Industrieunternehmen müssen ihre Cybersicherheitsmaßnahmen deutlich verstärken und sie müssen verbleibende Restrisiken durch passende Versicherungen weiter reduzieren. [...]
Eines der Beispiele der letzten Jahre zeigt, wie dringend ein Weckruf in Sachen Cybersicherheit war: 2022 wurde Oiltanking, eines der weltweit größten Tanklogistikunternehmen, Ziel eines weitreichenden Hackerangriffs. Der Vorfall legte nicht nur die IT-Systeme des Unternehmens lahm, sondern beeinträchtigte auch die Kraftstoffversorgung in ganz Deutschland erheblich.
Cyberangriffe: Ein wachsendes Risiko für die Industrie
Eine Studie des Digitalverbands Bitkom aus 2023 zeigt, dass rund 72 Prozent der Unternehmen bereits Opfer von analogen oder digitalen Angriffen geworden sind. Die Folgen derartiger Angriffe sind enorm: Betriebs- und Lieferkettenunterbrechungen, Datenverluste oder Ransomware-Attacken ziehen finanzielle Einbußen nach sich, die für einzelne Unternehmen in die Millionen gehen können. Hinzu kommen Reputationsschäden. Bitkom schätzt, dass durch Cyberangriffe jährlich ein Schaden von über 200 Milliarden Euro entsteht. Für Unternehmen, die beispielsweise eine Schlüsselrolle in der Versorgungskette spielen, kann ein solcher Angriff katastrophale Folgen haben – nicht nur für das Unternehmen selbst, sondern auch für seine Kunden und die gesamte Wirtschaft.
Cybersicherheit ist ein echter Wettbewerbsvorteil
Trotz zunehmender Cyberangriffe und schwerwiegender Folgen für die Unternehmen, ist vielen Geschäftsführungen nach wie vor nicht bewusst, dass ein robustes Sicherheitskonzept zu einem wichtigen Differenzierungsmerkmal im Wettbewerb werden kann. Unternehmen, die in ihre Cybersicherheit investieren, schützen nicht nur ihre eigenen Betriebsgeheimnisse und Kundendaten, sondern signalisieren auch ihren Stakeholdern, dass sie vertrauenswürdig und zukunftsorientiert sind.
Wer wirkungsvollen Brandschutz betreibt, braucht nur selten die Feuerwehr
Ist ein Angriff erstmal erfolgt, ist der Schaden in der Regel schon angerichtet: Daten können für immer verloren gehenoder nur aufwändig rekonstruiert werden, Betriebsabläufe können gestört und das Vertrauen der Kunden irreparabel erschüttert werden. Eine passgenaue Versicherung gegen Cyberangriffe und ihre Folgen bedeutet wirkungsvollen Schutz gegen solche Schäden. Sie ist ein wichtiger Bestandteil eines umfassenden Sicherheitskonzepts, denn regelmäßig bietet sie nicht nur finanziellen Schutz im Falle eines Angriffs, sondern auch den umgehenden Zugang zu Expertise und Ressourcen, der zur Bewältigung der Folgen dringend nötig ist.
Und doch wäre es falsch, nur auf eine Maßnahme zur Abwehr von Gefahren zu setzen. Wer allein auf die Versicherung gegen die Folgen von Cyberangriffen vertraut, nicht aber auch wirksame Maßnahmen zur Prävention von Angriffenergreift, handelt doppelt kurzsichtig. Erstens wird damit lediglich Symptombekämpfung und Krisenmanagement betrieben. Und zweitens betragen die Kosten für die Cyberversicherung selbst ein Vielfaches mehr. Schließlich hängen die Prämien für Cyberschutz entscheidend davon ab, wie gut das Unternehmen geschützt ist. Umgekehrt aber gilt auch: Wer sich nur auf präventive Maßnahmen stützt, wird im Schadensfall schnell merken, dass auch die beste Vorbeugung eine gute Versicherung nicht völlig ersetzen kann.
Undurchsichtiges Risiko, dynamische Entwicklung, komplexe Schutzmaßnahmen: Cyberrisiken sind nur schwer greifbar
Unternehmen sind sich heute sowohl der Gefahr von Cyberangriffen als auch der Notwendigkeit von präventiven Maßnahmen, im Idealfall kombiniert mit passgenauen Cyber-Versicherungen, durchaus bewusst. Jedoch erschweren die Undurchsichtigkeit und Dynamik der Gefahr sowie die Vielzahl an möglichen Gegenmaßnahmen Versicherungsnehmern, Vermittlern und den Versicherern gleichermaßen die Bewertung von Risiken und Schutzinstrumenten.
