Wirtschaftskriminalität wird digital. Längst sind Cybercrime, Datendiebstahl und -missbrauch eine ernstzunehmende Bedrohung für Unternehmen und Organisationen. Doch gutes Risikomanagement kann vor Cyber-Attacken schützen.
Hackerangriffe, Malware und Datendiebstahl gehören zu unserem Alltag und betreffen private Anwender ebenso wie Unternehmen und staatliche Einrichtungen. „WannaCry“ hat die Verwundbarkeit der sich digitalisierenden Gesellschaft gezeigt: Über 220.000 Computer in über 150 Ländern waren im Frühjahr 2017 von dem Angriff betroffen, erhebliche Betriebsunterbrechungen namhafter Unternehmen waren die Folge.
Weltweit eine halbe Billion US-Dollar Schaden durch Cyber-Attacken
Laut einer Studie von McAfee beläuft sich der durch Cyberangriffe verursachte jährliche Schaden weltweit auf rund 445 Milliarden US-Dollar, davon in Deutschland etwa 60 Milliarden US-Dollar. Der Branchenverband BITKOM bestätigt diese Zahl mit rund 51 Milliarden Euro.
Cybercrime ist aus folgenden Gründen so relevant wie nie zuvor:
- Die Digitalisierung erlaubt Effizienzsteigerung oder völlig neue Geschäftsmodelle. Hieraus entsteht eine große Technologieabhängigkeit und es ist unvermeidbar, dass bei Störung der Technologie das Geschäftsmodell unmittelbar beeinträchtigt wird.
- Immer mehr Systeme agieren mit externen Systemen vernetzt. Hierdurch entstehen Schnittstellen (als Einfallstor für Angriffe) und Abhängigkeiten, die zu einer Kettenreaktion bei Ausfall eines vernetzen Unternehmens führen.
- Das Internet of Things ist im Vormarsch. Per App kann der Standort des Autos ermittelt, der Status der Rauchmelder geprüft und die Heizung gesteuert werden. Hieraus entstehen völlig neue Risikoszenarien.
- Die Professionalisierung der Kriminellen schreitet voran. Ohne technisches Wissen mit wenigen Mausklicks können Erpressungstrojaner erstellt („Ransomware as a Service“) werden. Bitcoins erlauben, daraus ein funktionierendes Geschäftsmodell zu entwickeln.
Die Gefährdungslage durch Cybercrime wächst aber nicht nur dem Grunde nach: Durch die Novellierung der Gesetzeslage im Datenschutz (DSGVO) werden die Bußgelder bei Datenschutzverstößen verhundertfacht.
Cybercrime-Risiken variieren je nach Branche
Die Risiken sind vielfältig und können je nach Branche, verwendeter Arbeitsabläufe und eingesetzter Technologien stark variieren. Bei einem Steuerberater stehen Datenschutzaspekte im Vordergrund, während für einen Just-in-Time-Zulieferer die Folgen der Betriebsunterbrechung bzw. die Erfüllung vertraglicher (Zulieferungs-)Pflichten substantiell sind.
Folgende Risikogruppen gibt es:
- Ansprüche Dritter: Vertraulichkeits- oder Datenschutzverletzung; Rechtswidrige Kommunikation; Verletzung von PCI-Sicherheitsstandards.
- Eigenschäden: Beeinträchtigung der Reputation, Vertrauen der Kundenbasis; Betriebsunterbrechung; Wiederherstellungsaufwand; Cyber-Erpressung; Fehlüberweisung in Folge von Datenmanipulation.
- Weitere Risiken und Kosten: Ordnungswidrigkeitsverfahren; IT-Forensik; Krisenkommunikation.
Risikomanagement und Cyber-Security
Für die drohenden Gefahren im Bereich Cybercrime ist ein entsprechendes Risikomanagement unerlässlich. Dieses sollte folgende drei Bereiche umfassen:
- Identifizieren und Analysieren.
- Maßnahmen zur Vermeidung.
- Eigentragung oder Transfer verbleibender Risiken.
1. Identifizieren und Analysieren
Bei der Identifikation und Analyse des Risikos sind grundsätzlich die folgenden Bereiche zu berücksichtigen:
- Die Gefährdungslage: Dazu gehören verwendete Systeme, Hard-, Software und Betriebssysteme, mobile Endgeräte, Vernetzungen und Schnittstellen usw.
- Die Risikoanfälligkeit und die Gefährdungslage: Dazu zählen u.a. die möglichen Folgen von Datenschutzverletzungen oder Betriebsunterbrechungen.
2. Maßnahmen zur Vermeidung
Technische und organisatorische Maßnahmen zur Vermeidung von Cyberangriffen sollten priorisiert auf Basis der Analyseergebnisse durchgeführt werden. Dass immer aktuellste Versionen von Software eingesetzt werden, sollte selbstverständlich sein – doch die Praxis zeigt am Beispiel von „WannaCry“, dass dies nicht der Fall ist. Daneben sollte die regelmäßige Aufklärung und Sensibilisierung von Mitarbeitern ein zentraler Baustein im Sicherheitskonzept des Unternehmens sein. Der Faktor Mensch bietet immer eines der größten Einfallstore.
3. Eigentragung oder Transfer verbleibender Risiken
Die Organisationspflicht des Unternehmensleiters umfasst auch die IT-Sicherheit des Unternehmens. Erfolgreiche Cyberattacken können entsprechend auch Organe in eine persönliche Haftung bringen. Die für Pflichtverletzungen von Organen bestehenden Versicherungen („Directors and Officers Versicherung“) sind jedoch nicht geeignet, die vielfältigen Schadenszenarien eines Cyberangriffs abzudecken. Es ist daher ein wachsender Markt an – sehr unterschiedlichen – Spezialversicherungen entstanden.
Fazit: Risiken erst bewerten und dann entscheiden
Unternehmensleiter und IT-Verantwortliche müssen sich im Klaren sein, dass technologische und organisatorische Maßnahmen keine absolute Sicherheit bieten können. Basierend auf der Risikoanalyse und der Umsetzung technischer und organisatorischer Maßnahmen ist zu prüfen, ob verbleibende Risiken selbst getragen werden oder ob für substantielle Risiken ein Risikotransfer stattfinden soll.
Gerade vor dem Hintergrund der sich in Kürze ändernden Gesetzeslage – der Einführung der EU Datenschutzgrundverordnung (DSGVO) die zu einer Stärkung der Rechte Betroffener und der Aufsicht führt veranlasst viele Unternehmen ihre Risikostrategie zu überdenken.
Der Beitrag erschien ursprünglich als Teil des Jahrbuchs 2017/18 des Vereins Finanzplatz Hamburg. Das Jahrbuch können Sie hier herunterladen oder als Hardcopy bestellen.