Risikofreudig oder unwissend?

Wie sind deutsche Unternehmen gegen IT-Risiken abgesichert? Und in welchen Bereichen planen sie Risiken auf einen Versicherer zu übertragen? Mit AXA als Partner setzt sich die neue kes/Microsoft-Sicherheitsstudie zum ersten Mal auch mit Fragen der Absicherung auseinander. Das Ergebnis: Nur die wenigsten befragten Unternehmen sichern sich ab. Auch der Bedarf wird mehrheitlich gering eingeschätzt. Dabei werden Gefahren durchaus wahrgenommen.

Von Fehlverhalten über Manipulation bis Hacking - rund drei Viertel der befragten Unternehmen sehen in Bezug auf IT-Risiken keinen Absicherungsbedarf. Dabei waren die Unternehmen teils selbst bereits von Schäden betroffen. So hatten 40 Prozent der Teilnehmer schon einmal einen Schaden durch Irrtum und Nachlässigkeit eigener Mitarbeiter, 17 Prozent durch Hacking oder 10 Prozent durch unbefugte Kenntnisnahme von Daten oder Informationsdiebstahl. Dementsprechend ausgeprägt ist eigentlich auch das Bewusstsein um solche Risiken. So führen bei der Bewertung von Risiken 84 Prozent der Befragten Schäden bei Dritten bzw. Haftungsansprüche als sehr wichtige oder wichtige Kriterien an, 80 Prozent einen direkten finanziellen Schaden durch Manipulationen an finanzwirksamen Informationen.
 

"Irrtum und Nachlässigkeit der eigenen Mitarbeiter" nehmen die befragten Unternehmen wiederholt als größte Gefahr für ihre IT-Sicherheit wahr. Da verwundert es gleichzeitig, dass sich die wenigsten gegen die Folgen schützen. So besitzen nur 12 Prozent eine Absicherung gegen den Zugangsverlust zu Daten, weitere 11 Prozent wünschen oder planen den Abschluss einer Versicherung. "Was viele Unternehmen nicht wissen, ist, dass eine Softwaredeckung im Rahmen einer Elektronikversicherung in solchen Fällen greift", kommentiert Dirk Kalinowski, bei AXA verantwortlich für IT-Kunden, das Ergebnis. Der Versicherungsumfang beinhaltet unter anderem auch Bedienungsfehler, falsche Befehlseingaben, versehentliche Datenlöschung durch eigene Mitarbeiter oder den Vorsatz Dritter. Die Versicherung übernimmt zum Beispiel Kosten für Wiederherstellung der Daten und Programme.
 

Auch die Gefahr der Manipulation ist konstant in den Köpfen der Befragten vorhanden. "Im Einzelfall kann ein solcher Schaden erheblich sein, gerade auch, wenn die Manipulation im eigenen Unternehmen erfolgt", sagt Kalinowski. Gegen Manipulationen der Website oder Datendiebstahl sind allerdings die wenigsten abgesichert (8 bzw. 15 Prozent). "Die Vertrauensschadenversicherung, die in solchen Fällen Schutz bietet, ist nach wie vor nur wenigen Unternehmen bekannt", so Kalinowski. Als sogenannte Vorsatzversicherung schützt sie vor Vermögensschäden, die Mitarbeiter oder außenstehende Dritte durch wirtschaftskriminelle Handlungen verursachen.
 

Was verursachen IT-Schäden für konkrete Kosten? Abstrakte Schätzungen sind schwierig. Bei einem gezielten Angriff auf die IT schätzen die befragten Unternehmen die durchschnittlichen Kosten auf rund 8.000 Euro. Der größte geschätzte Wert liegt bei 212.000 Euro. Kalinowski: "Über Kosten sprechen Unternehmen nicht gerne. Auch gibt es hier erhebliche Unsicherheiten." Der Experte empfiehlt daher, Risiken selber zu identifizieren und konkret zu bewerten, zum Beispiel mittels Risikomatrix bzw. mit Unterstützung von externen IT-Sachverständigen. Entscheidend sei dabei die Frage, ob ein erkanntes Risiko für ein Unternehmen in der Auswirkung erheblich sein kann. "Ein Unternehmen muss bei Weitem nicht jedes Risiko absichern. Aber erscheint ein Schadenszenario existenzbedrohend, ist eine entsprechende Versicherung oft ein sinnvolles Mittel der Risikobewältigung. Hier sind Risikoschwellen zu definieren, bis wohin ein Unternehmen ein Risiko selbst tragen kann oder auch einen Selbstbehalt akzeptiert, um Versicherungsprämie zu sparen." Als Mitglieder der Initiative "Lifecycle of Information Security" bietet der Versicherer AXA ein solches ganzheitliches Risikomanagement an.
 

Die kes-Studien wenden sich an Menschen, die beispielsweise als IT-Sicher- heitsverantwortliche, Rechenzentrumsleiter, Revisoren, Datenschutzbeauftragte oder Geschäftsführer für die Informations-Sicherheit in Behörden und Unternehmen zuständig sind. Den umfangreichen Fragebogen der nicht-repräsentativen, aber mit einer hohen Datenqualität versehenen Studie haben dieses Jahr 133 Teilnehmer eingesandt. Da Organisationen, die einen Sicherheitsverantwortlichen haben und an der Studie mitwirken, tendenziell als besonders sicherheitssensitiv gelten müssen, dürfte es außerhalb der erfassten Stichprobe eher noch deutlich schlechter um die Informations-Sicherheit stehen.