Cyber-Risikomanagement im Zeitalter von Industrie 4.0

Im Folgenden dokumentieren wir einen Beitrag von Marcel Hanselmann, E+H Einzmann und Hanselmann Versicherungsmakler GmbH in Pforzheim, mit freundlicher Genehmigung des Autors.

Die Welt spricht von „Digitalisierung“ und „Industrie 4.0“. Es geht darum, Wertschöpfungsketten digital zu vernetzen und diese „smarter“ zu machen. Völlig im Schatten dieser faszinierenden Welt stehen allerdings die Cyber-Risiken, die häufig unterschätzt werden. Für Unternehmen wird es daher immer wichtiger, nicht nur zu wissen, was im Ernstfall zu tun ist, sondern präventiv zu handeln.

Beispiel Tesla

Das Beispiel des amerikanischen Automobilherstellers Tesla verdeutlicht, um welche Dimensionen es oftmals geht: 60 Prozent der Beschäftigten des Automobilherstellers sind Software-Entwickler, im klassischen Autobau arbeiten gerade einmal noch 4 Prozent der Beschäftigten. Ein Tesla ist also quasi ein Stück Software auf Rädern und entsprechend anfällig für aggressive digitale Einflüsse. Vor diesem Hintergrund sehen sich Unternehmen heute völlig neuen strategischen Herausforderungen hinsichtlich ihrer Geschäftsmodelle gegenüber. Es ergeben sich neue Fragestellungen im Risikomanagement, beispielsweise wie die IT-technische Absicherung von Produktionsnetzen erfolgen soll. Auch produzierende Betriebe müssen heute IT-Fragestellungen beantworten, die früher nur klassische Software- bzw. IT-Betriebe auf der Agenda hatten.

Erfolg nur mit reibungslos funktionierender IT möglich

Im Rahmen der Digitalisierung beziehungsweise Industrie 4.0 hängt ein erfolgreiches Geschäftsmodell immer enger mit einer reibungslos funktionierenden IT zusammen, Daten spielen eine elementare Rolle. Cyberbedingte Betriebsunterbrechungen, Datenverluste oder Haftungsfälle können schmerzhafte monetäre Schäden nach sich ziehen, bis hin zu immensen Reputationsverlusten. Dass diese Szenarien nicht bloß theoretischer Natur sind, zeigen auch beispielhaft folgende Zahlen: Bereits 2014 existierten 250 Millionen Schadprogramme weltweit und 300.000 Varianten kommen täglich neu dazu. Zudem gibt es schätzungsweise 60 global agierende Cybercrime-Organisationen. Cybercrime ist die weltweit am schnellsten wachsende Verbrechenssparte. 50 Prozent der Unternehmen in Deutschland hatten in 2013 oder 2014 einen Spionageangriff oder einen Verdachtsfall. Dabei stand vor allem der Mittelstand im Fokus, wobei wiederum die Branchen Automobil-, Luftfahrt- und Schiffszulieferer/-bauer sowie der Maschinenbau am stärksten in Mitleidenschaft gezogen wurden.
Bleibt also festzuhalten, dass die Ursache von Cybervorfällen häufig in organisierter Kriminalität begründet ist. Opfer solcher Angriffe sind – anders als häufig angenommen – nicht nur Großunternehmen, sondern gerade eben mittelständische Betriebe. Häufig liegt dies auch darin begründet, dass deren IT-Budgets zur Absicherung geringer sind als jene von Großkonzernen. Durch die steigende Abhängigkeit von Unternehmen und Wertschöpfungsketten von Informationstechnologien steigt auch die Gefährdung von innen, sei es durch vorsätzliche oder aus Unachtsamkeit verursachte Schäden eigener Mitarbeiter oder Partner.

Die entstehenden Schäden sind vielfältig

Hierbei handelt es sich um Schäden, die beim betroffenen Unternehmen selbst entstehen. Zu nennen sind Sachschäden, bei denen durch Software-Fehlsteuerung oder -Manipulation Schäden an der Hardware bei automatisierten Produktionssystemen entstehen. Weiterhin folgen Cybervorfällen meist Kosten durch Betriebsunterbrechung. Im Durchschnitt dauert es über 90 Tage, bis der Geschäftsablauf komplett im Normalbetrieb nach einem Cybervorfall wieder funktioniert. Weitere Kostenpositionen sind Lösegeld, Kosten für die Forensik (auch zur gerichtssicheren Aufklärung von Vorfällen), Kosten für die Wiederherstellung der Systeme bzw. der damit verbundenen Mehrkosten, Kosten für Krisenmanagement/ -kommunikation bis hin zu Rechtsberatungskosten (zur juristischen Bewertung der Situation/straf- oder zivilrechtlichen Relevanz). Letztlich sind im Bereich der Eigenschäden noch die – sicherlich schwer quantifizierbaren – immateriellen Kosten zu nennen, wie zum Beispiel Kosten aufgrund von Image-/Reputationsschäden, Kundenverlusten oder Know-how-Abfluss.

Drittschäden

Drittschäden sind solche, die bei fremden Dritten, meist Partnern oder Kunden entstehen, aufgrund gesetzlicher oder vertraglicher Verpflichtungen. Sicherlich steht in vielen Bereichen die Rechtsprechung noch am Anfang. Analog dazu sind Sachschäden zu nennen, die bei Dritten entstehen können. Des Weiteren sind Personenschäden aufzuführen, zum Beispiel dann, wenn Mitarbeiter durch fehlgesteuerte automatische Produktionssysteme verletzt oder gar getötet werden. Auch gesetzlich oder vertraglich geschuldete Strafzahlungen gehören in die Reihe der Risiken und Schäden. Während gesetzliche Strafzahlungen in Deutschland aktuell noch eine eher untergeordnete Rolle spielen, nehmen gerade im Zuliefererbereich die vertraglichen Verpflichtungen bei Verlust von fremdem geistigem Eigentum (Geheimnisse/Daten von Partnern) oder Strafzahlungen bei gestörten Just-In-Time-Lieferketten immer mehr zu. Die Schadenshöhe bei Cybervorfällen liegt laut einer Studie von Kaspersky aus 2015 bei durchschnittlich ungefähr 70.000 Euro (bei Kleinstunternehmen) und 1,5 Millionen Euro bei Firmen ab 1.500 Mitarbeitern.

Mehr über Arbeitgeber im Enzkreis finden Sie auf unserer Themenseite.