Cyber Risk – 4 Schritte für besseres Risikomanagment

Sicherheitslage für Schweizer KMU

Neben den herausragenden Chancen welche sich uns durch die Digitalisierung bieten, verändert sich auch das Risikoumfeld der Unternehmen. Durch die zunehmende Abhängigkeit z.B. von Algorithmen, oder Robotern und durch die immer stärker werdende Vernetzung der Unternehmen untereinander, rücken althergebrachte Risikomodelle in den Hintergrund. Cyber Risk ist daher das Risiko welches durch die Nutzung der digitalen Dienste immer mehr zunimmt und auch zunehmend mehr Cyber Security und IT-Compliance benötigt.

Wenn früher Inventar und Lagerräume gegen Feuer und Elementarschäden versichert und geschützt wurden, stehen bei vielen Unternehmen aus dem Dienstleistungssektor heute die Daten und die Funktionalität der IT-Infrastruktur im Vordergrund. Oft stellen diese empfindliche Abhängigkeiten dar.

Immer wieder lesen wir von umfangreichen Datendiebstählen von welchen grosse Unternehmen und sogar öffentliche Institutionen betroffen sind. Auch sehr breit angelegte Hackerattacken wie z.B. WannaCry im Mai 2017 schaffen es in die Schlagzeilen. Doch diese Meldungen stellen nur die Spitze des Eisberges da. Hinter diesen Meldungen entwickelt sich eine ganze Cyber-Crime Branche welche unternehmensartige Strukturen hervorbringt und nicht zuletzt durch das Darknet organisiert und vernetzt ist.

Die Bedrohungslage

Die Liste der möglichen Motive und Angriffe ist lang. Die Täter lassen sich in folgende Gruppen einteilen:

  • Staatliche Akteure: Beeinflussung und Kontrolle von Bürgern, Spionage.
  • Industriespione
  • Terroristen
  • Kriminelle
  • Aktivisten (Auch Hacktivisten genannt)
  • Vandalen

Auch die Liste der Gefahrenarten welchen Unternehmen heute ausgesetzt sind ist lang und unterliegt einer ständigen Veränderung. Nachfolgend einige Beispiele für mögliche Gefahrenquellen ohne Anspruch auf Vollstädigkeit:

  1. Schwachstelle Mensch: Bei rund 80% der Schäden werden menschliche „Schwachstellen“ genutzt.
    1. Die unabsichtliche Installation von Schadsoftware ist ein Klassiker. Ein Klick auf Phishing-Emails oder täuschend echte Webseiten, zählen zu den häufigsten Ursachen.
    2. Ehemalige Mitarbeiter haben oft tiefgehende Kenntnisse der IT-Infrastruktur. Dieses Wissen kann z.B: für Racheakte genutzt, oder Dritten zugänglich gemacht werden.
    3. Social Engineering. Dieses relative junge Feld von Cyber-Crime nutzt gezielt die Mitarbeiter des Unternehmens als Schwachstelle aus. (Hilfsbereitschaft, Gutgläubigkeit, Neugierde) Täuschend echte Emails vom vermeintlichen CEO, Telefonanrufe und ähnliche Täuschungen veranlassen manche Mitarbeiter zur Herausgabe von Daten und Passwörtern oder sogar zu Ausführung von Geldüberweisungen.
    4. Interne Sabotagen durch eigene Mitarbeiter. S.g. Innentäter stellen eine grosse Gefahr dar.
  2. Ausnutzung technischer Systemschwächen (vor allem kleinere KMU können sich nicht immer alle notwendigen technischen Sicherheitsmassnahmen leisten)
  3. Erpressungen durch Verschlüsselungs-Software (Ransom-Software, z.B. WannaCry) Die Entschlüsselung wird nur durch Lösegeld, meistens in Bitcoins möglich. (häufige Schadenursache)
  4. Böswillige Veränderungen der Daten, Systembeschädigungen, Löschung von Daten oder die Lahmlegung von IT-, Kassen- oder Buchungssystemen können zu Umsatzausfällen führen.
  5. DoS-(Denail of Service) Attacken und Angriffe auf Computersysteme, die durch gezielte Überlastung der Systeme dessen Funktion stören oder ausser Kraft setzen. Häufig durch. E-Mail-Flut oder massive Website-Anfragen.
  6. Klassische Schadsoftware wie Trojaner, Viren, Würmer.
  7. Cyber-Spionage (betrifft eher Staatseinrichtungen sowie grössere Unternehmen und Institutionen)
  8. Mining-Trojaner verursachen sehr hohe Energiekosten für Betroffene. Der eigene Server wird für das Crypto-Mining (komplizierte und energieaufwendige Berechnungen zur Schöpfung von Crypto-Währungen) genutzt.

