DI Réné Forsthuber
Leiter Global Risk Consulting, Aon Jauch & Hübener GmbH

Aus Untersuchungen weiß man, dass selbst bei den größeren Unternehmen hierzulande nur jedes zweite mögliche Angriffe aus dem Internet überhaupt in seinem Risikomanagement berücksichtigt. Dabei kann der finanzielle Schaden, der durch Cyberrisiken entsteht, schnell mehrere 100.000€ ausmachen.

„Allein 2013 wurden in Österreich mehr als 10.000 Fälle von Internet-Kriminalität polizeilich angezeigt, und wir gehen von einer steigenden Tendenz aus“, erläutert  Risikomanagement-Experte Réné Forsthuber.

Vorsorge dringend notwendig

Prävention sei ein wichtiges Mittel sich gegen Cyberrisiken abzusichern, erläutert der Risikoexperte. Der Bogen spannt sich hier von der Vorbeugung gegen Identitätsdiebstahl, über die Vorsorge gegen Datenmanipulation, Hackerangriffe bis hin zu Sabotage und Betriebsspionage. „Es hängt allerdings ganz vom Unternehmen ab, wie es sich im Vorfeld gegen diese Bedrohungen schützt und wie sensibel die Daten sind, mit denen seine Mitarbeiter umgehen.

Die Lösungen  der Prävention sind höchst individuell. Forsthuber plädiert für ein abgestuftes Vorgehen, denn nicht jeder Bereich einer Firma bedürfe des größtmöglichen Schutzes. „Eine gute Leitlinie kann die ISO 27001 sein, die eine Kombination aus Managementsystem und konkreten Maßnahmen etwa für die physikalische und personelle Sicherheit, die Sicherheit des IT-Betriebs sowie den Zutritts- und Zugangsschutz darstellt.

Umgang mit Sicherheitsdefiziten und dem Restrisiko

Dennoch gebe es – selbst bei der Einhaltung aller ISO Normen - immer wieder Schlupflöcher, durch die Kriminelle Zugang in das IT-System eines Unternehmens erhalten könnten. Um geeignete Maßnahmen durchzuführen, ist eine umfassende Kenntnis der eigenen Sicherheit in Bezug auf die Unternehmensrisiken unumgänglich.

Forsthuber empfiehlt Sicherheitschecks durch qualifizierte Fremdfirmen vorzunehmen, weil sie eine gute Möglichkeit bieten, Sicherheitsdefizite im Unternehmen objektiv darzustellen. Zwischen den technisch machbaren Sicherungsmaßnahmen und der finanzierbaren, auf das Unternehmen zugeschnittenen IT-Lösung bleibt letztlich immer ein Restrisiko: Versicherungen bieten hier einen Ansatz, um sich gegen Teile des Cyberrisikos abzusichern.