Bestimmungen. Geschäftsführer können für die Einhaltung dieser Bestimmungen persönlich haftbar gemacht

Transkript

1 ARTUS NEWS Spezialausgabe Leitartikel Cybercrime Cybercrime Was bedeutet das für die Firmen-Versicherungen? Cybercrime Computerkriminalität in der Interpretation des Bundeskriminalamtes (BKA) bezieht sich auf spezielle Phänomene und Ausprägungen dieser Kriminalitätsform, bei denen Elemente der elektronischen Datenverarbeitung (EDV) wesentlich für die Tatausführung sind. Diese Art von Kriminalität wächst weltweit in einem rasanten Tempo und deshalb steigt auch der Bedarf an Versicherungsdeckungen für Risiken des Datenverlustes rapide an. Cyberrisiken eine Herausforderung für die Versicherungswirtschaft. Die Münchener Rückversicherung hat in diesem Zusammenhang sechs Gefahrenquellen definiert: Durch die Globalisierung und Vernetzung bieten Verbindungen über das Internet weltweiten Zugriff auf Daten, Systeme und ganze Organisationen. Ein großräumiger Ausfall des Internets kann deshalb zu weitreichenden Betriebsunterbrechungen führen, da viele Unternehmen im Alltagsgeschäft vom Netz abhängig sind. Ein weiteres Risiko sind Kritische Infrastrukturen, insbesondere der ansteigende Einsatz von Remote Access birgt ein erhöhtes Gefahrenpotenzial. Deshalb gilt es unbefugten Fernzugriff sowie den Infrastrukturausfall zu verhindern und zu versichern. Beim Thema Compliance geht es insbesondere um die Einhaltung datenschutzrechtlicher sowie aufsichtsrechtlicher Bestimmungen. Geschäftsführer können für die Einhaltung dieser Bestimmungen persönlich haftbar gemacht werden. Insbesondere die Dienstleistungen Outsourcing und Cloud Computing werden von der Münchener Rück besonders skeptisch beurteilt. Hier kann es bei Cyberangriffen um einen enormen Verlust von Kundendaten gehen. Die Sozialen Netzwerke bergen die Gefahr von Persönlichkeitsrechtsverletzungen sowie Identitätsdiebstahl, aber auch Cybermobbing. Cyberattacken haben vielfältige Facetten und umfassen unter anderem Betrug, Diebstahl, Erpressung über Spionage, Schädigung von Vermögenswerten. Unterschieden wird hier bei den Versicherern zwischen materiellen und immateriellen Schäden. Wie Sie erkennen können, ist die Cyberkriminalität zu einer sehr ernst zu nehmenden Bedrohung geworden. Aufgrund der Aktualität dieses Themas freuen wir uns sehr, dass wir Herrn Jörg Ziercke, Präsident des Bundeskriminalamtes, dafür gewinnen konnten, exklusiv für die ARTUS News eine Einschätzung aus seiner beruflichen Sicht zu diesem brisanten Thema zu geben. Ihr Friedrich Ganz Cybercrime eine Gefahr für Bürger, Wirtschaft und Staat Ein Kommentar des Präsidenten des Bundeskriminalamtes Die moderne Gesellschaft ist weltweit vernetzt, wir kommunizieren in sekundenschnelle mit Bekannten und Geschäftpartnern rund um den Globus und sind nahezu immer online. Unsere Einkäufe oder Bankgeschäfte erledigen wir von zuhause aus über das Internet rund um die Uhr und tagtäglich. Nach Erhebungen des Branchenverbandes BITKOM nutzen mittlerweile 76 % der Bundesbürger ab 14 Jahre regelmäßig das Internet. Von dieser Entwicklung profitiert auch die Wirtschaft: 92 % aller Internetnutzer in Deutschland haben in den vergangenen zwölf Monaten im Internet eingekauft, deutsche Unternehmen erwirtschaften mittlerweile jeden sechsten Euro über Internetgeschäfte. Mit diesen positiven Möglichkeiten der Internetnutzung gehen allerdings auch negative Begleiterscheinungen einher: Die moderne Informations- und Kommunikationstechnik bietet Straftätern vielfältige neue Tatgelegenheiten. Dies spiegelt sich bereits deutlich in der Zahl der bekannt gewordenen Straftaten wider. Themen Leitartikel Cybercrime eine Gefahr für Bürger, Wirtschaft und Staat Datenschutz-Informationspflicht IT-Sicherheit Cyber-Versicherung Cybercrime bedroht den Mittelstand Aktuelle Risk Management Information Seite 1 Seite 1 Seite 3 Seite 4 Seite 5 Seite 7 Seite 8 1

