Kein System ist sicher!

Quantifizierung von Cyber-Risiken

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Viele deutsche Finanzinstitute verharmlosten lange Zeit Cyber-Risiken. Die Ransomware Attacken im Jahr 2017 zeigten aber: die Gefahr ist auch hierzulande angekommen. Bei der richtigen Vorgehensweise im Hinblick auf die Absicherung tun sich Banken und Sparkassen jedoch noch schwer.

Zunahme der Cyber-Risiken für Banken und Sparkassen

Die Cyber-Risiken innerhalb der Finanzbranche steigen an.

Partner des Bank Blogs

F24 ist Partner des Bank Blogs

Die Bedrohungslage

Cyber-Risiken sind vielschichtig. Und die Angriffswelle im Jahr 2017 belegte, dass kein System sicher ist. Wenn internationale Hightech-Konzerne, die als Speerspitze der Digitalisierung gelten, erfolgreich angegriffen werden können, dann gilt dies erst recht für deutsche Unternehmen und Finanzinstitute.

Als Cyber-Risiko versteht man im Grundsatz das Risiko für die Informationssicherheit, also die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Die Informationssicherheit kann auf vielfache Weise bedroht werden, z. B. durch fahrlässige Datenverluste, Datendiebstahl oder Angriffe mittels Schadsoftware.

Die meisten Hacker haben es auf die Daten der Unternehmen abgesehen. Beliebte Angriffsziele sind Finanzinstitute. Sie speichern und verarbeiten Millionen von Kundendaten, inklusive Kreditkarten- und Finanzdaten. Im Internet ist ein Schwarzmarkt für diese Daten entstanden. Kriminelle können die erbeuteten Daten also entweder selbst nutzen, zum Beispiel für Phishing- oder Spammails, oder sie verkaufen die Datensätze weiter.

Hacker wollen aber nicht immer die Daten eines Unternehmens stehlen. Eine weitere Bedrohung stellt die vorsätzliche Löschung oder Beschädigung relevanter Daten oder Programme dar. Für Schlagzeilen sorgen regelmäßig Ransomware Angriffe, bei denen ein Trojaner Daten auf dem Server verschlüsselt und diese unbrauchbar macht. Erst mit Überweisung eines bestimmten Betrages in Bitcoins erhält das Opfer den Code zum Entschlüsseln der Daten. Bei den jüngsten Attacken betrugen die Schäden nicht selten hunderte Millionen Euro – je Unternehmen. Die Verschlüsselung von Daten führte zu einem teilweisen oder sogar vollständigen Systemausfall der angegriffenen Unternehmen.

Quantifizierung der eigenen Risiken

Um Cyber-Risiken effektiv abzusichern, sollten Banken die eigenen Risiken zunächst sorgfältig analysieren und bewerten. Genau das stellt viele Finanzinstitute aber vor große Herausforderungen, weshalb sie ihr Risikomanagement lieber ohne ausreichende Analyse, quasi im Blindflug, betreiben. Die potenzielle Schadenhöhe ist für die Bank aber essenziell, um das weitere Risikomanagement darauf auszurichten. Wie hoch sollten die Investitionen in die Informationssicherheit sein oder welche Versicherungssumme wähle ich im Rahmen einer Cyber-Versicherung? Diese Fragen lassen sich ohne Abschätzung der Schadenhöhe nur schwer beantworten.

Die sinnvollste Vorgehensweise zur Quantifizierung ist dabei, ein Team mit Verantwortlichen aus den relevanten Abteilungen einer Organisation zusammenzustellen. Oft sind dies das Risikomanagement, der Einkauf, das Controlling sowie die Rechts- und die IT-Abteilung. Erfahrungsgemäß ist es sonst für den Analyse-Verantwortlichen schwierig, an alle erforderlichen Informationen zu gelangen.

Szenarioanalyse, oder: Was sind eigentlich unsere Kronjuwelen?

