Geplantes IT-Sicherheitsgesetz

Unternehmen fürchten um ihr Image

Stefan Sievers, seit 2010 Underwriting Manager Specialty Lines, ist seit 2008 bei der britischen Versicherungsgesellschaft Hiscox beschäftigt. Zu seinen Verantwortlichkeiten zählen derzeit die Produktbereiche Kidnap & Ransom, Cyber Risk Management und das Krisenassistance Cover. Davor war der studierte Wirtschaftswissenschaftler sieben Jahre für die Mannheimer Versicherung AG tätig. Dort fungierte er unter anderem als Firmenkundenberater für die Ausschließlichkeitsorganisation. Nach seinem Wechsel zu Hiscox startete Sievers als Underwriter für Art und Private Clients.
Unter deutschen Unternehmen kommt Unruhe auf. Im Bundestag soll schon bald über ein IT-Sicherheitsgesetz, das die Meldepflicht von Cyberangriffen für deutsche Unternehmen vorsieht, abgestimmt werden. Firmen befürchten dadurch vor allem Imageschäden.

Bundesinnenminister Thomas de Maizière präsentierte im August 2014 seinen Gesetzesentwurf zur Erhöhung der Sicherheit von IT-Systemen in Deutschland. Insbesondere die viel diskutierte Meldepflicht von Cyberangriffen ließ deutsche Unternehmen aufhorchen. Zusätzlich zu den unkalkulierbaren Schäden eines solchen Angriffs fürchten sie Imageschäden, wenn Cyberangriffe öffentlich werden und einen steigenden bürokratischen Aufwand.

Die von Unternehmen ergriffenen Präventionsmaßnahmen sind bisher vielfach nicht an die akute Bedrohungslage angepasst.?
Die von Unternehmen ergriffenen Präventionsmaßnahmen sind bisher vielfach nicht an die akute Bedrohungslage angepasst.?
Foto: Hiscox

Die Sorgen der Wirtschaft vor Überregulierung sind zwar verständlich. Allerdings ist Cyber-Security eine zentrale Herausforderung der Zukunft und nur mit umfassendem Risikomanagement zu bewältigen. Die von Unternehmen ergriffenen Präventionsmaßnahmen sind bisher vielfach nicht an die akute Bedrohungslage angepasst. Der Vorstoß der Politik, dem Bereich Cyber-Security die längst überfällige Aufmerksamkeit zukommen zu lassen, ist somit positiv zu bewerten. Unternehmen, die auf Cyberrisiken nicht adäquat vorbereitet sind, müssen verstehen: Es geht nicht darum, ob ein signifikantes Sicherheitsproblem auftritt, sondern nur darum, wann es passiert.

KMU gefährdeter denn je

Kleine und mittelständische Unternehmen (KMU) sind mehr denn je von Cyberkriminalität betroffen. Dies belegen auch die aktuellen Zahlen des Bundeskriminalamts und Bundeslageberichts für 2013. Es handelt sich dabei hauptsächlich um Hackerangriffe, Phishing oder Ausspähen und Abfangen von Daten.

Die zunächst banal klingenden Hackerangriffe bedrohen KMU nicht selten in ihrer Existenz. Beispielsweise hat eine sogenannte "Denial of Service"-Attacke auf die Homepage eines mittelständischen Online-Vertriebs weitreichende Konsequenzen. Da mehrere Tage lang keine Bestellungs- und Zahlungsvorgänge möglich sind, verzeichnet das Unternehmen zum einen spürbare Umsatzeinbrüche, zum anderen wandern frustrierte Kunden ab und der Online-Vertrieb muss sich mit einem deutlichen Imageverlust auseinandersetzen.

Um die alte Reputation wieder herzustellen und neue Kunden zu gewinnen, muss das Unternehmen zusätzliche Mittel aufwenden. Die Kosten für eine Webseitenblockade können sich letztendlich auf insgesamt 450.000 Euro belaufen und auch der Imageschaden kann bereits vor einer Pflichtmeldung an das Bundeskriminalamt eintreten.

Verstärkte Prävention ist der beste Schutz vor Cyberrisiken

De Maizières Gesetzentwurf knüpft hier an: Denn die Schäden durch Angriffe auf das Internet seien allemal höher als die Vorsorgekosten, so der Innenminister. Das IT-Sicherheitsgesetz kann folglich tatsächlich als eine Hilfe zum Selbstschutz verstanden werden. Denn ist ein kleines oder mittelständisches Unternehmen von vornherein vor Cyberrisiken abgesichert, muss es weder die Meldepflicht, noch die Schäden eines Hackerangriffs fürchten. Verstärkte Prävention ist schließlich der beste Schutz gegen Cyberangriffe und für das Unternehmensimage. (bw)