Soziale Medien und Mitarbeiter Geräte - Gefahr für Ihre IT

Über die gängigsten Risiken, denen Ihre IT ausgesetzt ist, haben wir Sie schon eingehend im ersten Teil dieser Serie informiert. Doch die neuen Medien – in Form von Facebook, Twitter etc. – machen vor Ihrer Firmentür nicht Halt. Mitarbeiter pflegen ihre sozialen Kontakte auch vom Büroschreibtisch aus. Geht davon eine Gefahr für die IT Ihres Unternehmens aus? Können mitgebrachte Smartphones oder Tablets zusätzliche Risiken darstellen? Sind Sie diesen Risiken schutzlos ausgeliefert oder gibt es Möglichkeiten, zumindest den finanziellen Verlust abzusichern, wenn Ihre IT wirklich einmal Schaden nehmen sollte? Auch darüber klären wir Sie im Rahmen dieses Artikels auf.



Wir haben mit dem Experten AXA Information Security, Helmut Rother, gesprochen, der wichtige Antworten auf diese Fragen gab. Darüber hinaus erhielten wir sehr interessante Informationen zum Thema Versicherungsschutz von einem weiteren Spezialisten von AXA, Dirk Kalinowski, IT-Versicherungsexperte und Branchenverantwortlicher IT-Dienstleister und Software.




Herr Rother, Social Networking-Tools erleichtern es Hackern, Daten zu stehlen und neue Angriffspunkte zu finden. Wie kann sichergestellt werden, dass kein unbeabsichtigter Datenverlust über die diversen Kanäle entsteht?

Helmut Rother: Es ist richtig, bei Datenverlust über Verlustkanäle zu sprechen. In der Security versuchen wir dem Top Management diese Verlustkanäle in einem sogenannten “Wärmebild” oder “Heatmap” zu visualisieren. Für jeden dieser Kanäle identifizieren wir die bestehenden Kontrollmaßnahmen und Restrisiken, um das Verbesserungspotenzial aufzuzeigen. Wobei klar ist, dass es auch hier nicht darum geht ein „Fort Knox“ zu bauen, sondern das geeignete Schutzniveau zu erzielen.

Zum Beispiel haben wir gute technische Netzwerkkontrollen und einen entsprechenden Schutz vor Schadcodes und Viren, die einen Einfallkanal in die IT Landschaft bieten könnten. Wir lagern aber auch Daten zu externen Dienstleistern aus, mit denen wir entsprechende Verträge aufsetzen und die kontrolliert werden. In Ländern wie den USA ist es in bestimmten Unternehmen sogar Pflicht, bspw. auch die Mailkanäle auf Datenabfluss zu kontrollieren. In Deutschland setzen der Datenschutz und die betriebsrätlichen Gremien einen Riegel vor diese Art der Überwachung und Kontrolle.
Es muss jedem klar sein, dass – selbst bei ausgefeilter, technischer Kontrolle – Kriminelle immer einen Weg finden, wenn sich das Ziel lohnt. Und Daten sind ein begehrtes Ziel, das zeigen die scheinbar kostenfreien Geschäftsmodelle im Internet, wie zum Beispiel Google oder Facebook.

Bei den sozialen Medien ist die Kommunikationskompetenz des Unternehmens selbst, aber insbesondere auch die des Mitarbeiters gefragt. Es sind schon einige Auftritte von Unternehmen in sozialen Medien missglückt, da die Macht der freien Meinungsäußerung unterschätzt wurde. Dem Mitarbeiter muss klar sein, dass er vertrauliche Informationen nicht preisgeben darf (z. B. Insiderinformationen des Unternehmens) und er muss wissen, in welcher Rolle er kommuniziert. Insbesondere die Jugend mag die Kommunikation in sozialen Medien als privat empfinden, bei der Anzahl der “Freunde die lauschen” kann man davon aber nicht mehr sprechen.

