Für viele Unternehmen bedeutet Cyber Abwehr vor allem zwei Dinge: Wie sichere ich meine IT-Systeme gegen Angriffe und Eindringlinge? Und wie halte ich meine Mitarbeiter davon ab, fahrlässig schädliche Software ins System einzuschleusen? Dies ist oft ein Wettlauf „Hase gegen Igel“.
Denn je stärker Unternehmen sich vernetzen, desto höher wird das Infektionsrisiko über die Schnittstellen zu Geschäftspartnern, die weniger oder keinen Wert auf Cyber Abwehr legen. Trotz aller Bemühungen entdeckt die IT-Security bei Tests immer noch, dass Mitarbeiter verbotswidrig Email-Anhänge öffnen oder fremde Speichersticks verwenden, über die Angreifer den Weg ins Firmennetz finden können.
Ein wichtiger Aspekt fehlt häufig in der Vorbereitung: die Simulation eines Angriffs auf die eigene Organisation, sei es ein versichertes Unternehmen oder ein Versicherer selbst. Im Ernstfall wird eine schnelle und angemessene Reaktion erforderlich. Dabei hilft eine Prozesseinübung und Fehlerdiskussion.
Wenn kurz vor dem Wochenende eine Erpressermail eingeht, am Samstag Kundendaten ins Internet gelangen, am Sonntag Druck auf Twitter aufgebaut wird – wen wundert es, wenn Montag die BaFin vor der Tür steht und der Aktienkurs einbricht? Jedes Unternehmen haftet für das Versprechen, die Belange der Kunden, der Mitarbeiter und am Ende der Investoren zu wahren. In der Industrie steht dabei das Funktionieren von Lieferketten im Mittelpunkt, bei Versicherern der Schutz sensibler Daten. Generell geht es um Vertrauen in eine risikobewusste und nachhaltig arbeitende Firmenkultur. Dieses Vertrauen leidet, wenn das angegriffene Unternehmen hilflos handelt, nicht auskunftsfähig ist oder widersprüchliche Angaben macht.