Industrielle IT-Sicherheit, was muss man sich unter diesem Begriff alles vorstellen?
Philipp Lienau:
IT-Sicherheit stellt im Allgemeinen die Absicherung von vernetzten Systemen und Prozessen dar. Anfangs standen dabei die kaufmännischen IT-Anwendungen im Fokus. Durch die digitale Vernetzung von Anlagen und Maschinen gewinnt die Absicherung der Produktionsprozesse zusätzlich an Bedeutung.


Analysen des Bundesamts für Sicherheit in der Informationstechnik und zahlreiche weitere Untersuchungen zeigen eine akute Bedrohungslage für Unternehmen auf. Teilen Sie diese Einschätzung?

Patrick Smolka: Eine solche Einschätzung teilen wir absolut. Die genannten Studien machen deutlich, dass nicht nur Großkonzerne Ziele von Cyber-Kriminalität sind, sondern immer mehr auch mittelständische Unternehmen. Als Rückgrat der deutschen Wirtschaft kommt dem Mittelstand eine besondere Bedeutung zu, worum Deutschland oft beneidet wird. Im besonderen Maße gilt dies für die sogenannten Hidden Champions.


Was meinen Sie damit und in welchem Zusammenhang steht dies mit IT-Sicherheit?

Patrick Smolka:
Unter „Hidden Champions“ versteht man im Allgemeinen kleinere und wenig bekannte Unternehmen, die es in ihrem Segment zur Weltmarktführerschaft gebracht haben. Zum Fundament des Erfolgs dieser „Hidden Champions“ gehören Faktoren wie Innovation, Produktqualität und Wirtschaftlichkeit, aber auch höchstes technisches Know-how, störungsfreie Produktionsprozesse sowie ein effizienter Einsatz von Ressourcen. Diese Wettbewerbsvorteile gilt es zu bewahren. IT und IT-Sicherheit werden in diesem Kontext immer mehr zu einem entscheidenden Faktor mit einem besonderen wirtschaftlichen Wert.


Ist dies den Unternehmenslenkern bewusst?

Patrick Smolka:
Im Grundsatz ja. Wir stellen in unseren Gesprächen mit den Unternehmen ein stetig steigendes Bewusstsein für IT-Sicherheit fest. In vielen Köpfen hat bereits ein Wandel in der Wahrnehmung von IT-Sicherheit und ihrer Wertigkeit für den Unternehmenserfolg stattgefunden – vom „notwendigen Übel“ zum echten Wettbewerbsfaktor. Die möglichen negativen Folgen von Datenpannen, Betriebsunterbrechungen und des Verlusts von geistigem Eigentum für den Geschäftserfolg und die Reputation des Unternehmens werden immer deutlicher.


Was sagen Sie Unternehmen, die sich selbst nicht von Cyber-Kriminalität bedroht sehen?

Philipp Lienau: Denen würde ich mit folgenden Fragen begegnen: Betreiben Sie kein Rechenzentrum? Speichern Sie nicht Kundendaten in einer Datenbank? Erfolgt Ihre Produktionssteuerung nicht IT-gestützt und vernetzt? Und wie sieht es im kaufmännischen Bereich aus? Ich bin davon überzeugt, dass danach viele die Einschätzung zur eigenen Cyber-Exponierung überdenken werden.

Wozu raten Sie dann?
Philipp Lienau:
Unsere Erfahrungen zeigen, dass eine umfassende Analyse der Ist-Situation im Bereich der IT-Sicherheit unumgänglich ist. Hierauf aufbauend sollten unter anderem Maßnahmen mit Bezug auf die technische IT-Sicherheit aufgesetzt werden. Für besonders wichtig halten wir auch ein klares Bekenntnis der Geschäftsleitung zum Thema IT-Sicherheit und Datenschutz sowie Awareness-Programme für die Belegschaft. Die Möglichkeit einer Vorsorge für „den Fall der Fälle“ in Form einer Cyber-Versicherung sollte ebenfalls in Betracht gezogen werden. Diese bietet aus unserer Sicht in vielen Bereichen einen wesentlichen Mehrwert für die Unternehmen.


Worin besteht aus Ihrer Sicht der Mehrwert einer Cyber-Versicherung für Industrie-Unternehmen?

Patrick Smolka:
Das hängt vom Deckungsumfang der Police ab. Die Cyber-Versicherung von HDI, nämlich Cyber+, bietet sowohl Versicherungsschutz für Eigen- als auch Drittschäden. Unternehmen können sich also mit Cyber+ gegen Schäden absichern, die sie selbst als Opfer von Computer-Kriminalität erleiden, als auch gegen Schäden, für die sie von Kunden oder Dritten haftbar gemacht werden. Rechnung getragen wird unter anderem auch den persönlichen Verantwortlichkeiten von Unternehmensleitern für IT-Sicherheit. Gerade weil uns dieses Thema besonders wichtig ist, haben wir einen sehr weitgehenden Straf-Rechtsschutz- und einen gesonderten Managerhaftpflicht-Baustein aufgenommen. Meines Erachtens wird dieser Aspekt in der bisherigen Diskussion eher „stiefmütterlich“ behandelt. Daneben werden wichtige Zusatzleistungen standardmäßig geboten, die das Risk- beziehungsweise Krisenmanagement ergänzen.


Welche Zusatzleistungen sind das?

Patrick Smolka:
Dazu zählen unter anderem forensische Untersuchungen, Öffentlichkeitsarbeit im Krisenfall sowie die Unterstützung bei der Wiederherstellung von Daten und Programmen. Solche Leistungen können sehr kostspielig werden, wenn man dafür im Fall eines Datenlecks oder nach einem Datendiebstahl externe Berater anheuern muss. Im Kontext mit einem effizienten unternehmerischen Handeln stellen gerade diese Leistungen aus unserer Sicht einen wesentlichen Mehrwert dar. Hierbei werden im Krisenfall dringend benötigte Leistungen stand-by extern zur Verfügung gestellt, die ansonsten dauerhaft einen erheblichen Aufwand in der Bilanz bzw. Gewinn- und Verlustrechnung des Unternehmens generieren würden. „Sofern also nicht anderweitig ausreichende und qualifizierte Ressourcen diesbezüglich vorgehalten werden, dürfte der Abschluss einer entsprechenden Cyber-Versicherung nicht nur kosteneffizient sein, sondern auch positive Effekte auf die Verantwortlichkeit der Geschäftsleitung für die IT-Sicherheit haben – denn: IT-Sicherheit ist Chefsache!


Welchen Unternehmen bieten Sie Cyber+ an und welche Informationen benötigen Sie?

Philipp Lienau:
HDI hat Cyber+ speziell für die produzierende Industrie entwickelt. Selbstverständlich beschäftigen wir uns auch gern mit Anfragen aus anderen Industriesegmenten. Der Ausgangspunkt für diese spezielle Cyber-Versicherung ist eine sicherheitstechnische Risikoanalyse auf der Basis einer Selbstauskunft des Interessenten. Potenzielle Cyberrisiken können so identifiziert werden. Gleichzeitig dient diese Analyse der Bewertung der IT-Sicherheit. In besonderen Fällen kann ergänzend ein Vertiefungsgespräch in Form eines Risikodialogs sinnvoll sein. Auf diesem Wege profitieren Kunden von der langjährigen Expertise von HDI im Bereich der Informationstechnologie.

 

Stand der Information: April 2016