Cyberrisiko: Unsichtbares Risiko mit erheblichen Folgen

Hohes Risikobewusstsein ist essentiell für die Implementierung von Präventionsmaßnahmen

Eine Vielzahl von Unternehmen unterschätzen Cyberrisiken noch, dabei sollten geeignete Strategiemaßnahmen zur Prävention und Kompensation ganz oben auf der Prioritätenliste deutscher Baubetriebe stehen. Häufig entsteht ein hohes Risikobewusstsein bei Mitarbeitenden erst, wenn die Leitungsebene des Unternehmens die Priorität von Cybersicherheitsmaßnahmen und die Entwicklung entsprechender Strategien und Maßnahmen versteht und diese gegenüber den restlichen Betriebsangehörigen kommuniziert. In Folge dieser Präventionsmaßnahmen können Cyberrisiken reduzieren und im Bestfall vermieden werden.

Dementsprechend lautet die Kernfrage zur Sensibilisierung dieses Themas, welche sich jeder Unternehmer stellen sollte: „Wie abhängig ist der Arbeitsalltag in meinem Unternehmen von der IT“ oder: „Wie lange kann ich nach Ausfall sämtlicher EDV-Systeme wettbewerbsfähig bleiben und arbeiten“.

Maßnahmen zur Kompensation

Eine Vielzahl von Cyberangriffen lassen sich durch Maßnahmen abfedern. Im Folgenden werden einige Bespiele hierfür aufgeführt, wobei zu erwähnen ist, dass diese Auflistung nicht abschließend zu betrachten ist:

Mitarbeiterzentrierte Awareness-Schulung zum Cyberrisiko

Mitarbeitende Ihres Unternehmens sollten in regelmäßigen Abständen mindestens jährlich durch interne oder gegebenenfalls durch externe Referenten im sicheren Umgang mit dem Internet, IT und Daten sensibilisiert und geschult werden. Hierbei sollten klare Regelungen zum Umgang mit kritischen Informationen wie zum Beispiel: Fake-Mails oder Fake-Websites und damit im Zusammenhang stehende Informationspflichten auferlegt werden. Außerdem sind regelmäßige Phishing-Simulationen sind zu empfehlen, da vor allem Phishing-Angriffe in 50 % der Fälle die Ursache von IT-Sicherheitsvorfällen waren, wie eine Online-Umfrage des IT-Sicherheitsunternehmen Perseus Technologies GmbH belegte. Dies ist ratsam, da es sich im Falle eines Cybervorfalls oftmals um Minuten handelt, welche darüber entscheiden, welche Dimensionen ein Cyberangriff annimmt.

IT-Notfallplan

Im Zusammenhang mit der Sensibilisierung der Mitarbeiter ist es zwingend zu empfehlen, einen IT-Notfallplan zu erstellen. Hieraus sollten sämtliche Verhaltensweisen, Meldewesen, hausinterne Verantwortliche inklusive Kontaktdaten sowie die Ansprechpartner inklusive Kontaktdaten von externen IT-Dienstleistern hervorgehen. Empfehlenswert ist auch eine externe 24/7 Service-Hotline für Notfälle, wie z. B. T-Systems zu hinterlegen. Gerne stellen wir Ihnen bei Bedarf einen Muster-Notfallplan zur Orientierung zur Verfügung.

Patchmanagement

Häufig sind auch mangelnde IT-Sicherheitsmaßnahmen, wie z. B. ein fehlendes Patch-Management, eine Ursache für Cyberangriffe. So löste der Vorfall von Microsoft-Exchange im Jahre 2021 eine beispiellose Angriffswelle auf ungepatchten Servern aus. Aufgrund dessen sollten Sie über eine Übersicht aller im Unternehmen eingesetzter Soft- und Hardware verfügen. Kritische Schwachstellen sollten hierbei schnellstmöglich nach der Veröffentlichung eines für diese Schwachstelle relevanten Sicherheitsupdates beseitigt werden.

Regelmäßige Updates sind somit unerlässlich, um die eingesetzte Soft- oder Hardware auf den Stand der Technik zu halten. Betriebssysteme und Anwendungsprogramme, bei welchen der Hersteller den Support eingestellt hat und eine Aktualisierung nicht mehr erfolgen kann (end-of-life/end-of-support) sollten zeitnah abgelöst oder die entsprechenden Geräte vom Netzwerk isoliert werden.

Antivirus- und Sicherheitssoftware

Die Einrichtung einer Firewall und einer vollumfänglichen Antivirus-Software ist unerlässlich.

Backup

Sie sollten Ihre Systeme und Daten risikoadäquat in angemessenen Zeitabständen, in der Regel werktäglich oder mindestens wöchentlich, sichern. Die Sicherungsdatenträger sind so aufzubewahren, dass diese nicht vom selben Schadenereignis betroffen werden können („Offline-Sicherung“). Es sollte regelmäßig mindestens jährlich geprüft werden, dass eine Rücksicherung auch tatsächlich möglich ist (Restore-Tests). Bei Bedarf stellen wir Ihnen gerne einen Leitfaden zur Sicherung Ihrer Daten zur Verfügung.

Cybersicherung

Der Abschluss einer Cyberversicherung kann zusätzlich das finanzielle Risiko minimieren. Es ist allerdings zu erwähnen, dass diese zwar die Kosten eines Angriffs tragen kann, aber keinesfalls einen Ersatz für die Umsetzung von Cybersicherheitsmaßnahmen darstellt. Eine Vielzahl von Sicherheitsmaßnahmen sind mittlerweile auch die Deckungsvoraussetzung für eine Cyberversicherung.

Die Lage am Cyberversicherungsmarkt ist angespannt

Die Schadenquoten stehen nicht im Verhältnis zu den Beitragseinnahmen der Versicherer. Dies hat zur Konsequenz, dass einzelne Versicherer zum Folgejahr Risiken vom Deckungsumfang ausschließen und darüber hinaus höhere Beiträge verlangen. Eine Verdoppelung des Beitrags ist hierbei keine Seltenheit. Zudem hat sich die Zeichnungspolitik der Versicherer verschärft. Nach eingehender Risikoanalyse werden Risiken nicht gezeichnet und somit abgelehnt.

Unsere Empfehlung ist es, auf den richtigen Partner zu setzen, welcher nicht zu Beginn des Versicherungsschutzes mit günstigen Prämien lockt und diese im Folgejahr durch enorme Erhöhungen kompensiert. Unser Haus setzt in der Zusammenarbeit auf zuverlässige Partner, deren Deckungsumfang und Beiträge bei Bestandsverträgen seit Jahren unverändert/stabil sind.

Das Wichtigste zum Cyberrisiko im Überblick

1. Die fortschreitende Digitalisierung bringt viele Vor-, aber auch einige Nachteile mit sich, wie unter anderem ein erhöhtes Cyberrisiko
2. Mittelständische Bauunternehmungen stehen genau wie andere Branchen im Fokus von Cyberkriminellen
3. Cybersicherheit muss fest in der Unternehmensstruktur verankert werden
4. Strategiemaßnahmen zur Prävention und Kompensation sind unerlässlich
5. Größter Risikofaktor: Mensch. Sensibilisierung der Mitarbeitenden sollte regelmäßig erfolgen
6. Cyberversicherung kann die Kosten eines Cyberangriffs tragen