Der Trojaner Wannacry hat Unternehmen auf der ganzen Welt aufgeschreckt. Es war einer der größten bisher bekannten Hackerangriffe und er hat die Verwundbarkeit einer vernetzten Wirtschaft sehr deutlich gemacht. Er lässt auch erahnen, was uns in der Zukunft noch erwartet: Die Frequenz solcher Angriffe sowie die Schadenpotenziale werden weiter steigen, besonders da die Abhängigkeit der Unternehmen von ihren IT-Systemen und der Vernetzungsgrad weiter zunehmen werden.
Es ist keine Frage mehr, ob ein Unternehmen gehackt werden kann, aber die Hürde für Hacker sollte so hoch wie irgend möglich gelegt werden. Unternehmen müssen sich noch besser wappnen, nicht nur um ihren eigenen Geschäftsbetrieb aufrecht erhalten zu können, sondern auch um die Daten ihrer Kunden sowie die eigene Reputation zu schützen. Dabei steht die Schadenprävention mit stringenten Schutzkonzepten gegen aktuelle Bedrohungen an erster Stelle. Das ist allerdings nicht trivial. Bei großen Unternehmen, die eine sehr komplexe IT-Landschaft haben, können notwendige Sicherheitsupdates einige Zeit in Anspruch nehmen. Kleinere Unternehmen haben oft nicht das notwendige spezialisierte IT-Knowhow im Haus, um ihre Systeme immer auf dem neuesten Stand zu halten.
Mit der Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit und zum Datenschutz 2018 erhöht sich der Handlungsdruck auf die Unternehmen weiter. Die Anforderungen an IT-relevante Prozesse in allen Unternehmensbereichen werden deutlich strenger, Verstöße können zu empfindlichen Strafen führen. Unternehmen müssen ein State-of-the-Art-Risikomanagement aufbauen, das mögliche Schwachstellen und potenzielle Bedrohungen identifiziert und bewertet, und Strategien zur Risikominderung entwickelt. Keine leichte Aufgabe, zumal sich die Risiken sehr dynamisch verändern, aber von essentieller Bedeutung.
Gegen finanzielle Verluste können sich Unternehmen auch mit Cyberversicherungen schützen. Der globale Cyberversicherungsmarkt hat derzeit ein Prämienvolumen von rund 3,5 Milliarden US-Dollar; bis 2020 wird ein Anstieg auf 8-10 Milliarden US-Dollar erwartet. Bisher werden noch 85 Prozent der Prämien in den USA erzielt. Einer der Gründe – neben spektakulären Schadenfällen – ist die schon heute deutlich strengere Regulierung der IT-Sicherheit und des Umgangs mit Cyberschäden.
Was Unternehmen brauchen, sind ganzheitliche Lösungen, die auf jedes einzelne Geschäftsmodell zugeschnitten sind und einen umfassenderen Bilanzschutz bieten. Auch bei den Aufsichtsbehörden, Investoren und Ratingagenturen stehen Cyberrisiken zunehmend im Fokus. Sie haben ebenfalls ein berechtigtes Interesse, dass die Unternehmen sich angemessen gegen Cyberrisiken schützen. Prävention nützt dabei der gesamten vernetzten Wirtschaft.
Der Gastautor ist Vorstandsmitglied der Münchener Rück.