Das Problem: Cyberattacken werden in der Industrie nicht nur immer häufiger – sie werden durch neueAngriffsmöglichkeiten auch immer raffinierter. Ein aktuelles Beispiel ist etwa der Einsatz von Künstlicher Intelligenz (KI). KI-Systeme lernen fortlaufend aus bestehenden Daten und passen sich dynamisch an, sodass sie Sicherheitsmaßnahmen schneller umgehen und Schwachstellen effizienter identifizieren können. Es entsteht eine Vielzahl von sich immer weiter entwickelnden möglichen IT-Sicherheitslücken und damit auch eine große Bandbreite an Schäden, die aus ihnen folgen können. Usecases für Cyberversicherungen oder wirkungsvolle Präventionstechniken können somit nicht als Blaupause einfach wiederverwendet werden. Die gesamte Risikolandschaft wird durch diese Dynamik undurchsichtig und schwer zu antizipieren.
Hinzu kommt der Faktor Mensch: Neben externen Cyberrisiken (Ransomware oder DDoS-Angriffe) wirken sich auch interne Gefahren – etwa die „menschlichen“ Risiken (Social Engineering oder fehlende Mitarbeiterschulungen) – negativ auf die Gefahrenlandschaft aus. Auch hier treibt KI ihr Unwesen: Deepfakes haben längst in Phishing-Mails und Anrufe Einzug gehalten und machen das Erkennen von Angriffen immer anspruchsvoller. Im Ergebnis wird das Cyber-Risiko für Versicherer immer schwerer greifbar. Nicht ohne Grund sind Fragebögen zur Risikoeinschätzung von Cybergefahren, die Unternehmen vor dem Versicherungsabschluss ausfüllen müssen, bisher unangefochten die längsten und kleinteiligsten – und hochgradig veränderlich.
Transparenz wird zum Schlüsselelement
Um den dichten Nebel des Cyberrisikos für Unternehmen und Versicherer zu klären, ist ein hohes Maß an Transparenz von überragender Bedeutung. Angesichts der hohen Komplexität der skizzierten Risiken und Wirkmechanismen ist die Herstellung von Transparenz anspruchsvoll – aber auch unerlässlich. Nur so lassen sich die Risiken weitgehendverstehen und bewerten. Nur mit einem klaren Blick auf die IT-Infrastruktur, auf Anwendungen und Endgeräte, auf Technologien und potenzielle Schwachstellen können die richtigen Sicherheitsmaßnahmen getroffen und der Versicherungsschutz angemessen gestaltet werden.
Dazu ist es unabdingbar, die richtige Expertise an Bord zu holen – intern oder über Dienstleister. Angesichts knapper Ressourcen und vielfältiger Angebote ist dies nicht immer einfach. Wichtig ist zudem, als Unternehmen aktiv zur Transparenz beizutragen, beispielsweise durch regelmäßige Assessments oder Penetration Tests, und so Sicherheitslücken sichtbar machen. Auch wenn die Ergebnisse mitunter schmerzen, sie sind nicht zuletzt im Risikodialog für den Versicherern wichtig und ermöglichen ein Arbeiten Hand in Hand. Last but not least: wirksamer Schutz und Transparenz sind Teamarbeit und auch ein Ausdruck von Kultur. Mitarbeitende müssen ermutigt und befähigt werden, Probleme oder Schwachstellen zu erkennen und offen anzusprechen. Dass die meisten Cyberangriffe in der Regel für einige Monate unentdeckt bleiben, ist nicht selten eine Folge daraus, dass sich Unternehmen nicht ehrlich mit ihren Schwächen auseinandersetzen.
Fazit
Nur ein Blick in die Nachrichten reicht, um zahlreiche gute Gründe zu finden, warum Unternehmen sich mit Nachdruckmit ihrer Cybersicherheit auseinandersetzen sollten. Sie müssen bereit sein, sowohl Arbeit als auch Ressourcen in die Prävention von Cyberattacken zu investieren.
Wir haben es mit einem Thema zu tun, dass Unternehmen wie Versicherer vor neue, große Herausforderungen stellt.Viele Unternehmen tun sich schwer mit einer ganzheitlichen Cyber-Sicherheitsstrategie, die technisches Verständnis und unternehmensweite Anstrengungen erfordert, um sich auf die dynamische Gefahrenwelt einzustellen. Versicherer wiederum stehen vor der Aufgabe, Risiken zu versichern, die nur bedingt berechen- und modellierbar sind.
Beide Perspektiven unterstreichen die Bedeutung von Transparenz: Je mehr das Unternehmen über seine eigenen Schwächen und Lücken weiß, desto besser kann es sich schützen. Je mehr Versicherer über die Schwächen und den Umgang des Unternehmens mit ihnen wissen, desto besser können sie Versicherungsprodukte anbieten, die genau auf die bekannten Risiken zugeschnitten ist.
Wir stehen am Beginn einer neuen Ära der Digitalisierung, die neben all ihren Chancen auch Schattenseiten bereithält. In dieser Zeit kann Cybersicherheit nicht mehr ohne die unternehmerische Bereitschaft zur Transparenz existieren.
*Der Autor Artur Reimer ist CEO von corify.
Be the first to comment