2 Im Jahr 2007 wurden in der Polizeilichen Kriminalstatistik rund Fälle von Cybercrime erfasst, 2011 waren es fast Der polizeilich registrierte, durch Cybercrime verursachte Schaden, hat sich in diesem Zeitraum auf über 71 Millionen Euro mehr als verdoppelt. Allerdings werden längst nicht alle Fälle der Polizei bekannt, ein großes Dunkelfeld ist zu vermuten. Straftaten werden durch Geschädigte häufig nicht erkannt oder nicht angezeigt. Vor allem Unternehmen verzichten oftmals aus Furcht um ihre Reputation auf eine Anzeige. Online Banking, Kreditkarten oder Zugänge zu ecommerce-plattformen Kriminelle sind an allen Arten von Daten interessiert, mit denen sie letztlich zu Lasten Dritter und zum eigenen Vorteil Verfügungen im Internet vornehmen können. Doch nicht nur Privatpersonen, auch Wirtschaftsunternehmen sind von Cybercrime betroffen. In jüngster Zeit vergeht kaum mehr eine Woche, in der nicht darüber berichtet wird, dass Server oder Datenbanken global agierender Firmen gehackt und ausgespäht oder Kritische Infrastrukturen angegriffen wurden. Wirtschaftsunternehmen sind heute in hohem Maß auf das Internet als Kommunikations-, Logistik-, Steuerungsoder Vertriebsplattform angewiesen. Dies nutzen die Täter beispielsweise für systematische, koordinierte An griffe auf Unternehmensserver (DDoS-Attacken) mittels sogenannter Botnetze. Angegriffene Server brechen mitunter unter der Last der großen Anzahl paralleler Anfragen zusammen, Dienstleistungen sind dann nicht mehr verfügbar. Die damit einhergehenden Schäden und Reputationsverluste sind beträchtlich. Solche Angriffe oder die Androhung derartiger Attacken sind oftmals verbunden mit Erpressungen. Im Zuge der immer weiter voranschreitenden Globalisierung des Wirtschaftslebens und des damit wachsenden Konkurrenzdrucks nimmt auch die Gefahr der Ausspähung von Geschäfts- und Betriebsgeheimnissen zu. Deutschland ist als Standort für die Entwicklung von Hochtechnologie das Ziel von Wirtschaftsspionage und Konkurrenzausspähung, die man heute vom Schreibtisch aus betreiben kann. Auch im Bereich der Spionage nutzen Straftäter moderne Informations- und Kommunikationstechnik zu immer neuen Angriffsvarianten auf IT-Systeme. So werden beispielsweise über das World-Wide-Web Trojaner verschickt, die die Computer-Netzwerke von Firmen infizieren und anschließend deren geistiges Eigentum für die Späher sichtbar und abrufbar machen. Der Verlust von Forschungsergebnissen oder Firmengeheimnissen ist für die betroffenen Unternehmen ein unwiederbringlicher materieller und immaterieller Schaden, der existenzbedrohend sein kann. Ein wesentliches Merkmal der Cybercrime ist eine hohe Dynamik: Die Täter sind innovativ, anpassungsfähig, verfügen über das erforderliche Know-how und nutzen neueste Technologien. Die Gefahren und Schäden in diesem Bereich werden in Folge der technischen und gesellschaftlichen Entwicklungen zukünftig weiter zunehmen. Für die Sicherheitsbehörden sind Detailkenntnisse über das aktuelle Kriminalitätsgeschehen von großer Bedeutung, um wirksame Schutzkonzepte erarbeiten zu können. Die Zusammenführung und Analyse entsprechender Informationen, ein koordiniertes Vorgehen gegen Täter, die oftmals auf gleiche Art und Weise eine Vielzahl von Wirtschaftsunternehmen angreifen, ist nur dann möglich, wenn diese Vorgänge der Polizei zur Kenntnis gegeben