Ein bekanntes, aber nach wie vor unterschätztes Risiko. Digitale Risiken wie Hackerangriffe und Datenverluste sind allgegenwärtig und jeder kann davon betroffen sein, und zwar unabhängig von der Größe und Art des Unternehmens. Nahezu jedes moderne Unternehmen verwaltet Kunden- und Mitarbeiterdaten, Kassen- und Kreditkartendaten, Angebots- und Abrechnungsdaten, Produktdaten, Dokumente und Korrespondenzen etc.

Mit zunehmender Digitalisierung und den schier unendlichen Möglichkeiten des Internets haben der digitale Datentransfer und die über IT-Systemen verwalteten Daten immens zugenommen. Gleichzeitig steigt aber auch die Gefahr durch Cyber-Kriminalität.

Die  durch Cyber-Kriminalität jährlich verursachten Schäden müssten eigentlich dazu führen, dass die Unternehmen – auch in Anbetracht der in den Medien zum Teil spektakulär dargestellten Schadenszenarien – die damit verbundene finanzielle Gefahr und auch den oftmals damit  einhergehenden Reputationsverlust als ernsthafte und existenzielle Bedrohung betrachten und Maßnahmen treffen, um die Risikosituation zu entschärfen.

Die Realität sieht jedoch anders aus:

• Nur 6 % der kleinen und mittelständischen Unternehmen betrachten Cyber-Kriminalität als mögliches Risiko.
• 31 % der Unternehmen halten Datenverlust für ein bedeutendes Risiko, sind aber nicht versichert.
• 30 % der Unternehmen haben in 2013 oder 2014 einen IT-Sicherheitsvorfall festgestellt. 2/3 davon wurden absichtlich oder unabsichtlich durch einen Mitarbeiter verursacht.
• In der weltweiten Statistik für Cyber-Kriminalität belegt Deutschland leider Platz 1 bei Schäden, die durch Cyberangriffe verursacht werden.
• 94 % der Unternehmen haben keine Versicherung für Schäden durch Cyber-Kriminalität.

Warum sind Cyber-Risiken zwar durchaus bekannt, werden aber anscheinend eher verkannt? Zum einen wahrscheinlich auf Grund der irrigen Annahme, dass von solchen Risiken überwiegend nur IT-Dienstleister, Großunternehmen oder Onlinevertriebe betroffen sind. Zum anderen auch, weil es sich hierbei um eine abstrakte Thematik mit hoher Komplexität handelt, der mit der allzu menschlichen Neigung des Verdrängens – kombiniert mit einem Hang zum Zwangsoptimismus – begegnet wird. Nach dem Motto: was soll mir denn schon groß passieren? Wie hoch kann ein Schaden schon sein? Für mich als mittelständisches Unternehmen treffen die Schadenszenarien nicht zu…

Allein im Jahr 2013 wurden in Deutschland ca. 65.000 Fälle von Cyberkriminalität registriert – und das sind nur die Fälle, die zur Anzeige gebracht wurden. Ein erfolgreicher Hackerangriff auf ein Großunternehmen verursacht einen durchschnittlichen Schaden von 1,8 Mio. Euro. Bei kleinen und mittelständischen Betrieben liegt der Durchschnittswert bei ca. 70.000 Euro. Der Schaden, der sich aus allen Hacker-Angriffen auf deutsche Firmen insgesamt ergibt, lag 2011 laut Bundeskriminalamt bei 70,2 Mio. Euro. Da die Dunkelziffern sehr hoch sind, ist zu vermuten, dass der tatsächliche wirtschaftliche Schaden jedoch um ein vielfaches höher ist.

Diese Zahlen verdeutlichen einmal mehr, dass die Bedrohung durch das Internet für Unternehmen aller Branchen und Größen präsent ist. Für Hacker und Datendiebe ist ein DAX-Unternehmen aus dem Telekommunikationsbereich ebenso ein Ziel wie ein mittelständischer Futtermittelhersteller.

Ein beliebter Satz unter IT-Experten lautet: Im Zeitalter der Vernetzung gibt es nur zwei Arten von Unternehmen: Diejenigen, die bereits Opfer einer Cyberattacke geworden sind – und jene, die es noch nicht gemerkt haben.

Ein angemessenes IT-Sicherheitskonzept ist die Voraussetzung für eine wirksame Reduzierung der Gefahr von Störungen des betrieblichen Ablaufs. Ein qualifiziertes Sicherheitskonzept und das Problembewusstsein der Mitarbeiter sind hierfür die Basis. Aber selbst ein funktionierendes Cyber Risk Management kann nicht alle Sicherheitslücken schließen. Ein gewisses Restrisiko bleibt immer.

Für die Absicherung des Restrisikos bieten die sogenannten Cyberpolicen mittlerweile einen sehr guten Versicherungsschutz. Die Cyber-Policen schützen nicht nur vor den wirtschaftlichen Folgen, die sich aus Datenverlust, Betriebsausfall und Ansprüche Dritter ergeben. Je nach Vertragsgestaltung werden auch Kosten bzw. Serviceleistungen für den Schutz vor Reputationsschäden, für IT-Forensik und für Sicherheits- und PR-Berater übernommen. Diese Policen müssen in der Regel individuell auf die Bedürfnisse des Unternehmens zugeschnitten werden. Ein Aufwand, der sich in vielen Fällen lohnen dürfte.