Der beste Schutz vor Cyber-Attacken ist vermutlich, niemals zu denken „Es trifft mich nicht“. Das Bewusstsein der realen Gefahr ist der erste Schritt hin zu einem wirksamen Schutz. Der zweite Schritt ist, sich klarzumachen, dass nicht nur anonyme Schadsoftware eine Bedrohung darstellt, sondern dass auch konkrete Personen, Mitarbeiter, Lieferanten, Subunternehmer gefährlich werden können.
Gefahr von innen
„Böswillige Insider“ nennt Claus Herbolzheimer, Partner bei der Unternehmensberatung Oliver Wyman, solche Gefährder. „Gerade in komplexeren Unterauftragnehmer-Verhältnissen ist häufig nicht sichergestellt, dass alle Beteiligten die entsprechenden Standards einhalten und keine Eigeninteressen verfolgen“, sagt der Experte für Cyber-Risikomanagement. „Es ist deshalb wichtig, klare Mindestanforderungen für Dienstleister und deren Unterauftragnehmer zu definieren und die Partner zur vertraglichen Einhaltung zu verpflichten.“
Darüber hinaus gelte es, eigene und fremde Mitarbeiter sorgfältig auszuwählen sowie kontinuierlich zu Sicherheitsstandards und möglichen Risiken zu trainieren. Um diese Trainings im Schadensfall nachweisen zu können, müssen sie sauber dokumentiert sein.
In Zeiten des globalen Handels kaufen nicht nur große, sondern auch kleine und mittlere Unternehmen auf der ganzen Welt ein und sind dabei mit unterschiedlichen Sicherheitsstandards konfrontiert. „In vielgliedrigen Lieferketten suchen Täter nach dem jeweils schwächsten Glied“, betont Thomas Kremer, Vorstand für Datenschutz, Recht und Compliance bei der Deutschen Telekom AG. „Deshalb ist die Konsequenz klar: Auch in globalen Supply Chains müssen alle Prozesse und Architekturen von Anfang bis Ende das Thema Sicherheit mitdenken.“ Und das Mitdenken fängt bereits beim Einkauf an. Schon seit einigen Jahren verwendet die Telekom in ihren Einkaufsverträgen einen Cybersecurity-Annex, der ihre Anforderungen an das Thema Sicherheit definiert. „Immer mehr Zulieferer machen freiwillig mit und helfen so, die Einkaufsketten abzusichern“, berichtet Kremer.
Um das Thema voranzutreiben, hat sich die Telekom mit anderen Großunternehmen und Konzernen zudem zur „Charter of Trust“ zusammengeschlossen. „Genau das wollen wir mit unseren Partnern erreichen: Sicherheit in der weltweiten Lieferkette“, betont Kremer. „So entsteht eine Art globaler Quasi-Standard.“ Waren bisher überwiegend deutsche Firmen beteiligt, soll nun mit Mitsubishi Heavy Industries bald das erste asiatische Unternehmen Mitglied der Initiative werden.
Gesetzliche Anforderungen
Einen Mindestschutz in Einkaufs- und Lieferverträgen schreibt sogar der Gesetzgeber vor, allerdings nicht direkt zu Zwecken der Netzsicherheit, sondern – wie könnte es anders sein – aus Datenschutzgründen. „Im Regelfall werden in Lieferantenbeziehungen personenbezogene Daten verarbeitet, sodass schon aus diesem Grund die erforderlichen Sicherheitsmaßnahmen nach Datenschutz-Grundverordnung (DS-GVO) zu vereinbaren sind“, sagt Dr. Christiane Bierekoven, Rechtsanwältin und Fachanwältin für IT-Recht in der Kölner Kanzlei Ebner Stolz. Auch das neue Geschäftsgeheimnisgesetz verpflichtet ein Unternehmen und seine Partner, Lieferanten und Subunternehmer zur Geheimhaltung bestimmter Informationen.
Beide Vorgaben des Gesetzgebers setzen einen wirksamen Schutz vor Angriffen aus dem Netz voraus. Denn wer seine Daten und Geschäftsgeheimnisse nicht wirksam vor dem Zugriff von innen und außen sichert – und zwar technisch und rechtlich –, ist bei Schadensereignissen in der Haftung; für eigene Schäden sowieso, aber auch für Schäden bei Kunden, Geschäftspartnern und Dritten.