Riskmanagement

Wie sollte also ein gelungenes Risiko-Management für Unternehmen aussehen?

Ähnlich wie bei herkömmlichen Risiken können wir auch bei den Cyber-Risiken gemäss dem bekannten Risikomanagement-Modell vorgehen.

1. Risiken eliminieren:

Aufgrund des digitalen Fortschritts, der steigenden Abhängigkeiten von Daten und IT-Systemen  und der immer weiter voranschreitenden Vernetzung (z.B im Supply-Chain-Management) wird es für Unternehmen immer schwieriger auf neue Geschäftsmodelle zu verzichten um keine Cyber-Risiken einzugehen. Gleichwohl lohnt es sich oftmals gewisse Neuerungen zu hinterfragen und abzuwägen ob bewährte Systeme und Modelle wirklich ersetzt werden müssen.

2. Risiken minimieren

Da ein Grossteil des Risikos von den eigenen Mitarbeitern ausgeht, sollte man diesem Bereich besondere Aufmerksamkeit zukommen lassen. Ein seriöses Zugriffsmanagement auf Daten und Systeme sowie regelmässige Social-Engineering-Awareness-Schulungen können und sollten von jedem Unternehmen umgesetzt werden.

Dass die Daten regelmässige Backups, Software regelmässige Updates und Systeme eine Firewall und Antivirussoftware benötigen möchte ich hier nur am Rande erwähnen und setzte dies als selbstverständlich voraus.

Die Europäische Datenschutzverordnung (EU-DSGVO) zwingt Unternehmen personenbezogenen Daten so zu verarbeiten, dass diese vor unbefugtem Zugriff oder Nutzung geschützt sind. Dies beinhaltet auch die verwendeten Geräte. Bei Verstoss gegen diese Vorschriften können hohe Geldbussen verhängt werden.

Auch ein IT-Notfallplan kann helfen das Schadensausmass zu reduzieren.

3. Risiken versichern

Mittlerweile haben viele Versicherungen die Problematik und auch das daraus erwachsende Prämienpotenzial erkannt und bieten Produkte für KMU`s und sogar Privatpersonen an, um sich gegen diese Schäden von Cyberangriffen zu versichern. Dieses Angebot entwickelt sich stetig in breite und tiefe weiter.

Eine intensive Auseinandersetzung mit den Risiken und insbesondere auch mit dem zu erwartenden Schadenspotenzial hilft die richtige Versicherungsdeckung einkaufen zu können.

4. Risiken akzeptieren

Wie so oft bleibt selbstverständlich ein Restrisiko bestehen und muss in Kauf genommen werden. Selbst grosse Unternehmen schaffen es bislang nicht sich vollkommen vor den Risiken zu schützen.

Fazit

Das Ausmass der Bedrohung ist stark von Unternehmenmodell und -grösse abhängig und variiert teilweise sehr stark.

Wichtig erscheint eine gewisse Sensibilisierung der operativen Führung. Auch vor dem Hintergrund möglicher Organhaftungsansprüche. Umfragen belegen dass diese Sensibilisierung stark zunimmt, sich jedoch, vor allem bei kleineren Unternehmen auf tiefem Niveau befindet.

Mit einem seriösen Cyber-Riks-Management können sich alle Unternehmen jedoch ausreichend gut vor den neuen Gefahren schützen.

Als Berater bei der Baloise begleite ich Startups und Jungunternehmer in Themen wie Risk-Management, Versicherung und Vorsorge, Cyber-Security und Vertrieb und Marketing. An der Akad Business HFW studiere ich Betriebswirtschaft mit Vertiefung in Social Media und digitalem Marketing. Besonders interessieren mich die Veränderung auf unsere Gesellschaft durch AI, IoT, Big Data und Robotik.

Die Kommentarfunktion ist geschlossen.