„Lippenbekenntnisse reichen hier nicht aus“

Dünn: Hierzu möchte ich gerne etwas ergänzen: Wir haben vor einiger Zeit über 70 Stadtwerke interviewt – und auf der IT-Ebene nach 7 Wochen aufgehört, weil wir gemerkt haben, dass wir mit den Ressourcenentscheidern sprechen müssen, da um etwas bewirken zu können, eine ausreichende Budgetausstattung unerlässlich ist. Unsere Erkenntnis daraus lautet: Man muss – ich sage das mal so verschärft – wegkommen von einer „Techi-Diskussion“ hin zu einer Risikomanagement-Diskussion in den Unternehmen – und zwar aus einem wichtigen Grund: Nach dem deutschen Gesellschaftsrecht sind die Geschäftsführer haftbar zu machen, wenn es zu IT-Lecks kommt. Man erinnere sich: Krankenhäuser mussten auf einmal Bitcoins zahlen – das gab es bislang noch nie. Und wenn eine Chemotherapie nicht erfolgen kann, weil die Patientendaten fehlen, hat die Führungsebene ein riesiges Problem. Dann fragt nicht nur der Aufsichtsratsvorsitzende wie das passieren konnte.

Sieverding: Ich kann Herrn Dünn nur beipflichten: Man muss die Cyberversicherung in der Tat auf eine Managementebene bringen und aus einer Risikosicht argumentieren. Das hat unsere vertriebliche Erfahrung seit 2011 gezeigt. Daher ist die Cyberversicherung weniger ein klassisches Thema für den Produktverkauf, sondern definitiv ein Thema für „Risikoberater“, die vor dem Abschluss einer Versicherung eine sorgfältige Cyber-Risikoanalyse mit dem Kunden vornehmen. Zum Glück habe ich seit langer Zeit keinen IT-Leiter mehr getroffen, der sagt: „Ich kann garantieren, dass unser IT-System zu 100 Prozent sicher ist“. Man kann IT-Sicherheit nicht über rein technische und organisatorische Maßnahmen erreichen. Es wird immer neue Angriffswege geben, die wir heute noch nicht kennen. Man muss sich also immer auch der Frage stellen, was passiert, wenn jemand Unbefugtes trotz hochgezogener Burgmauern in mein System kommt.

Wie sollten Unternehmen agieren, wenn es doch einmal zum Ernstfall kommt?

Sieverding: Hier gibt es ein besonders positives Beispiel aus der Praxis, das in der Presse viel Erwähnung gefunden hat: Das Krankenhaus Neuss war schon immer ein digitaler Vorreiter unter den Krankenhäusern. Sie mussten sich einem Standard-Angriff mit einem Krypto-Trojaner erwehren, der sie ziemlich hart getroffen hat. Das Klinik-Management ist damit aber offensiv umgegangen und das Haus ist gestärkt aus dieser Krise hervorgegangen. Sie haben ihre Schwachstelle erklärt, nachgebessert und stehen jetzt besser da als vorher. In solchen Cyber-Krisen können wir als Versicherer eine wichtige Rolle spielen und mit der Soforthilfe durch IT-Experten den Schaden von Anfang an minimieren.

Dünn: Das Thema Krisenkommunikation kommt leider bisher viel zu wenig vor. Die nächsten Stunden nach einem Angriff sind entscheidend, um die Reputation zu retten!

Schmidt: Zum einen das, zum anderen muss man mit dem Trugschluss aufräumen, dass es reicht, sich alle zwei bis drei Jahre mit dem Thema zu befassen. Jährliche Stresstests sind leider nicht an der Tagesordnung. Und man schaut da oft in ungläubige Gesichter. Ich kann nur davor warnen, die IT-Sicherheit als einmaliges Investment zu betrachten, um danach die Zügel schleifen zu lassen. Es ist unsere Beratungsverantwortung darauf hinzuweisen.

Hier geht’s zum zweiten Teil des Roundtables.

• <
• 1
• 2
• 3
• 4
• zur Startseite
• >