Der Faktor Mensch ist hier auch bei sozialen Medien das größte Risiko. Durch die offene Kommunikation über mich selbst, gebe ich einer großen anonymen Masse Informationen, welche die Möglichkeit zur sozialen Manipulation mit Betrug, Vorteilsnahme oder Identitätsdiebstahl bieten (“Social Engineering”). Diese Gefahr erstreckt sich eben auch auf das Unternehmensumfeld.“


Neue Technologien, der Einsatz privater Smartphones oder Tablets am Arbeitsplatz und der digitale Informationsaustausch bieten neues Angriffspotenzial für Hacker und Cyberkriminelle. Wie können Unternehmen ihren Blick auf mögliche Bedrohungen erweitern und einen ganzheitlichen Sicherheitsansatz umsetzen?

Helmut Rother: „Der Schutz beim Einsatz der neuen Technologien für ein Unternehmen muss darauf basieren, dass das Unternehmen den Mitarbeitern nur die IT zur Verfügung stellt bzw. deren Nutzung erlaubt, welche die Trennung der Unternehmensdaten von den privaten Daten gewährleistet. Das ist eine fundamentale Anforderung, die oft aufgeweicht wird. Dabei spreche ich nicht davon, dass etwa ein Mitarbeiter auf eigene Verantwortung Notizen statt auf dem Notizblock aus Papier in der Notebook-App auf dem privaten Handheld macht.

Das Unternehmen muss dem Mitarbeiter entweder die Geräte zur Verfügung stellen, und damit alle Daten darauf als Unternehmenseigentum schützen. Oder, wenn private Geräte erlaubt sind, die sogenannte “Bring your own device” Strategie, rein die geschäftlichen Daten darauf schützen. Das ist natürlich eine wesentlich schwierigere Aufgabe und ist bei der auch sonst stattfindenden Vermischung von Privat- und Berufsleben bei den Mitarbeitern nicht immer beliebt.

So wird es nicht selten zu einer sogenannten “unverzichtbaren Businessanforderung”, dass der Mitarbeiter auf seinem privaten Handy bei einem eingehenden Anruf z.B. das passende Foto und den Namen des Anrufers aus der geschützten geschäftlichen Kontaktliste angezeigt bekommt. Der Komfort nur ein Gerät für die Kommunikation zu nutzen lässt sich dann aber nur auf Kosten der Sicherheit für die Unternehmensdaten umsetzen und führt dadurch zu einer Vermischung von Privat- und Geschäftskontakten.


Gibt es einen Versicherungsschutz und wenn ja, welche Risikoabdeckung gibt es bei Datenverlust?

Helmut Rother: Einen Schutz vor Datenverlust im eigentlichen Sinne gibt es nicht. Abgedeckt werden in der Regel die Wiederherstellungs- und Mehrkosten. Hierbei tritt die Versicherung dann ein, wenn die Daten zerstört wurden und ein Aufwand zu betreiben ist, den Ursprungszustand wieder herzustellen. Bei einem Datendiebstahl sind die Daten, wie oben bereits erwähnt, ja meistens gar nicht weg, sondern nur kopiert.

Gelangt ein solcher Datenverlust in die Öffentlichkeit, ist eine Rufschädigung zu befürchten. Die damit verbundenen Kosten bzw. Umsatzausfall sind kaum oder überhaupt nicht konkret zu beziffern und zu belegen. Aus diesem Grund kann hierfür kein Versicherungsschutz übernommen werden.
Die beste Absicherung ist eine Kombination aus einem geeigneten Sicherheitsmanagement (Risiko- und Compliance Aspekte) mit einer ergänzenden Versicherung, wobei geeignete Haft- und Sachversicherungen zu berücksichtigen sind.“

Zum Thema Versicherungsschutz äußerst sich ein weiterer Spezialist von AXA, Dirk Kalinowski, IT-Versicherungsexperte und Branchenverantwortlicher IT-Dienstleister und Software:
„Bei Datenverlust gibt es einen Versicherungsschutz, welcher die Wiederherstellung und ggf. Mehrkosten versichert. Dabei wird von regelmäßiger Datensicherung des Versicherungsnehmers ausgegangen. Datenverlust aufgrund von allgemeinen Schadprogrammen (z. B. durch Computerviren) ist stets ausgeschlossen.“


Sind Unternehmensrichtlinien als Grundlage der IT-Security die Voraussetzung, um Versicherungsschutz zu erlangen?