werden. Das Verschweigen von Übergriffen auf Unternehmen häufig aus Angst vor Imageschäden ist daher der falsche Weg. Wer keine Anzeige erstattet, schützt nicht sein Unternehmen, sondern die Täter. Grundsätzlich müssen sich alle, die das Internet nutzen, der Notwendigkeit eines sensiblen Umgangs mit Daten und Informationen bewusst sein. Unternehmen benötigen wirkungsvolle Sicherheitsstrategien für den Schutz ihrer IT. Informationen hierzu bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) an. Oberstes Ziel muss sein, Gefahren möglichst frühzeitig erkennen und verhindern zu können. Jörg Ziercke, Präsident des Bundeskriminalamtes 2

3 Datenschutz-Informationspflicht Datenschutz-Informationspflichten bei Datenpannen nach 42 a BDSG Datenklau zieht zahlreiche Konsequenzen nach sich. Die strafrechtliche Bedrohung betrifft dabei das Management persönlich. Eine kurze Zusammenfassung der rechtlichen Situation: Wenn es im Unternehmen trotz aller Sicherheitsmaßnahmen doch zu einem Verlust von schutzwürdigen Daten kommt oder kommen könnte, ist das Unternehmen verpflichtet, sowohl die Datenschutzbehörde als auch die möglichen Betroffenen zu informieren. Die Meldepflicht nach 42 a BDSG wurde 2009 eingeführt und folgt einem Vorschlag der Europäischen Kommission. In den USA gilt das Security Breach Notification Law schon deutlich länger. Die Informationspflicht greift nur bei einem Verlust von besonders schutzwürdig definierten Daten. Dies sind: sog. sensible Daten nach 3 Abs. 9 BDSG personenbezogenen Daten, welche einem Berufsgeheimnis unterliegen Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeit beziehen personenbezogene Daten zu Bankoder Kreditkartenkonten Keine Rolle spielt es, wie die Daten in die Hände Dritter gelangen, solange dies unrechtmäßig geschah. Neben der Unrechtmäßigkeit durch Dritte, müssen schwerwiegende Beeinträchtigungen für die Rechte oder Interessen der Betroffenen drohen. Das betroffene Unternehmen hat in der Praxis zu prüfen, ob in dem vorliegenden Fall ein meldepflichtiger Datenverlust eingetreten sein könnte. Dies könnte der Fall sein, sofern anhand der vorliegenden Anhaltspunkte mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann, dass Daten unrechtmäßig in die Hände Dritter gelangt sind. Die Offenlegungspflicht gilt gegenüber der zuständigen Datenschutz-Aufsichtsbehörde und den Betroffenen. Diese Information hat unverzüglich zu erfolgen. Im Rahmen der Benachrichtigung hat das Unternehmen die Pflicht, über die Art der unrechtmäßigen Kenntniserlangung zu informieren und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen zu geben. Die betroffene Öffentlichkeit ist durch direkte Information der Betroffenen oder bei einer großen Menge an Betroffenen, durch Anzeigen, die mindestens eine halbe Seite in mindestens zwei bundesweit erscheinenden Tageszeitunge umfassen, zu informieren. Neben dem internen Aufwand und den Kosten für die Information der Betroffenen, drohen aktuell Bußgelder nach 43, Abs. 2 des Bundesdatenschutzesgesetzes von bis zu EUR und man geht von einer deutlichen Verschärfung der Rechtslage durch die Einführung der EU-Datenschutz-Grundverordnung gegen Ende 2014 aus. Wie in allen strafrechtlich relevanten Ermittlungen, richten sich diese gegen die verantwortlichen Personen im Unternehmen, also Vorstände, Geschäftsführer, aber ggf. auch gegen IT-Leiter und Datenschutzbeauftragte. Deshalb empfehlen wir Ihnen Ihre Straf-Rechtsschutzversicherung zu überprüfen und ggf. zu aktualisieren. Für weitere Informationen steht Ihnen Ihr Kundenbetreuer der ARTUS GRUPPE oder der Verfasser jederzeit gerne zur Verfügung. Johannes Holzinger Geschäftsführer AKO Versicherungsmakler GmbH & Co. KG jh.ako@artus-gruppe.com Telefon:

