„Niemand kann Cyberrisiken vollkommen ausschließen“

Cyber-Schutz Gewerbe von Martin Morgenstern

Selbst mit der besten IT-Abteilung und den neuesten Sicherheits-Innovationen können Unternehmen ein Restrisiko durch Cyberangriffe nicht ausschließen, sondern nur bestmöglich absichern. Welchen Beratungsansatz Makler verfolgen sollten und welchem Trugschluss vor allem KMU unterliegen, erklärt Cyber-Expertin Sabine Pawig-Sander.

Interview mit Cyber-Expertin

Sabine Pawig-Sander (Erichsen GmbH)

procontra: Malware wie WannaCry und Petya haben Schäden in Milliardenhöhe verursacht. Laut einer aktuellen Studie besitzen trotzdem nur ein Drittel der deutschen Firmen eine Cyberversicherung. Fehlt also das Gefahrenbewusstsein?

Sabine Pawig-Sander: Ich glaube, dass es zwei grundlegende Faktoren für die mangelnde Cyber-Absicherung gibt. Zum einen denken Unternehmen mit einer gut aufgestellte IT-Abteilung schnell, ihnen kann nichts passieren, weil sie alles für ihren Schutz getan haben. Das ist natürlich ein Trugschluss. Überträgt man diesen Gedankengang in eine andere Sparte, wird der Fehler nochmal deutlicher: Ich brauche keine Feuer-Versicherung, weil ich eine Brandschutztür habe. Bei Cyberversicherung findet genau dieser Gedankengang im übertragenen Sinne statt. Das Problem ist, dass das Cyberrisiko eine sehr abstrakte Gefahrensituation widerspiegelt. Für den Normalverbraucher sind die Prozesse, die im Netz passieren nicht sichtbar. Das macht die Vorstellung natürlich schwerer, dass es immer ein Restrisiko gibt – auch mit der besten IT-Abteilung im Unternehmen. Pro Tag werden 400.000 neue Schadprogramme in Umlauf gebracht. Da kann niemand ein Risiko vollkommen ausschließen.

procontra: Und der zweite Faktor?

Pawig-Sander: Die Cyberversicherung ist ein sehr komplexes Thema. Wir kennen noch nicht alle Risiken. Man muss sich mit der Problematik wirklich intensiv beschäftigen und das ist bei kleineren Unternehmen sehr schwierig. Es fehlen oftmals schlicht die Ressourcen.

procontra: Wo liegen die größten Cyber-Risiken – speziell für kleine und mittlere Unternehmen?

Pawig-Sander: Bei kleineren Unternehmen höre ich häufig, dass ihnen nichts passieren kann, weil sie eine tägliche Datensicherung durchführen. Wenn die Daten also weg sind, ist das zwar ärgerlich, aber im schlimmsten Fall können sie immer auf die Sicherung zurückgreifen. Dabei werden aber zwei Risiken unterschätzt. Erstens sind das die sogenannten Schläfer. Es gibt Viren bzw. Schadprogramme, die ein Unternehmen im ersten Moment gar nicht bemerkt. Der einzige Zweck dieser Programme ist zunächst, dass sie über einen längeren Zeitraum, es kann sich hier durchaus um Monate handeln, die tägliche Datensicherung manipulieren. Das bedeutet, wenn der Versicherungsnehmer auf den Virus aufmerksam wird und auf die letzte Datensicherung zurückgreifen will, merkt er, dass auch sie betroffen ist und die letzte vollständige Datensicherung bereits Monate zurückliegt. Das ist ein wirkliches Horrorszenario, aber das passiert.

Daten nicht weg, sondern durcheinander

Das zweite Risiko besteht darin, dass viele KMU denken, dass das größte Problem darin besteht, dass die Daten weg sind. In der Praxis zeigt sich aber, dass das viel größere Problem darin besteht, dass die Daten nicht mehr integer sind – also durcheinandergeraten sind. Man kann das gut mit einem Warenlager vergleichen. Die Daten sind zwar noch da, ich kann sie auch noch auf dem Computer sehen und sogar Bestellungen einpflegen - weil der Datenbestand aber nicht mehr konsistent ist, werden die falschen Waren an die falschen Kunden verschickt. Bei dem Beispiel kann man sich gut vorstellen, dass ein durcheinandergeratenes System gravierendere Folgen hat als ein Datenverlust.

procontra: Wie können Makler ein breiteres Verständnis für Cybergefahren bei Ihren Kunden wecken?

Pawig-Sander: Aufklärung ist das aller wichtigste. Man muss die Barrieren innerhalb der Unternehmen senken. Der IT-Leiter darf kein schlechtes Gewissen haben, seinem Geschäftsführer zu sagen, dass immer ein Restrisiko bleibt, unabhängig wie gut er arbeitet. Und dieses Risiko sichert die Cyberversicherung ab. Das gilt natürlich genauso für den Datenschutzbeauftragten. Die Cyberversicherungen ist ja nicht nur für die Angriffe durch Hacker relevant, sondern auch für die Datenschutzrechtsverletzungen. Das Unternehmen kann in Bezug auf den Datenschutz vorbildlich aufgestellt sein und es ist trotzdem nicht auszuschließen, dass ein Mitarbeiter einen Fehler macht. 

  • Facebook Kommentare
  • Disqus Kommentare