Das Unternehmen sollte dann der Frage nachgehen, ob und in welchen Bereichen es sensible oder personenbezogene Daten speichert, verarbeitet oder verwaltet, und wie Dritte an diese Daten gelangen könnten. Datenverluste stellen besonders für Banken ein sehr hohes Risiko dar. In Europa ist die Geltendmachung von Ansprüchen Dritter wegen eines Datenverlustes noch relativ selten zu sehen, selbst nach Einführung der DSGVO. Das steigende Bewusstsein für die Gefahren wird allerdings dazu führen, dass die Verbraucher den sorglosen Umgang mit ihren Daten nicht länger hinnehmen werden. In den USA ist bereits zu erkennen, dass Bürger Unternehmen häufiger verklagen. Die USA nehmen, was Prozesse und spektakuläre Gerichtsentscheidungen angeht, zwar eine besondere Rolle ein. Allerdings kann davon ausgegangen werden, dass auch in Europa die Zahl der gerichtlichen Verfahren zunehmen wird. Da auch auf Behördenseite die Sensibilität wächst, sollten sich Unternehmen bei Datenverlusten zudem auf höhere Bußgelder einstellen.

Auch eine Betriebsunterbrechung kann für eine Bank eine große Bedrohung darstellen. Transaktionen können nicht durchgeführt werden, Kunden können kein Geld abheben oder die Bank ist schlichtweg nicht erreichbar. Für eine Bank, die mit Kundennähe und ständiger erreichbar wirbt, wäre das fatal.

Nach der Pflicht kommt die Kür – Wie hoch wäre der potenzielle Schaden für unsere Bank?

Eine Szenarioanalyse – wie zuvor beschrieben – haben viele Finanzinstitute bereits durchgeführt. Schwer tun sich Banken aber mit der Quantifizierung der Szenarien. Es fehlt schlichtweg an der Erfahrung, welche Kosten und Schäden entstehen können. Dabei ist der Einstieg relativ einfach. Das lässt sich am Beispiel eines Datenverlustes aufzeigen. Werden sensible Kundendaten entwendet, gibt es kurzfristige und langfristige Ziele in der Krisenbewältigung. Vorrang hat zum Beispiel das Ermitteln und Schließen der Sicherheitslücke. Hierfür reichen die internen personellen Ressourcen meist nicht aus. Externe Unterstützung in Form von IT-Forensikern ist erforderlich. Die Tagessätze entsprechender Spezialisten lassen sich leicht in Erfahrung bringen.

Ein weiterer wichtiger Punkt ist die Einhaltung gesetzlicher Vorgaben. Die DSGVO schreibt vor, wann und wie schnell Behörden und die von einem Datenverlust betroffenen Personen benachrichtigt werden müssen. Es entstehen Kosten für Meldeverfahren und Rechtsberatung. Die Kosten für die Benachrichtigung der Kunden kann ebenfalls teuer werden. Aus Reputationsgesichtspunkten empfiehlt sich häufig die Briefform. Kosten für den Druck und das Porto sind also zusätzlich zu berücksichtigen.

Derartige Kostenpositionen mögen für sich genommen nicht hoch ausfallen. Genau aus diesem Grund werden sie bei der Bewertung der Risiken häufig missachtet. Zusammengenommen erreichen die Kosten aber schnell eine sechs- bis siebenstellige Summe. Mögliche Schadenersatzansprüche Dritter sind hierin noch nicht erhalten. Langfristig wird sich die Bank aber mit der Abwehr möglicher Ansprüche Dritter beschäftigen müssen. Hier lassen sich die Kosten pauschal zwar nur schwer prognostizieren, auf der anderen Seite sind Schadenersatzansprüche Dritter nach einem Datenverlust auch noch selten.

Eine derartige Gegenüberstellung der Kosten sollte sodann mit jedem zuvor identifizierten Schadenszenario durchgeführt werden.

Fazit und Ausblick: Bedrohungen durch Cyber-Risiken werden zunehmen

Die Bedrohungen durch Cyber-Risiken werden in den nächsten Jahren weiter zunehmen. Der Weg zu einer effektiven Absicherung von Cyber-Risiken ist langwierig und mühsam. Nur durch eine adäquate Quantifizierung der Risiken lassen sich allerdings die Kosten des Risikos reduzieren.

Über den Autor

Johannes Behrends

Johannes Behrends ist Leiter der Specialty Cyber bei der Aon Versicherungsmakler Deutschland GmbH und Experte für Cyber-Versicherungen. Nach seinem Studium der Rechtswissenschaften an den Universitäten Tübingen und Hamburg war er als Rechtsanwalt, insbesondere für Internetrecht, Medienrecht und Gewerblichen Rechtsschutz in Düsseldorf tätig.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren