In der schönen neuen Arbeitswelt lauern große Gefahren. So gibt es in der Finanzbranche kaum noch Unternehmen, die von Cyber-Attacken verschont bleiben. Aber auch der Faktor Mensch und Schäden an der IT sind nicht zu unterschätzende Risiken.

Finanzinstitute müssen sich gegen Cyber-Attacken wappnen

Banken und Sparkassen müssen sich gegen Cyber-Attacken wappnen.

Partner des Bank Blogs

Arbeiten im Homeoffice, schnellerer Datenaustausch oder einfach weniger Papier – die Vorteile des digitalen Arbeitens liegen auf der Hand. Unternehmen bekommen aber immer häufiger die Schattenseiten zu spüren, wie eine Studie des IT-Verbands Bitkom zeigt. Demnach waren 2020 und 2021 neun von zehn Unternehmen (88 Prozent) von kriminellen Cyber-Angriffen betroffen. Jedes zehnte Unternehmen sieht der Studie zufolge seine geschäftliche Existenz bedroht. Also Stecker raus und zurück zum analogen Arbeiten? Möglich, aber es gibt bessere Lösungen, um sich für den Ernstfall abzusichern.

Cyber-Schäden: Der technische K.o.

Verletzungen der Informationssicherheit treten beispielsweise als Schäden durch Viren oder Hackerangriffe auf oder aber als technische Probleme. Die Arbeit im Homeoffice schafft zusätzliche Risiken, da Sicherheits- und Datenschutzvorgaben oft schwerer umzusetzen sind. IT-Vorfälle können teuer werden – etwa, wenn mehrere Standorte von Schadprogrammen betroffen sind. Neben Wiederherstellungs- und Forensikkosten drohen vor allem mögliche Schäden durch Betriebsunterbrechungen. Solchen Schäden hundertprozentig vorzubeugen, ist fast unmöglich.

Cyber-Versicherungsprodukte gewinnen vor diesem Hintergrund zunehmend an Bedeutung. Aber auch die Unternehmen sollten sich vorbereiten, indem sie vorsorgende Maßnahmen ergreifen, um größeren Schaden zu verhindern. Nach einem Schadensfall sollten sie unbedingt ihre Cyber-Resilienz stärken, gemeint ist damit die Widerstandsfähigkeit gegen elektronische Angriffe. Auch Versicherer prüfen vorhandene IT-Sicherheitsmaßnahmen zunehmend kritischer.

Um Schwachstellen zu finden, erfassen Experten zunächst die technischen und organisatorischen IT-Sicherheitsmaßnahmen. Dann wird analysiert, ob Unternehmen ein ausreichendes IT-Sicherheitsniveau haben und damit die Anforderungen des Versicherungsmarktes erfüllen. Gibt es Lücken, begleiten Risikoingenieure in einem engen Dialog und mithilfe einer sogenannten IT-Security-Roadmap die Implementierung der erforderlichen Maßnahmen.

Auf Basis der gesammelten Informationen findet eine qualitative Risikobewertung entlang der kritischen Geschäftsprozesse statt. Ist die Bedarfseinschätzung für den Kunden abgeschlossen, treten die Fachleute für ein individuelles Absicherungskonzept in Kontakt mit Versicherern.

Vertrauensschäden: Das menschliche Risiko

Immense Schäden können nicht nur durch technisches Versagen oder böswillige Angriffe auf IT-Strukturen entstehen. Als schwächstes Glied der Informationssicherheitskette kann auch der Mensch potenzielle Schäden begünstigen, indem er sich durch gut getarnte Phishing-Mails oder gefälschte Zahlungsaufforderungen täuschen lässt.

Zu den bekanntesten Methoden gehört der Fake President Fraud. Bei dieser Betrugsmasche werden Angestellte unter Verwendung falscher Identitäten zur Geldüberweisung gedrängt. In den vergangenen Jahren hat diese Masche diverse Großschäden bei deutschen Unternehmen verursacht. Inzwischen ist die häufigste Schadenursache der Payment Diversion Fraud beziehungsweise der Fake Identity Fraud. Hier spähen Täter die Kommunikation mit Geschäftspartnern und interne Abläufe aus und bestellen dann per gefälschter E-Mail Waren oder senden Rechnungen mit manipulierten Zahlungsinformationen.

Grundlage für viele Fälle von Wirtschaftskriminalität ist das Abgreifen von Informationen über die Opfer, etwa in den sozialen Medien, um noch gezielter vorgehen zu können. Vor allem Arbeitnehmer im Homeoffice sind beliebte Ziele von Phishing-Mails und Co. Wer sein Unternehmen schützen will, muss auf eine kontinuierliche Schulung und Sensibilisierung der Mitarbeiter setzen.

Die Gefahr lauert allerdings nicht nur außen: Mitarbeiter, die vorsätzlich vertrauliche Informationen herausgeben oder sich am Vermögen des Unternehmens bereichern, bergen ein hohes Schadenpotenzial. Solche internen Vorfälle können wie andere Vertrauensschäden über eine passende Deckung abgesichert werden, die neben Vermögensschäden auch Schadenermittlungs- und Rechtsverfolgungskosten deckt.

IT-Vermögensschäden: digitale Gefahr bei 4.0

Ein IT-Vorfall kann nicht nur Schäden für das eigene, sondern auch für fremde Unternehmen bedeuten. Stichwort ist hier der digitale Fortschritt der Industrie 4.0. Immer mehr Maschinenbauer bieten intelligente Software-, Big-Data- und Cloud-Lösungen an, erbringen also IT-Dienstleistungen für die Maschinen ihrer Kunden. Dabei können technische Fehler passieren.

Werden beispielsweise Updates für die Kundensoftware in der falschen Reihenfolge aufgespielt, kann dies beim Abnehmer zu IT-Problemen führen. Die Folge: Der Kunde erleidet Ertragsausfälle aufgrund einer Betriebsunterbrechung und stellt Schadenersatzansprüche an den Maschinenbauer, der bei Schäden Dritter normalerweise auf seine Betriebs- und Produkthaftpflicht-Versicherung zurückgreift. Reine IT-Vermögensschäden werden hier aber nicht gedeckt. In solchen Fällen hilft eine spezielle IT-Vermögensschaden-Deckung. Sie umfasst Verlustfälle, die infolge von Fehlbedienungen und weiteren technischen Vorfällen bei fremden Unternehmen auftreten. Auch Schäden durch Datenverluste oder eine Beeinträchtigung der Datenordnung werden gedeckt, ebenso wie Kosten von Betriebsstillständen und Ertragsausfällen bei Dritten.

Die finanziellen Folgen derartiger Vorfälle können mit maßgeschneiderten Versicherungslösungen abgesichert werden. So steht dem digitalen Fortschritt nichts mehr im Wege.


Der Beitrag erschien ursprünglich als Teil des Jahrbuchs 2021/22 des Vereins Finanzplatz Hamburg e.V.. Das Jahrbuch können Sie hier direkt herunterladen.