Nachricht

< Digitales Defizit: Energieversorger mit Nachholbedarf
02.03.2017 16:59 Alter: 8 yrs

Cyber-Risiken gehören in den Fokus betrieblichen Risikomanagements

Bei Cyber-Risiken gibt es nur zwei Arten von Unternehmen: solche, die schon gehackt wurden, und solche, die es noch nicht bemerkt haben. Trotzdem stufen noch immer viele Unternehmen die Sicherheit ihrer Daten und Prozesse als Angelegenheit der IT-Abteilung ein.   In einem Gastbeitrag beleuchtet Dr. Michael Härig, Leiter Branchenteam Power, Marsh GmbH, Cyber-Risiken und Datensicherheit in der Energiewirtschaft aus versicherungstechnischer Sicht.


Foto: MARSH

Cyber-Risiken gehören heute zum Alltag. Insbesondere Unternehmen der Energiebranche arbeiten mit großen Datenmengen und vielen Informationssystemen und sollten sich mit dem Thema Cyber-Risiken befassen. Es ist zu erwarten, dass die Gefahren und Schäden durch Cyber-Angriffe durch die aufwändigen Infrastrukturen und vielen dezentralen Systemen weiter zunehmen werden.
Klassische Versicherungen bieten hier nur unzureichend Versicherungsschutz. Oft sind sogar Sachschäden aufgrund von Cyber-Angriffen ausgeschlossen; reine Vermögensschäden sind klassisch kaum versicherbar. Doch der Versicherungsmarkt bietet neue Lösungen an.

Cyber-Risiken

Früher haben Unternehmen vor allem in den Schutz physischer Unternehmenswerte investiert. Die Versicherungswirtschaft hat deshalb entsprechende Sachversicherungen wie Maschinen- und Feuerversicherungen zur Verfügung gestellt. Cyber-Risiken sind jedoch komplexer, da auch Netzwerk- und Systemschutz beachtet werden müssen. Die Motivationen von Cyber-Attacken können sehr unterschiedlich sein und werden hier nur beispielhaft angeführt:
• Ideologisch motivierte Attacken, die möglichst viel Aufmerksamkeit hervorrufen. Diese betreffen besonders Kritische Infrastrukturen, demnach viele Unternehmen aus der Energiewirtschaft.
• Umleitung von Zahlungsströmen
• Abschöpfung des Know-how (Industriespionage)
• Allgemeine Erpressung.

Folgend sind einige Bedrohungspotenziale beispielhaft angeführt:

• Durch Einfluss auf die Steuerung, z.B. falsche Angaben der Sensorik, schalten sich Anlagen ab. Dadurch entstehen Umsatzverluste durch Betriebsunterbrechung.
• Manipulierte CMS-Systeme geben erste Anzeichen von Schäden nicht weiter. Beide Punkte betreffen den Eigentümer wie auch Hersteller, die Verfügbarkeitsgarantien anbieten.
• Die 900 Betreiber von Stromnetzen gelten als Kritische Infrastrukturen, die besonders gut gegen Ausfälle und Angriffe geschützt werden müssen. Bei Netzausfall können sie sich wahrscheinlich nicht auf Höhere Gewalt berufen.
• Hersteller von Energieerzeugungsanlagen haben die typischen Risiken, die produzierende Unternehmen immer haben. Bei Störungen in der Lieferkette oder bei Produktionsausfall, insbesondere in Zeiten von Industrie 4.0, gehen die Konsequenzen über räumlich begrenzte Schäden (wie bei Naturgefahren) hinaus.
• Bei Unternehmen der Direktvermarktung sind Zahlungsströme gefährdet.
• Wenn eine Fernüberwachung gehackt wird und schlagartig mehrere GigaWatt abgeschaltet werden, ist die Stabilität des gesamten Stromnetzes ernsthaft in Gefahr.

