Risiko Cybercrime: Wie Unternehmen Gefahren aufdecken und Schäden minimieren können
Die rasante technologische Entwicklung, zunehmende Abhängigkeit von Informationstechnologie in beinahe allen Geschäftsfeldern und eine fortschreitende Digitalisierung & Vernetzung (SmartX, IoT, Industrie 4.0, Cloud, mobile Geräte etc.) führen zu einer Intensivierung von Unternehmensrisiken in unterschiedlichen Ausprägungen. Wirtschafts- und Industriespionage, Cyberangriffe und Hacker sind daher zu einem ernsten Thema geworden. Wie Unternehmen diesen Bedrohungen im Bereich der Informationssicherheit begegnen können, erklärte Thomas Pache, Head of Specialty Cyber (Region D-A-CH) | Aon Deutschland, im Online-Talk des Wirtschaftsrates Hamburg.
Schäden durch Cyberrisiken komplett auszuschließen, hält Thomas Pache für unmöglich und machte direkt zu Beginn seines Impulses deutlich: „Solange ein Unternehmen von vorhandenen Lücken nichts weiß, kann es auch nichts dagegen tun.“ Ziel könne es daher nur sein, den Schaden zu minimieren.
Unternehmen empfahl er aus diesem Grund eine zirkulierende Strategie zum Management von Cyberrisiken. Beginnen sollte man zunächst mit einer Bewertung der eigenen Situation im Hinblick auf vorhandene Informationssicherheitsmaßnahmen, Schwachstellen und wahrscheinliche Bedrohungen sowie der Überlegung, wie kritische Daten und Systeme besser geschützt werden könnten. „Wenn man so ein Assessment als Self-Assessment macht, kann man das benchmarken in dem man schaut, (…) wie Unternehmen gleicher Branche und gleicher Größe aufgestellt sind und welches Level an Sicherheit Experten hier empfehlen“, erläuterte Pache.
Nachdem man so Höhe und Ursprung potenzieller Schäden ermittelt habe, könne man im zweiten Schritt versuchen, mittels festgelegter Szenarien quantitativ herauszufinden, an welchen Stellen die größten möglichen Schäden zu erwarten wären und welche Maßnahmen die Höhe des potenziellen Gesamtschadens reduzieren könnten.
Als Reaktion könnten dann im dritten Schritt Prozesse geändert oder Versicherungen abgeschlossen werden. „Eine Cyberversicherung setzt einen Cybervorfall wie eine Informationssicherheitsverletzung durch Schadprogramme, Eindringen oder einen böswilligen oder unaufmerksamen Mitarbeiter voraus“, erklärte der Experte. Sie decke u.a. Schadenskosten wie Betriebsunterbrechungsschäden, Schadenersatzforderungen und Kosten ab, die durch die Reaktion des Unternehmens auf den Vorfall entstünden, z.B. Erpressungskosten.
Im vierten Schritt sollte man sich dann damit befassen, wie die eigenen Fähigkeiten zur Reaktion auf einen Cybervorfall aussehen. Dazu gehörten ein geeigneter Reaktionsplan, die richtigen Tools, Prozesse und Verfahren sowie funktionierende Meldewege. „Das ist ein Prozess, der im Prinzip nie zu Ende geht, weil es ständig veränderte Risiken gibt“, so Thomas Pache abschließend.
Exklusiv für Mitglieder: Schauen Sie sich hier unter Multimedia den Online-Talk im Video an.