4 IT-Sicherheit Wer gewinnt im Katz-und-Maus-Spiel IT-Sicherheit? IT-Sicherheit ist seit Jahren ein wichtiges Thema in vielen Unternehmen. Doch nicht nur sie rüsten auf auch die Gegenseite wird ständig professioneller. Wer aber ist der Gewinner in diesem Katz-und-Maus-Spiel? Um diese Frage zu beantworten, müssen wir das Problem aus zwei verschiedenen Blickwinkeln betrachten. IT-Sicherheit bezieht sich grundsätzlich auf zwei Bereiche: Cybercrime und Cyberwar. Bei ersterem versuchen kriminelle Banden mit IT-Mitteln von möglichst vielen Nutzern Geldbeträge zu erbeuten. In jüngerer Vergangenheit ist der Organisationsgrad dieser Akteure permanent gestiegen und die eingesetzten Phishing-Mails, Viren und Trojaner werden immer ausgefeilter. Dies führt dazu, dass die klassische Abwehrmaßnahme gegen diese Bedrohung ein guter Virenschutz in den letzten Jahren an Effektivität verloren hat. Erst neueste Betriebssysteme wie Windows 8 oder Apples ios bieten hier einen Ausweg. Betrachten wir also den Status quo, dann sind wir drauf und dran, den Kampf gegen die organisierte Cybercrime-Mafia zu verlieren. Hinzu kommt, dass auch gezielte Angriffe aus diesem Umfeld zu beobachten sind. Kein Mausklick im Internet ist kostenlos; wir alle bezahlen die scheinbar unentgeltlichen Services von Google und Co. mit Informationen über unseren Lebensstil und unsere Persönlichkeit. Diese Informationen, verknüpft zu einem umfassenden Profil, lassen Online-Werbeplätze erst wertvoll werden. Man kann also mit Fug und Recht behaupten, dass diese Daten die neue Währung im Internet darstellen. Ein Unternehmen, das einen virtuellen Goldschatz an Kundendaten hortet, sieht sich heute zunehmend hochklassigeren Angriffen ausgesetzt. Die Liste der Unternehmen, denen Kundendaten gestohlen wurden, liest sich wie das Who is Who der Onlinewelt und wird ständig länger. Und während die IT-Sicherheitsabteilungen alle Hände voll zu tun haben, diese Lücken in der Verteidigung gegen Cybercrime zu schließen, zeichnet sich mehr und mehr eine neue Bedrohung ab: Staatliche und halbstaatliche Akteure rüsten Abteilungen für den Cyberwar auf. Um diese Einheiten auszubilden, ist Training notwendig entsprechend ist Industriespionage die neue Beschäftigungstherapie für Hackergruppen. Das bedeutet, auch im Bereich der Ausspähung steht die IT auf womöglich verlorenem Posten inmitten einer sich fortlaufend professionalisierenden und wachsenden Angreiferschar. Wohin wird diese Entwicklung führen? Und was ist die Lösung? Eines der meistgebrauchten Statements in der IT-Sicherheitsbranche lautet: 100 Prozent Sicherheit gibt es nicht. Diese Aussage ist korrekt. Und dennoch wird in der IT das zur Verfügung stehende Sicherheitsbudget fast ausschließlich für Maßnahmen zur Verhinderung von Vorfällen ausgegeben. Wir bauen also hohe Zäune, um unsere IT-Systeme abzuschotten, und mit Blick auf das Motto Defense in Depth errichten wir anschließend hinter dem Zaun auch noch eine Mauer. Doch inwieweit ist all das überhaupt sinnvoll? Sind Zäune und Mauern der einzige Weg zum Schutz unseres Werksgeländes? Allzu gerne werden die Abschreckung durch hohe Aufklärungsquoten, die zielgerichtete Erweiterung der Abwehrmaßnahmen durch gute Angriffsdetektion und die Schadensbegrenzung durch schnelle Reaktion auf Angriffe von den IT-Sicherheitsabteilungen vernachlässigt. Der nächste Level in der IT-Sicherheit ist die Abkehr von einer rein präventionsgetriebenen Planung. Wir benötigen eine IT-Sicherheitsstruktur, die die Möglichkeit von erfolgreichen Angriffen nicht nur theoretisch anerkennt, sondern ganz konkret und praktisch Vorkehrungen dagegen trifft. An dieser Stelle kommen die Versicherungsgesellschaften ins Spiel: Durch geeignete Angebote kann für die Kunden auch in dieser neuen Situation die budgettechnische Planbarkeit wiederhergestellt werden. Zusätzlich können Versicherungsmakler im Rahmen der Schadensabwicklung mit einem Knowhow aufwarten, das der jungen IT-Branche oftmals noch fehlt. Dipl. Inf. Florian Oelmaier Leiter IT-Sicherheit und Computerkriminalität Corporate Trust Business Risk & Crisis Management GmbH 4

5 Cyber-Versicherung Cyberrisiken Der Versicherungsmarkt kommt in Bewegung Versicherungsschutz gegen Cyberschäden stellt gerade für mittelständische Unternehmen einen wichtigen Baustein zur finanziellen Sicherung dar. Nachstehend sollen die Kernpunkte einer Versicherungslösung skizziert werden. Antje Delater / pixelio.de Cyberrisiken gelten in Europa im Gegensatz zu den USA immer noch als wenig greifbar und die Schadenpotenziale werden insbesondere von kleineren und mittleren Unternehmen noch immer unterschätzt. Zahlreiche Studien belegen, dass auch und gerade der Mittelstand, im öfter in das Visier von Cyberattacken gerät. Nach einer Studie der Firma Symantec wurden 2011 rund 5,5 Mrd. Cyberangriffe weltweit gezählt. Daraus resultierte ein geschätzter Gesamtschaden von ca. 110 Mrd. USD, wovon rund 2,8 Mrd. USD auf Schäden in Deutschland fielen. Mehr als die Hälfte der Angriffe traf Unternehmen des Mittelstandes mit weniger als 2500 Mitarbeiter, 18 % der betroffenen Unternehmen haben weniger als 250 Angestellte. Im Jahr 2011 wurden weltweit 187 Mio. Identitäten entwendet. Dies bedeutet, dass bei einem durchschnittlichen Diebstahl von Daten, mehr als 1 Mio. Datensätze entwendet wurden. Welche Schäden entstehen? Mehr als die Hälfte (57%) der Unternehmen haben als Folge von Datenangriffen Kunden verloren und 48% der Unternehmen beklagen einen Imageverlust. Die durchschnittlichen Verluste bzw. Kosten aufgrund eines Datendiebstahls betragen in Deutschland je Fall aktuell rund 4,4 Mio. EUR (Quelle: Ponemon / Symantec 2011). Kleiner Anfwand große Wirkung Diesen Schäden stehen immer weiter sinkende Kosten für Cyberkriminalität gegenüber. So werden heute sog. Denial of Service-Attacken bereits für USD pro Attacke angeboten. Das Versenden von Spam- s wird in kriminellen Kreisen bereits für 75 USD verkauft. Welche Schäden deckt die Cyber-Versicherung? Die sog. Cyber-Versicherung deckt finanzielle Schäden durch Cyberaktivitäten und beinhaltet in der Regel: Haftpflichtdeckung für Schäden Dritter durch Cyberaktivitäten des versicherten Unternehmens Eigenschadendeckung für das versicherte Unternehmen als Opfer von Cyberaktivitäten Haftpflicht-Deckung: Im Rahmen der Haftpflichtversicherung gewährt der Versicherer Versicherungsschutz, wenn ein Unternehmen infolge einer Pflichtverletzung für einen Vermögensschaden aufgrund einer gesetzlichen Haftpflichtbestimmung in Anspruch genommen wird. Der Logik der Haftpflichtversicherung folgend umfasst der Versicherungsumfang die Prüfung der Ansprüche, die Abwehr von unberechtigten Ansprüchen und die Befriedigung von berechtigten Schadenersatzansprüchen. Zusätzlich werden auch die Verteidigungskosten im Rahmen eines Strafverfahrens, in behördlichen Verfahren oder für die Teilnahme an Gerichtsverfahren übernommen. Als Beispiele für relevante Pflichtverletzung können genannt werden: Schädigung von Drittsystemen oder unberechtigter Zugang zu einem Drittsystem durch ein System des versicherten Unternehmens, welches durch eine Cyberattacke oder einen unberechtigten Zugriff beschädigt wurde. 5

