Die Risiken für Datenklau wachsen

01.06.2012

Alle Unternehmen nutzen heute die Möglichkeiten der Informationstechnologie und des globalen Internets. Somit können sie allerdings auch überall und jederzeit durch fahrlässige oder kriminelle Störungen des IT-Systems und Datenverlusten geschädigt werden. Zur Senkung dieses Risikos sollte jedes Unternehmen bedürfnisgerechte Präventionsmassnahmen ergreifen und den Bedarf für die Versicherung der gefährlichsten Risiken abklären.

PDF Kaufen

Die Medien berichten laufend über spektakuläre Datenverluste. Der Ex-Präsident der Nationalbank Philipp Hildebrand wurde aufgrund gestohlener Kontodaten zu Fall gebracht. Auch im Steuerkrieg zwischen der Schweiz und Deutschland spielen entwendete Kontodaten eine tragende Rolle. Global Payments, ein amerikanischer Dienstleister im Zahlungsverkehr, hat unlängst den kriminellen Zugriff auf eine Grosszahl der gespeicherten Kreditkartendaten zugeben müssen. Sony hat mit der Information über den Diebstahl der Daten von mehr als hundert Millionen Kunden und Tausenden von Musikdateien Aufsehen erregt. Der Bankgigant Citicorp musste den Raub von 360 000 Kundendatensätzen eingestehen. Der Internet-Champion Google sah seinen von Millionen von Menschen genutzten E-Mail-Dienst Gmail wiederholt erfolgreich von Hackern geknackt.

Spitze des Eisbergs

Und ganz spektakulär zeigt der Fall des amerikanischen Security Think Tanks Stratfor, wie global die Folgen eines Cyberangriffs sein können: Hacker sind in die Stratfor-Systeme eingedrungen und haben Millionen von Datensätzen, Mails und unverschlüsselten Kreditkarteninformationen gestohlen. Diese wurden zur Auswertung an die Enthüllungsplattform Wikileaks weitergeleitet. Betroffen sind auch etliche renommierte Schweizer Unternehmen und Regierungsbeamte, die zum Stratfor-Kundenkreis gehören.

Diese von den Medien verbreiteten Vorkommnisse sind nur die Spitze des Eisbergs einer gewaltigen neuen Gefahr für alle kleinen und grossen Unternehmen. In der Wirtschaft werden laufend geschützte Daten über Personen, Unternehmen, Betriebs- und Geschäftsgeheimnisse, wertvolle Fertigungstechnologien sowie über Schutzrechte wie Patente und Lizenzen gesammelt, übermittelt, verarbeitet und gespeichert. Der Schutz dieser Daten kann im modernen, von Elektronik durchsetzten Leben durch jeden Mitarbeitenden, Kunden, aussenstehenden Dritten, Hacker oder schlicht durch Fehler in den Systemen verletzt werden. Dank des Internets können die sensiblen Daten vom andern Ende der Welt gestohlen, verändert, beschädigt, zerstört oder ausgespäht werden.

Viele Unternehmensverantwortliche glauben, die Gefahr eines Angriffs auf das IT-System und eines Datendiebstahls komme überwiegend aus der grossen weiten Welt. Gefürchtet werden Viren und Malware sowie Angriffe von global tätigen Cyberkriminellen, von korrupten Mitbewerbern oder von beauftragten Wirtschaftsspionen. Unterschätzt wird der potenzielle Täter von innen. Das sind oft «einsame Wölfe», die aufgrund ihrer Funktion leicht Zugriff zu sensiblen Daten haben. Sie verfolgen finanzielle Ziele, wollen dem Unternehmen aus irgendwelchen Gründen bewusst schaden oder werden von aussen motiviert.

Ob von aussen oder von innen verursacht, die Störung des IT-Systems und Datenverluste haben für jedes Unternehmen ein enormes Schadenpotenzial: Unterbruch von Betriebsabläufen und verunmöglichte Leistungen an Kunden, daraus entstehende Reputationsschäden, Haftpflichtansprüche von Dritten, Strafgebühren, finanzielle Verluste, Verlust von intellektuellem Eigentum, Senkung des Unternehmenswerts an der Börse oder auf dem privaten Unternehmensmarkt. Dazu kommt: Die betroffenen Kunden müssen informiert werden. In den USA und in der Europäischen Union besteht dafür eine rechtliche Verpflichtung. In der Schweiz empfiehlt sich dieses Vorgehen, damit der Reputationsverlust begrenzt wird. Namentlich in der Finanzindustrie wachen die Aufsichtsbehörden über die Umsetzung von Sicherheitsstandards. Sie machen Auflagen zur Sicherheitsorganisation und überwachen diese. Bei Zuwiderhandlungen verhängen sie saftige Bussen.

Prävention ist Chefsache

Eines ist sicher: Die steigende Gefahr der vorsätzlichen Störung des IT-Systems und von Datenverlusten betrifft das ganze Unternehmen. Deren Abwehr darf nicht – wie vielerorts immer noch üblich – von der Geschäftsleitung weitgehend ignoriert und stillschweigend an die informationstechnologische Abteilung delegiert werden. Aufgrund des hohen Schadenpotenzials lautet die Regel für jede Geschäftsleitung: Die Prävention vor böswilligen oder fahrlässigen Störungen des IT-Systems und Datenverlusten ist Chefsache.

