Cyber-Angriffen ganzheitlich begegnen

Leichtes Spiel für Cyber-Kriminelle

Mittelständische Unternehmen werden zunehmend das Ziel von Cyber-Angriffen. Ein Grund dafür ist, dass sich die Cyber-Kriminalität zu einem schlagkräftigen Wirtschaftssystem mit niedrigen Hürden für Angreifer entwickelt hat. Spezialisierte Akteure arbeiten so zusammen, dass etwa Lösegelderpresser Unternehmen jeder Größe mühelos attackieren können – zum Beispiel Maschinenbauer, Automobilzulieferer, Onlineshops, Einzelhändler und Bäckereien mit Filialnetzen und andere mehr.

Professionelle Hacker suchen dabei etwa nach Schwachstellen in Firewalls, für die es noch keine Sicherheitsupdates gibt, nutzen sie aus und verkaufen die Zugänge zu den IT-Netzen an Cyber-Kriminelle, die Unternehmen dann direkt angreifen. Insgesamt ergibt sich eine Cyber-Crime-as-a-Service-Kette. Und wirkungsvolle KI-Tools ermöglichen mittlerweile massive Angriffe in der Breite.

Unklarheit über Risiken und Kosten

Vielen Geschäftsführern mittelständischer Unternehmen ist jedoch nicht ausreichend bewusst, welche Lücken ihr IT-System kriminellen Angreifern bietet und was ein Angriff für ihr Geschäft bedeutet. Und vor allem können sie nicht einschätzen, zu welchen finanziellen Verlusten eine erfolgreiche Cyber-Attacke führen kann, wenn zum Beispiel Daten verschlüsselt oder abgezogen werden.

Zu Buche schlagen hier nicht nur Umsatz- und Gewinnverluste durch eine Betriebsunterbrechung, sondern auch Kosten für die forensische Untersuchung eines Vorfalls und die Bereinigung und Wiederherstellung der Systeme. Bei gerichtlich festgestellten Datenschutzverletzungen addieren sich dazu noch markante Bußgelder.

Zudem können Geschäftsführern auch persönliche Haftungsrisiken drohen, wenn sie ihre Sorgfaltspflicht verletzt haben. Laut der aktuellen D&O-Studie von Willis, ein Geschäftsbereich von WTW, zählen Cyber-Attacken (88 Prozent) und Datenverlust (86 Prozent) zu den beiden Top-Haftungsrisiken für Geschäftsführer und Manager in Deutschland.

Für eine wirkungsvolle Absicherung sorgen

An Investitionen in die IT-Sicherheit führt deshalb kein Weg vorbei. Die Mittel dafür sind jedoch meist recht begrenzt. Unternehmen sollten sich deshalb auf wirtschaftlich relevante Maßnahmen konzentrieren.

Doch welche Maßnahmen sollten Sie als Geschäftsführer vorrangig planen und angehen? Wie können Sie entsprechende Investitionsentscheidungen treffen? Dazu empfiehlt sich ein pragmatisches, systematisches Vorgehen:

• Klären Sie als erstes die Rolle der IT für Ihr Unternehmen: Für welche Prozesse und Leistungen sind die IT-Systeme geschäftsrelevant? An welchen Stellen kommt es auf einen hohen Datenschutz an?
• Betrachten Sie diese Bereiche dann ausführlicher: Ist hier die IT-Sicherheit ausreichend hoch? Welche Schwachstellen zeigen sich? Und wie lassen sich diese beheben?
• Wichtig ist auch die Frage nach den konkret drohenden Risiken: Welche Angriffsszenarien sind wahrscheinlich? Und zu welchen finanziellen Verlusten bzw. negativen bilanziellen Auswirkungen können sie führen?
• Danach können Sie geeignete technische und organisatorische Maßnahmen priorisieren und planen, um das Schutzniveau Ihres Unternehmens auf ein angemessenes Niveau zu bringen.
• Das Restrisiko sollten Sie mit einer Cyber-Versicherung abdecken, die auf den Bedarf Ihres Unternehmens zugeschnitten ist. Denken Sie auch über eine D&O-Versicherung nach, um sich vor persönlichen Haftungsrisiken zu schützen.

Der Verantwortung gerecht werden

Wenn Sie die Themen Cyber-Risiko, IT-Sicherheit und Versicherungsschutz wie skizziert ganzheitlich in den Blick nehmen, bringen Sie Ihr Unternehmen und sich selbst in Ihrer verantwortungsvollen Rolle auf die sichere Seite. Idealerweise steht Ihnen dabei ein Partner zur Seite, der Sie als Berater und Broker kompetent und konstruktiv begleiten kann. Die Cyber-Kriminellen bleiben aktiv – handeln Sie deshalb so früh wie möglich.