Versicherungsschutz
Prävention ist das eine, das andere ist ein angemessener Versicherungsschutz für den Fall der Fälle. Was viele nicht wissen: Die „klassische“ Sachversicherung deckt das Risiko von Cyber-Schäden nur unzureichend ab. „Das ist nur der Fall, wenn ein Sachschaden auftritt, also etwa eine Sache beschädigt oder zerstört wird“, erläutert RA Bierekoven. „Cyber-Angriffe verursachen jedoch vielfach gar keine Sachsubstanzverletzungen, sondern immateriellen Schaden, und dieser wird von ‚klassischen‘ Sachversicherungen nicht abgedeckt.“
Abhilfe schafft eine Cyber-Versicherung, die die finanziellen Folgen solcher Attacken absichert. Auch der Datenverlust durch menschliche oder technische Fehler oder ein Verstoß gegen die DS-GVO kann versichert werden. Doch alles hat seinen Preis und so sollten Unternehmen genau überlegen, was sie wirklich brauchen.
Individuelle Gefährdungslage
Die Gefährdungen, die für die Vertraulichkeit, Integrität und Verfügbarkeit der Daten bestehen, können von Unternehmen zu Unternehmen unterschiedlich sein. Unternehmensberater Herbolzheimer sagt zugespitzt: „Am wichtigsten ist es, ein klares Verständnis darüber zu erlangen, welches spezifische Bedrohungspotenzial man hat: Was sind die wirklich schützenswerten Daten und Informationen, die sogenannten Kronjuwelen? Wo liegen diese, für wen könnten sie interessant sein und wie sehen potenzielle Angriffe darauf aus?“
Cyber Security
Und auch die möglichen Folgen, wenn sich eine solche Gefahr realisiert – ein größerer Datenverlust etwa oder eine längere Betriebsunterbrechung –, sind nicht in allen Betrieben und Branchen gleich, sondern müssen unternehmensspezifisch identifiziert werden. „Wenn er seinen individuellen Versicherungsbedarf ermittelt hat, sollte der Versicherungsnehmer die Allgemeinen Versicherungsbedingungen (AVB) des jeweiligen Versicherers auf die Abdeckung dieser Risiken hin überprüfen“, rät Anwältin Bierekoven.
Checkliste für Cyber-Versicherung
Dabei können die AVB Cyber helfen: Diese Musterbedingungen wurden vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erstellt und funktionieren gut als Checkliste. „Entscheidend ist es zu erkennen, welche Module der AVB Cyber für das jeweilige Unternehmen überhaupt von Relevanz sind“, so Bierekoven. „Zudem stellen die AVB Cyber einen sehr guten Vergleichsmaßstab dar, um Versicherungsangebote qualitativ besser miteinander vergleichen zu können.“ Was die Musterbedingungen aktuell nicht abdecken: Lösegelder aus Erpressungen von Netzpiraten und den Ausfall eines externen Dienstleisters, etwa des Cloud-Anbieters.
Technischer Schutz gegen Cyber-Angriffe
Beispiel Deutsche Telekom
Die Deutsche Telekom AG ist in der Prävention und Abwehr von Cyber-Attacken äußerst rege. Thomas Kremer, Vorstand für Datenschutz, Recht und Compliance bei dem Bonner Konzern, erläutert den technischen Aufwand: „Unser integriertes Cyber Defense und Security Operation Center (SOC) schützt seit 2017 die Netze und die IT der Telekom. Es ist das größte seiner Art in Europa. Das SOC sichert gleichzeitig mehrere DAX-30-Unternehmen und eine Vielzahl weiterer Firmen. 240 Experten wehren rund um die Uhr Attacken ab. Sie analysieren, welche Absicht oder Angriffsziele die Hacker haben und untersuchen ihre Vorgehensweise beziehungsweise Taktik, die sogenannte Threat Intelligence. Bei festgestellten kriminellen Handlungen werden zusätzlich IT-Forensiker eingebunden. Sie rekonstruieren die erkannten Angriffe und sichern Beweise.“
Im Regelfall werden in Lieferantenbeziehungen personenbezogene Daten verarbeitet, sodass schon aus diesem Grund die erforderlichen Sicherheitsmaßnahmen nach Datenschutz-Grundverordnung zu vereinbaren sind.“
Dr. Christiane Bierekoven
Was sind die schützenswerten Daten und Informationen, die sogenannten Kronjuwelen? Wo liegen diese, für wen könnten sie interessant sein, wie sehen potenzielle Angriffe aus?“
Claus Herbolzheimer
In vielgliedrigen Lieferketten suchen Täter nach dem jeweils schwächsten Glied.“
Thomas Kremer
Anja Falkenstein, Rechtsanwältin, Karlsruhe