Cyber-Risiken und die Konsequenzen

Bei einem Datenleck gehen Daten verloren oder werden verändert. Oft bewegen sich Hacker über Monate hinweg im Netzwerk eines Unternehmens, bis sie entdeckt werden. Die unternehmensinterne IT-Abteilung kann schnell überfordert sein, wenn sie mangels Notfallplan nicht adäquat auf Datenlecks oder Hackerangriffe reagieren kann. Während die Abteilung mit der Behebung der IT-Probleme beschäftigt ist, muss das Tagesgeschäft des Unternehmens weiterlaufen. Neben finanziellen Konsequenzen, die sich aus einem Hacker-Angriff ergeben, zählt dies mit zu einer der größten Herausforderungen.

Zusätzlich zu möglichen Umsatzausfällen können Kosten für Ursachenforschung und Wiederherstellung auftreten. Je nach Sachlage drohen sogar Bußgelder, weil gegen Datenschutzgesetze verstoßen wurde. Spätestens dann muss sich die Geschäftsführung fragen lassen, ob Managementsysteme, die auch den Datenschutz berücksichtigen, installiert wurden. Schlechte Nachrichten verbreiten sich schnell, so auch Meldungen zu Störungen oder Sicherheitslücken. Um den Imageschaden und den Vertrauensverlust möglichst gering zu halten, sollten gegebenenfalls professionelle Krisen-PR-Profis beauftragt werden.

Cyber-Versicherungen

Cyber-Versicherungen sollen möglichst gegen die Folgen von
• IT Störungen wie Angriffen durch Hacker
• Datenverlust
• Datendiebstahl schützen.

Klassische Feuer-, Maschinen und Haftpflichtversicherungen entschädigen in der Regel Vermögensschäden nur, wenn sie Folge eines Sachschadens sind. Der reine Vermögensschaden ist nur eingeschränkt versicherbar. Da Daten die rechtliche Sacheigenschaft fehlt, sind somit Ertragsausfälle wegen manipulierter Programme und Daten von technischen Anlagen in der Regel nicht versichert.

Viele Aspekte, bei denen klassische Versicherungen nur unzureichenden Schutz bieten, sind jedoch inzwischen versicherbar:

• Ertragsausfälle bzw. Mehrkosten durch Betriebsunterbrechung nach Hackerangriff oder Denial-of-Service-Attacke
• Diebstahl von Daten
• Einsatz von externen Sicherheitsexperten
• Folgen eines Hackerangriffs
• Kosten durch einen Datenschutzvorfall (wie z. B. Information aller Kunden)
• Kosten durch Verlust von Daten auf Datenträger oder Papierakte
• Kosten durch Verlust von eigenen Daten auf dem Server
• Manipulation oder Datendiebstahl durch Mitarbeiter
• Mittelbare und unmittelbare Vermögensschäden
• Nichterfüllung von Verträgen
• Persönlichkeitsrechtsverletzung
• Einsatz von PR/Krisenmanagement
• Rechtsbeistand
• Verbreitung von Schadprogrammen an Geschäftspartner und Dritte
• Verlust von Kunden- oder Mitarbeiterdaten
• Wiederherstellung von Daten, Software, Netzwerken etc.
• Zahlung von Erpressungsgeldern
• Kosten für Forensik.

Fazit

Cyber-Risiken entstehen durch die zunehmende Digitalisierung und Vernetzung von Wirtschaft und Gesellschaft. Heute kann die Infrastruktur jedes Unternehmens angegriffen werden. Datendiebstahl und das Sabotieren von Systemen durch Dritte oder (ehemalige) Mitarbeiter können jeden treffen und geschehen täglich. Die Folgen sind Sach-, Haftpflicht- oder Vermögensschäden.

Viele Unternehmen haben Cyber-Risiken bisher als IT-Expertenthema begriffen. Doch diese Einschätzung verkennt, dass IT-Sicherheit immer relativ ist – ebenso wie ein guter Brandschutz zwar die Wahrscheinlichkeit eines Feuerschadens und auch die Schadenhöhe verringern kann, aber eine Feuerversicherung in jedem Falle notwendig ist.

Cyber ist kein Spezialthema für die IT-Abteilung, sondern Teil des allgemeinen Risiko- und Versicherungsmanagements. Die Rahmenbedingungen verändern sich stetig und erfordern deshalb eine neue Betrachtung des Risiko- und Versicherungsmanagements.

Opens external link in new windowwww.marsh.de