Das gesamte informationstechnologische System des Unternehmens muss durch den Einsatz der jeweiligen State-of-the-art-Technologie vor Attacken geschützt werden. Dafür gibt es Konzepte, die individuell auf jedes Unternehmen angewandt werden können. Zu diesen gehören zeitgemässe Zugriffsregelungen und dynamische Passwortsysteme, regelmässige Updates, Backups, Firewalls und Antivirussysteme.

Des Weiteren sollten für alle denkbaren IT-Systemstörungen und Datenverluste die notwendigen Kommunikationsmassnahmen gegen innen und aussen vorbereitet werden. Dazu zählt die Festlegung der betrieblichen, rechtlichen und kommunikativen Sofortmassnahmen, die unmittelbar nach einem Vorfall eingeleitet werden sollen. Wichtig: Für besondere Präventionsaufgaben im Tagesgeschäft und im Ernstfall müssen die Mitarbeitenden gezielt geschult werden. Denn Analysen der bislang eingetretenen Fälle zeigen: Vom Mensch geht das grösste Risiko aus. Neben vorsätzlichem Verhalten sind Unwissenheit und Fahrlässigkeit die grössten Risikofaktoren.

Jedes Unternehmen muss mithin die Risiken von Schäden durch Angriffe auf das IT-System und Datenverluste durch Präventionsmassnahmen so weit wie möglich senken. Doch wie die in den Medien aufgedeckten Vorfälle zeigen, bleiben in Bereichen wie Datenschutz, geistiges Eigentum, Ausfall der Technik, Hackerangriffen oder andern kriminellen Akten stets gewichtige Restrisiken. Unter Namen wie «Cyber Liability Insurance», «Security Breach Insurance» oder «Privacy Breach Insurance» bestehen dafür in den angelsächsischen Ländern individuell einsetzbare Bausteine für Versicherungsdeckungen.

Versichert werden beispielsweise die Haftung aus der Verletzung der Privatsphäre, des Datenschutzes oder des geistigen Eigentums, die Geldstrafen von Behörden, die Haftung aufgrund von Hackeraktivitäten oder von Betriebsunterbrüchen im Onlinegeschäft oder die Beträge für Erpressungen und Belohnungen. Auch die Kosten zur Ermittlung, was tatsächlich gestohlen, verändert oder kopiert wurde, können mitversichert werden. Wer Niederlassungen in den USA oder England betreibt, muss sich unbedingt damit auseinandersetzen. Und eines ist sicher: Aufgrund der europäischen Entwicklung im Bereich des Datenschutzes (s. Kasten) wird dieser aufstrebende Versicherungszweig über kurz oder lang auch in der Schweiz ein wichtiges Thema.

Versicherung der Risiken

Achtung: In der Schweiz bieten die üblichen bestehenden Policen keine umfassende Deckung für die mannigfaltigen bestehenden und neu aufkommenden Datenschutzrisiken. Die Deckungen müssen individuell und massgeschneidert als Ergänzung zu den bestehenden Policen eingekauft werden. Führend sind der amerikanische und der Londoner Markt. Seit Kurzem gibt es auch einzelne Schweizer Versicherer, welche die dortigen Deckungskonzepte in lokale Policen umgewandelt haben. Es wird aber noch eine Weile dauern, bis sich hier ein echter Markt entwickelt hat.

Wissen

Datenschutzrichtlinien der EU

In Europa schreitet die Sensibilisierung für den Datenschutz und den damit verbundenen Haftungsrisiken zügig voran. Grundlage für die Datenschutzgesetze in den Staaten der Europäischen Union (EU) sind zwei offizielle Richtlinien: die 1998 in Kraft gesetzte «Datenschutzrichtlinie» (95/46/EG) sowie die «Datenschutzrichtlinie für elektronische Kommunikation»(2001/58/EG). Diese Richtlinien geben vor, was die einzelnen Staaten im Bereich des Datenschutzes gesetzlich festlegen sollen, zum Beispiel: Zulässigkeit und Rechtmässigkeit der Erhebung und Verarbeitung von Daten, Sicherheit, Transparenz, Zugriffsrecht der Betroffenen, Mindestvorgaben in der Telekommunikation, Haftung und Verantwortlichkeit. Die Richtlinien werden über kurz oder lang auch in die Schweizer Gesetzgebung eingehen.

Risikofeld «E-Health Suisse»

Ein Musterbeispiel für die dynamische Entstehung von Haftungsrisiken rund um den Einsatz der elektronischen Kommunikation ist im Schweizer Gesundheitssektor zu beobachten. Derzeit laufen im Rahmen des Projekts «E-Health Suisse» die Gesetzgebungsarbeiten für das schweizerische elektronische Patientendossier. Ziel ist es, den Menschen einen uneingeschränkten elektronischen Zugriff auf die eigenen Gesundheitsdaten zu geben. Zugangsberechtigtes und ausgewiesenes medizinisches Personal kann sich dann schnell einen Gesamtüberblick über die Gesundheitsgeschichte einer Person verschaffen. Dies kann zu rascheren und genaueren Diagnosen führen und sich im Notfall als lebensrettend erweisen. Nur eben: Bei diesen heiklen Daten ist ein hoher Datenschutz notwendig. Damit öffnet sich im gesamten Gesundheitssektor ein neues Feld für Haftungsrisiken mit einem entsprechenden Versicherungsbedarf.

Die Risiken für Datenklau wachsen

Spitze des Eisbergs

Prävention ist Chefsache

Versicherung der Risiken

Social Media

Partner