Dirk Kalinowski: „Das Vorliegen von Zertifikaten und geprüften Sicherheitsstandards wie zum Beispiel BSI Grundschutz, aber auch ITIL oder ISO 27001 kann bei der individuellen Risikobewertung im Rahmen der Anbahnung durch den Versicherer positiv gewertet werden.

Papierdokumente und normative Vorgaben alleine reichen natürlich bei weitem nicht aus, um ein angemessenes Sicherheitsniveau in einem Unternehmen zu etablieren. Aber aus dem Nichtvorliegen von Dokumenten wie z. B. einer Sicherheitsrichtlinie kann man ggf. schließen, dass das Unternehmen im Sinne des Organisationsverschuldens eine Mitschuld an einem Sicherheitsvorfall hat.

Ein konkretes Beispiel sind klare Vorgaben, wie Daten regelmäßig zu sichern sind und wie die Rückübertragung im Notfall sichergestellt ist. Hier kann sich ein größeres Unternehmen nicht auf die individuelle Sicherheitskompetenz der Mitarbeiter in der Systempflege zurückziehen. Im Zweifelsfall hat ein Unternehmen Schwierigkeiten zu belegen, dass ein vom Versicherer geforderter Mindest-Schutz nach dem Stand der Technik vorhanden war.“

Das meint IT-Versicherungsexperte Dirk Kalinowski zu den Voraussetzungen für Versicherungsschutz: „In der Regel verlangen die Versicherer das Betreiben einer Firewall und Virenschutz nach dem Stand der Technik. Hierzu gehört die regelmäßige Aktualisierung. Darüber hinaus werden eventuell weitere Forderungen wie Regeln zur Passwort-Vergabe und Vorliegen einer Sicherheitsrichtlinie gemacht. Hinzu kommen die stets bestehenden Schadenminderungspflichten des Versicherungsnehmers. Auch beim Vorliegen grober Fahrlässigkeit oder gar Vorsatz ist der Versicherungsschutz gefährdet – das gilt aber immer, nicht nur im IT-Bereich.“

Vorteil AXA Das PLUS für Kunden von AXA

IT-Versicherungen erhalten Sie nicht bei allen Versicherungsgesellschaften – aus gutem Grund! Nur Spezialisten kennen die Risiken und die notwendige Absicherung. AXA hat sich mit dieser Thematik auseinandergesetzt und passgenaue Lösungen entwickelt.
Bei AXA versicherbare IT-Risiken:
  • Ausfall der IT durch einen Sachschaden (z.B. Brand, Fehlbedienung, Vandalismus, Überspannung)
  • Datenverlust und direkte Vermögensschäden durch zielgerichtete Hacker-Attacken
  • Wiederherstellung von gelöschten Daten
  • Rechtsschutz bei Verstoß gegen das Datenschutzgesetz
Nützliche Versicherungen rund um das Thema IT Vertrauensschadenversicherung:
Die Vertrauensschadenversicherung von AXA schützt versicherte Unternehmen vor Vermögensschäden, die durch kriminelle Handlungen von Mitarbeiterinnen und Mitarbeitern oder außenstehenden Dritten verursacht werden. Dies gilt auch für den Fall, dass Mitarbeiterinnen und Mitarbeiter einem Dritten einen Schaden zufügen, für den das versicherte Unternehmen haftet. Weitere Informationen finden Sie hier.

Elektronikversicherung:
Mit der Elektronikversicherung von AXA versichern Sie Ihre stationär oder mobil eingesetzten elektronischen Anlagen und Geräte sowie die dazugehörenden Daten und Datenträger. Weitere Informationen finden Sie hier.

Rechtschutzversicherung:
Manager als gesetzliche Vertreter von Unternehmen sind den Risiken eines Rechtsstreits in besonders hohem Maße ausgesetzt. Denn sie sind diejenigen, die im Fall des Falles als Entscheidungsträger zur Verantwortung gezogen werden. Die Manager Rechtschutzversicherung unterstützt Sie hierbei. Weitere Informationen finden Sie hier.


Weitere Artikel aus der Serie IT-Security

Rechtliche Hinweise
Die Artikelinhalte werden Ihnen von AXA als unverbindliche Serviceinformationen zur Verfügung gestellt. Diese Informationen erheben kein Recht auf Vollständigkeit oder Gültigkeit. Bitte beachten Sie dazu unsere Nutzungsbedingungen.