Artikel

Cyber-Risikomanagement: fahrlässige Unternehmenspraxis

24. Juli 2018
| Deutschland

Eine Studie von Willis Towers Watson zeigt Nachholbedarf in Sachen Cyber-Risikomanagement – in allen Branchen. Denn viele Unternehmen kennen ihr konkretes Risikoprofil nicht, verfügen über kein Notfall-Management und verstehen die Cyber-Versicherungen zu wenig.

Relevant, meist aber keine Chefsache

Das Thema „Cyber-Risiken“ wird in Unternehmen, Medien und der Öffentlichkeit intensiv diskutiert. Mit der EU-Datenschutz-Grundverordnung (DSGVO) nimmt seine Bedeutung für Unternehmen jetzt weiter zu: Die Verordnung regelt, wie sie mit personenbezogenen Daten umgehen müssen und setzt dafür neue Haftungsmaßstäbe. Ein wirkungsvoller Schutz vor Cyber-Risiken spielt dabei eine besondere Rolle.

Doch wie bewerten Unternehmen das Thema Cyber-Risiken? Und wie gehen sie in der Praxis damit um? Diese Fragen hat Willis Towers Watson mit einer umfassenden Studie beantwortet. Teilgenommen haben Unternehmen aller Branchen in Deutschland. Davon meinen etwa 98 Prozent: „Das Thema Cyber-Risiken ist für uns relevant.“ 

Hohe Risiken und mangelnde Transparenz

Als größte Cyber-Risiken nennen die Teilnehmer Betriebsunterbrechungen (39 Prozent), einen Reputationsverlust (23 Prozent), Haftungsansprüche (22 Prozent) und Erpressung (14 Prozent). Hier geht es jeweils um sehr viel Geld oder sogar um die Zukunft eines Unternehmens.

Vor diesem Hintergrund ist es alarmierend, dass viele Unternehmen sich selbst wenig Klarheit mit Blick auf ihre konkreten Risiken, den Wert ihrer Daten und den Versicherungsschutz attestieren: Als größte Herausforderungen sehen die Teilnehmer die Risikoeingrenzung bzw. -erfassung (36 Prozent), die quantitative Bewertung von Schadensszenarien (28 Prozent) und die Transparenz und Verständlichkeit bestehender Cyber-Versicherungskonzepte (16 Prozent). Hier gibt es also viel zu tun.

Kaum Vorsorge für den Notfall

Dringender Handlungsbedarf besteht auch an einer anderen entscheidenden Stelle: Auf die Frage „Verfügt Ihr Unternehmen über ein Notfall-Management-Konzept?“ haben lediglich 39 Prozent der Teilnehmer mit „Ja“ geantwortet; 41 Prozent der Teilnehmer sehen für ein solches Konzept aber dringenden Bedarf und nur 20 Prozent bewerten ihr Gefährdungspotential als zu gering für entsprechende Maßnahmen.

Einerseits betrachten also fast alle Teilnehmer das Thema „Cyber-Risiken“ als relevant; bekannt ist auch, dass im Falle eines Falles Risiken wie eine Betriebsunterbrechung massive Schäden anrichten können. Dennoch treffen nur die wenigsten Unternehmen Vorkehrungen für den Notfall und können deshalb eventuelle Schäden nicht systematisch begrenzen. Dies dürfte auch die Versicherer interessieren, wenn es um die Prämien und die Schadensregulierung geht.

Externe Expertise – eine ungenutzte Chance

Wie gesagt, halten die Teilnehmer die Risikoeingrenzung bzw. -erfassung und die quantitative Bewertung von Schadensszenarien für die größten Herausforderungen. Dennoch wollen etwa 55 Prozent der Teilnehmer nicht die Expertise externer Dienstleister nutzen, um hier einen Schritt nach vorn zu machen.

Die meisten Unternehmen scheuen sich schlicht davor, Einblick in ihre Daten zu gewähren. Dies zeigt sich auch daran, dass nur etwa 27 Prozent der Teilnehmer Eindringungsversuche in ihr IT-System zur Risikobewertung akzeptieren. Doch mit der Transparenz bleibt auch das Cyber-Risiko-Management auf der Strecke.

Cyber-Versicherungen: Interesse, aber auch Unklarheit

In dieses widersprüchliche Bild passt, dass Themen wie „Risikobewertung“ und „Notfall-Management“ zwar vernachlässigt werden und es dennoch für 2 von 3 Unternehmen von Interesse ist, einen Teil der Cyber-Risiken über eine Versicherung zu transferieren. Gerade für den Aufbau eines gezielten Versicherungsschutzes bräuchte es jedoch eine strategische und organisatorische Basis.

Um sich gezielt versichern zu können, sollten die Unternehmen zudem das Wording und den Versicherungsumfang der Cyber-Versicherungen verstehen, vor allem, was deren Abgrenzung zu ihren bestehenden Versicherungen angeht. Jedoch sehen sich über 60 Prozent der Teilnehmer hier leider im Unklaren. Es mangelt also in vielen Unternehmen sowohl an den Voraussetzungen für ein Cyber-Risiko-Management als auch an der Kenntnis, was entsprechende Versicherungslösungen angeht.

Jetzt handeln

Unternehmen ist die Relevanz von Cyber-Risiken bewusst – jetzt müssen Taten folgen: Vor allem sollten Unternehmen das Thema Cyber-Risiken zur Chefsache machen, ihre Risiken qualitativ und quantitativ bewerten, ein Notfall-Management-Konzept entwickeln und sich mit Risikotransferlösungen auseinandersetzen. Denn die nächste Cyber-Attacke kommt bestimmt.