6 Verletzung oder widerrechtliche Verwendung von geistigem Eigentum aufgrund von Cyberaktivitäten dieser Versicherten. Unberechtiger Zugang zu sensiblen, personenbezogenen Daten Dritter, über ein System des versicherten Unternehmens. Verschaffung eines unberechtigten Zugangs oder unberechtigte Ausnutzung eines berechtigten Zugangs zu einem System, eines versicherten Unternehmens, zur Ausführung einer Cyberattacke. Schädigung des Ansehens von Personen, Produkten oder Dienstleistungen oder Beeinträchtigung der Privatsphäre von Personen durch Cyberaktivitäten des versicherten Unternehmens. Eigenschadendeckung Neben diesen möglichen schadenverursachenden Szenarien im Bereich der Drittschäden, können u.a. folgende Eigenschäden in der Cyber-Versicherung gedeckt werden: Benachrichtigungskosten, d. h. Kosten die entstehen, um betroffene Personen zu benachrichtigen, Kontendaten, Pass- oder Personalausweisnummern oder Sicherheitscodes zu ändern, den betroffenen Personen Schutz durch Überwachungsdienstleistungen (Monitoring) zu gewähren. Krisenmanagementkosten, d. h. angemessene Kosten für die Beziehung eines Rechtsanwaltes, eines forensischen IT-Sicherheitsberaters und/oder von PR-Agenturen und deren Aktivitäten. Darüber hinaus im Falle einer Cyberbedrohung die Kosten für einen externen Verhandlungsführer, Reise- und Unterbringungskosten und eventuelle weitere Kosten. Betriebsunterbrechung, d.h. Versicherungsschutz besteht für den entgangenen Gewinn während der Wiederherstellungszeit und die Wiederherstellungskosten, als direkte Folge der Beeinträchtigung oder Unterbrechung des Geschäftsbetriebs. Kosten einer Cyberbedrohung, d.h. Geld oder Vermögenswerte, die aufgrund einer Cyberbedrohung gezahlt werden sowie deren Zerstörung, Beschlagnahme, Wegnahme oder Abhandenkommen. Kosten bei Cybervandalismus, d. h. Wiederherstellungskosten oder Kosten für das Ersetzen der Daten. Belohnungskosten, d.h. Aufwendungen des Unternehmens für eine natürliche Person für Informationen, die zur Festnahme und Verurteilung von Personen führt, die für eine Cyber attacke verantwortlich sind. Somit schützt die Cyber-Versicherung (Dritt- und Eigenschadendeckung) umfassend gegen die finanziellen Folgen einer Cyberbedrohung. Aber Schäden verhindern kann die Versicherungslösung nicht. Hier kann nur eine gute Sicherheitsarchitektur Ihrer IT helfen. Gerne stehen wir Ihnen gemeinsam mit unseren Partnern, der Corporate Trust, für ein ausführliches Gespräch am besten mit dem IT-Verantwortlichen Ihres Unternehmens zur Verfügung. Denn nur Prävention und Versicherung gemeinsam können Ihr Unternehmen schützen. Für eventuelle Fragen wenden Sie sich bitte an den Unterzeichner oder Ihren Betreuer in der ARTUS GRUPPE. Johannes Holzinger Geschäftsführer AKO Versicherungsmakler GmbH & Co. KG Telefon:

7 Cybercrime bedroht Mittelstand CSS Computer Software Studio GmbH Das Phänomen Cyberkriminalität zeigt sich in vielfältigen Ausprägungen: Manipulation von Webseiten zur Verbreitung von Schadsoftware, Diebstahl digitaler Identitäten, digitale Erpressung, Datendiebstahl und Datenmanipulation, direkte gezielte Angriffe auf IT-Systeme. Kleinere Firmen können als Zulieferer oder Partner einen leichter zu attackierenden Ausgangspunkt für das eigentliche Ziel, den Großkonzern, darstellen. Häufiger jedoch dürfte das Know-How des Mittelstands selbst im Fokus stehen: Deutsche Mittelständler gehören in vielen Branchen zu den innovativsten Unternehmen weltweit. Das weckt Begehrlichkeiten., sagt Dieter Kempf, Präsident der BITKOM. Dies ist den Unternehmen auch durchaus bewusst, 57% schätzen Angriffe auf ihre IT-Systeme als reale Gefahr ein (BITKOM 2012), wobei insbesondere Der Einsatz technischer Schutzmaßnahmen wie Firewalls, Antiviren- und Anti- Spam-Lösungen ist mittlerweile Standard, wenn auch auf unterschiedlichem Niveau (KPMG 2010). Sie können aber nur Teil einer umfassenden IT-Sicherheitsstrategie sein, die mit einer klaren Zuordnung der Verantwortung für die IT-Sicherheit im Unternehmen beginnt, sämtliche Bereiche der Unternehmensorganisation und Geschäftsprozesse umfasst und immer wieder auf die sich wandelnden Herausforderungen reagieren muss. Der in den letzten Jahren zunehmende Trend zum Einsatz mobiler Endgeräte klassische Notebooks, Smartphones, Tablets und Co. verdeutlicht dies. Sie werden zu einem lukrativen Ziel für Cyberkriminelle. Notwendig sind hier klare Regelungen für den Umgang mit Unternehmensdaten, ebenso wie für den mobilen Zugriff, z.b. auf und Kalender, begleitent von technische Maßnahmen, wie Festplattenverschlüsselung bei Notebooks oder einem Mobile Device Management, welches neben dem Schutz vor Schadsoftware auch die Einhaltung der Sicherheitsrichtlinien unterstützt. Quellen: KPMG 2010: e-crime-studie 2010, Computerkriminalität in der deutschen Wirtschaft BITKOM 2012: Vertrauen und Sicherheit im Netz, 2012 Dabei rückt der Mittelstand zunehmend ins Visier der Cyberkriminellen. Waren nach der e-crime Studie 2010 der Wirtschaftsprüfungsgesellschaft KPMG ein Viertel der befragten Unternehmen davon betroffen, so haben laut einer aktuellen Studie des IT-Branchenverbandes BITKOM aus dem vergangenen Jahr, schon 39% der Unternehmen konkrete Angriffe auf die IT erlebt bzw. 33% Erfahrungen mit Datenverlusten oder anderen Datenschutzvorfällen gemacht. der Diebstahl von Kunden- und Arbeitnehmerdaten sowie das Ausspähen von geschäftskritischen Unternehmensinformationen als großes Schadensrisiko gesehen wird (KPMG 2010). Trotz des vorhandenen Problembewusstseins, sind viele Unternehmen aber noch unzureichend auf den Ernstfall vorbereitet. So fehlen in fast der Hälfte (45%) der Unternehmen entsprechende Notfallpläne (BITKOM 2012). Armin Prinz Geschäftsführender Gesellschafter CSS Computer Software Studio GmbH 7

8 Information des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) Im Oktober 2012 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Allianz für Cyber-Sicherheit initiiert. Durch die Bündelung der Kompetenzen von staatlichen Stellen und Experten aus der Wirtschaft zum Thema Cyber-Sicherheit Aktuelle Risk soll Management die Widerstandsfähigkeit Information Deutschlands vor Angriffen aus dem Cyber-Raum erhöht werden. Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Um dieses Ziel zu erreichen, wurden verschiedene Maßnahmen ergriffen: Die Allianz für Cyber-Sicherheit bietet mit der Internetseite ein umfangreiches Informationsangebot an. Im Oktober 2012 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Allianz für Cyber-Sicherheit initiiert. IT-Sicherheitsverantwortliche finden dort kostenlos aktuelle Warnmeldungen, Kurzmitteilungen und Lageberichte zu gegenwärtigen Cyber-Bedrohungen. Andererseits bietet die Allianz jedoch auch grundlegende Dokumente in Form von Empfehlungen zur Konfiguration von Hard- und Software, Analysen zu häufig beobachteten Angriffsversuchen aus dem Cyber-Raum oder sensibilisierende Inhalte für thematische Einsteiger an. Die Inhalte werden zum einen vom BSI, zum anderen von den zahlreichen Partnern aus der Wirtschaft bereitgestellt. Durch die Bündelung der Kompetenzen von staatlichen Stellen und Experten aus der Wirtschaft zum Thema Cyber- Sicherheit soll die Widerstandsfähigkeit Deutschlands vor Angriffen aus dem Cyberraum erhöht werden. Um dieses Ziel zu erreichen, wurden verschiedene Maßnahmen ergriffen: Die Allianz für Cyber-Sicherheit bietet mit der Internetseite Neben dem Informationsangebot ist der Erfahrungsaustausch der Teilnehmer untereinander das weitere Kernelement der Allianz. Im Rahmen von regelmäßig stattfindenen Veranstaltungen zum Thema Cyber-Sicherheit z.b. in Form von branchenspezifischen Arbeitskreisen oder regional organisierten Fachvorträgen erhalten teilnehmende Instutionen die Möglichkeit, sich gegenseitig kennenzulernen, über Herausforderungen der Cyber-Sicherheit zu diskutieren und gemeinsam Workarounds zu erarbeiten. ein umfangreiches Informationsangebot an. IT-Sicherheitsverantwortliche finden dort kostenlos aktuelle Warnmeldungen, Kurzmitteilungen und Lageberichte zu gegenwärtigen Cyberbedrohungen. Andererseits bietet die Allianz jedoch auch grundlegende Dokumente in Form von Empfehlungen zur Konfiguration von Hard- und Software, Analysen zu häufig beobachteten Angriffsversuchen aus dem Cyberraum oder sensibilisierende Inhalte für thematische Einsteiger an. Die Inhalte werden zum einen vom BSI, zum anderen von den zahlreichen Partnern aus der Wirtschaft bereitgestellt. Neben dem Informationsangebot ist der Erfahrungsaustausch der Teilnehmer Mithilfe dieser Maßnahmen soll das Cyber-Sicherheitsniveau in allen Institutionen langfristig verbessert werden. Die Mitwirkung an der Allianz für Cyber- Sicherheit ist grundsätzlich kostenlos. Informationen zu den Teilnahmebedingungen finden Sie unter untereinander das weitere Kernelement der Allianz. Im Rahmen von regelmäßig stattfindenen Veranstaltungen zum Thema Cyber-Sicherheit z.b. in Form von branchenspezifischen Arbeitskreisen oder regional organisierten Fachvorträgen erhalten teilnehmende Instutionen die Möglichkeit, sich gegenseitig kennenzulernen, über Herausforderungen der Cyber-Sicherheit zu diskutieren und gemeinsam Workarounds zu erarbeiten. Mithilfe dieser Maßnahmen soll das Cybersicherheitsniveau in allen Institutionen langfristig verbessert werden. Die Mitwirkung an der Allianz für Cyber-Sicherheit ist grundsätzlich kostenlos. Informationen zu den Teilnahmebedingungen finden Sie unter Christine Lietz / pixelio.de FRIEDRICH GANZ Versicherungsmakler GmbH Karlsruher Straße Baden-Baden NABER GmbH Versicherungsmakler Wittekindstraße Osnabrück HVM Hamburger Versicherungsmakler GmbH ABC-Forum, ABC-Straße Hamburg AKO Versicherungsmakler GmbH & Co. KG Stahlgruberring München Telefon: +49 (0) Telefax: +49 (0) ganz@artus-gruppe.com Telefon: +49 (0) Telefax: +49 (0) naber@artus-gruppe.com Telefon: +49 (0) Telefax: +49 (0) hvm@artus-gruppe.com Telefon: +49 (0) Telefax: +49 (0) ako@artus-gruppe.com COMPAC VOSS & SCHILD Assekuranzmakler GmbH Uhlandstr Berlin Lohse & Heiler Assekuranzmakler GmbH Gewerbestraße Stuttgart NÜRAS Versicherungsmakler GmbH Lina-Ammon-Str Nürnberg IC Unicon AG Kägenstrasse 17 CH-4153 Reinach BL Telefon: +49 (0) Telefax: +49 (0) cvs@artus-gruppe.com Telefon: +49 (0) Telefax: +49 (0) lohse@artus-gruppe.com Telefon: +49 (0) Telefax: +49 (0) nueras@artus-gruppe.com Telefon: +41 (0) Telefax: +41 (0) icinfo@unicon.ch MEISSENER Assekuranz Zwst. der FRIEDRICH GANZ Versicherungsmakler GmbH Neugasse Meißen Telefon: +49 (0) Telefax: +49 (0) meissener@artus-gruppe.com TREU ASS Assekuranzmakler GmbH Hans-Böckler-Str Langenfeld Telefon: +49 (0) Telefax: +49 (0) treuass@artus-gruppe.com Wolfgang OTT Freies Versicherungsbüro GmbH Stuttgarter Straße Stuttgart / Feuerbach Telefon: +49 (0) Telefax: +49 (0) ott@artus-gruppe.com Impressum Herausgeber ARTUS AG Stahlgruberring München Telefon: +49 (0) Telefax: +49 (0)