Cyberrisiko eines der Top-Drei-Risiken
Das Cyberrisiko stellt eines der Top-Drei-Risiken für Unternehmen dar und ist mit Corona und der Thematik Homeoffice erneut gestiegen. Sind Cyberangriffe auch für Architekten und Ingenieure eine ernst zu nehmende Gefahr?
Brokamp: In den Medien werden fast wöchentlich Hackerangriffe auf große Konzerne bzw. wichtige öffentliche Einrichtungen publiziert. Es ist offensichtlich, dass sich keine Berufsgruppe oder Branche sicher fühlen kann. Die aktuelle Pandemie hat außerdem gezeigt, wir sehr wir von funktionierender Technik abhängig sind. Viele Planungsbüros haben ihre Mitarbeiter (teilweise) ins Homeoffice geschickt. Ohne mobilen Zugriff über das Internet auf die Unternehmensnetzwerke wären die Mitarbeitenden nicht arbeitsfähig. Auch die Nutzung diverser Videokonferenztools hat das Thema Datenschutz noch mal verschärft. Besonders die Netzwerke und Mandantendaten der Kanzleien sind für die Kriminellen ein interessantes Ziel. Als Bonus hat HDI bereits zu Beginn der Pandemie erklärt, dass die Verlegung des Arbeitsplatzes in das Homeoffice keine Gefahrenerhöhung bedeutet.
Warum wird das Cyberrisiko aus Ihrer Sicht unterschätzt?
Brokamp: Erfahrungsgemäß sind hier zwei Aspekte zu nennen.
Erstens: Unternehmen gehen davon aus, dass ihr Unternehmen zu klein ist, die Systeme umfassend geschützt und die Daten nicht interessant genug sind. Außerdem wird angeführt, dass bisher auch noch keine Cyberattacke stattgefunden hat. Dies ist ein gefährlicher Denkfehler. Die Kriminellen interessiert nicht die Unternehmensgröße und nicht nur die Daten. Sie zielen auf das Konto! Kriminelle haben häufig ein finanzielles Interesse. Und da es keinen hundertprozentigen Schutz geben kann, kann auch jedes Unternehmen Opfer werden. Attacken auf kleinere Unternehmen werden massenhaft gestreut. Es geht selten um zielgerichtete Angriffe.
Außerdem müssen es nicht immer nur externe Angreifer sein. Unterschätzt wird häufig der innere Personenkreis. In der Regel gehen Unternehmen zu Recht davon aus, dass die eigenen Mitarbeiter keine böswilligen Absichten hegen. Aus unserer Schadenerfahrung wissen wir, dass der Faktor Mensch beim Abwägen eines Cyberrisikos berücksichtigt werden muss. Im Detail bedeutet das, dass der Mensch sowohl geplant als auch unwillkürlich einen Schaden in der betrieblichen Netzwerkstruktur hervorrufen kann. Es ist daher essenziell Präventionsmaßnahmen zu initiieren. Schlussendlich spielt die Unwissenheit bzw. fehlende Sensibilisierung der Mitarbeitenden eine schwerwiegende Rolle. Daher werden viele ungezielte Angriffe durch Unachtsamkeit ermöglicht.
Zweitens: Das Cyberrisiko ist nicht greifbar und wird daher unterschätzt. Ein nicht greifbares Risiko ist nur schwer monetär zu bemessen. Und verständlicherweise fällt es einem Unternehmer dann nicht leicht, eine kaufmännische Entscheidung zu treffen. Daher versuchen wir durch Aufklärung, das Cyberrisiko verständlicher für alle zu machen.
Was ist das Besondere an der HDI Cyberversicherung, inwiefern spielt Cyberprävention eine Rolle?
Brokamp: Wesentliche Kernelemente sind Leistungen, die über den normalen Versicherungsschutz hinausgehen. Schulungs- und Präventionsmaßnahmen, eine 24/7-Hotline und ein IT-Sicherheitsdienstleister, der sich durch besondere Expertise in Sachen Cybersicherheit auszeichnet, sind dabei Dreh- und Angelpunkte. Und natürlich die professionelle Soforthilfe: die 24-Stunden-Hotline unseres IT-Sicherheitsdienstleisters. Schnelles Handeln ist das Wichtigste bei einem Cyberangriff.
Sobald technische oder organisatorische Schutzmaßnahmen versagen oder durchbrochen werden, schließt die Cyberdeckung die entstandene Lücke im Schutzkonzept der Planer und Statiker. Auch für das Architektur- oder Ingenieurbüro ist eine Cyberversicherung unverzichtbar. Sie gehört inzwischen genauso selbstverständlich zur geschäftlichen Grunddeckung wie die Betriebshaftpflicht- und die Feuerversicherung.
Prävention mit unserem Partner Perseus ist ein sehr wichtiger Teil, den ich noch mal herausstellen möchte. Denn Mitarbeiter-Awareness ist keine einmalige Angelegenheit in Unternehmen und wird nur durch ein nachhaltiges Training und laufende Sensibilisierung aufgebaut. Wir belohnen Kunden, die das Angebot von Perseus nutzen. Dazu gehören kostenfreie Mitarbeitertrainings, Phishingkampagnen, der Cyber-Werkzeugkasten und der aktive Support bei akuter Gefahrenlage. Mit unserer Awareness-Klausel besteht die Möglichkeit, den Selbstbehalt im Schadenfall bei regelmäßiger Nutzung des kostenlosen Präventionsangebots zu reduzieren.
Vielen Dank Herr Brokamp.