig ist dies, weil Niederlassungen oft über eine starke Aggregation von relevanten Unternehmenstätigkeiten oder -infrastrukturen verfügen.

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Einige Charakteristika der Standorte können das inhärente Cyberrisiko beeinflussen. So setzen manche Staaten Cybergesetze oder Compliance-Vorgaben nicht durch. Andere verfügen nicht über die Voraussetzungen, um Ressourcen zur Einführung und Durchsetzung von Cyberpraktiken aufzubringen. Auch das politische Umfeld hat einen sehr großen Einfluss. So sind beispielsweise manche Staaten politisch instabil und von Störfaktoren wie Unruhen betroffen. Dies gilt auch für das Vorhandensein ­einer ausgeprägten „Hacking Culture“ im Land oder belastete Beziehungen zu anderen Staaten. Die Kenntnis des eigenen inhärenten Risikos ist der erste Schritt, um wirkungsvolle Maßnahmen im
Bereich der Prävention zu entwickeln.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok