Artikelserie „Compliance im Mittelstand" – Teil 16

„Wanna Cry“ - Cyber-Sicherheit und Compliance

Mitte Mai hat die Schadsoftware „Wanna Cry“ international für Aufsehen gesorgt. Betroffen waren nach Angaben von Europol mindestens 150 Länder sowie 200.000 Organisationen und Personen. In Europa traf es etwa die Deutsche Bahn, die spanische Telefonica und britische Krankenhäuser. Es handelte sich um eine „Ransom-Software“, die die infizierten Rechner verschlüsselt und den Zugriff auf die eigenen Daten verhindert.

Besonder der innovative Mittelstand in Deutschland gerät zunehmend ins Visier von Cyber-Kriminellen. - Foto: © Tomasz Zajda - Fotolia.com
Besonder der innovative Mittelstand in Deutschland gerät zunehmend ins Visier von Cyber-Kriminellen. - Foto: © Tomasz Zajda - Fotolia.com

Eine Entsperrung und Freigabe der Unternehmensdaten wird bei dieser Art Schadsoftware gegen Zahlung eines Lösegelds (Ransom) in Aussicht gestellt. Dieser Cyberangriff war der bisher wohl größte und aufsehenerregendste, allerdings leider kein Einzelfall. Nach einer Umfrage der Allianz für Cyber-Sicherheit waren Anfang 2016 in den sechs vorangegangenen Monaten 32 Prozent der deutschen Unternehmen von „Ransomware“ betroffen.

Auch das Bundesamt für Sicherheit in der Informationstechnik warnt vor der stetig wachsenden Bedrohung aus dem Internet, denn mit der „exponentiellen Vernetzung von Daten, Objekten und Maschinen“ wachse die Angriffsfläche von Unternehmen und Kunden. Gerade der innovative deutsche Mittelstand gerät zunehmend ins Visier von Cyber-Kriminellen. Cyber-Sicherheit und Cyber-Compliance sind daher strategische Aufgaben für die Unternehmensleitung, nicht zuletzt weil bei einem Cyber-Angriff neben den unmittelbaren Schäden auch Reputationsschäden drohen. Zu den Mindestanforderungen gehört, verfügbare Sicherheitsupdates zeitnah zu installieren und aktuelle Virenschutzprogramme zu verwenden. Die Führungskräfte haben Pflichten zur internen Organisation und Kontrolle. Verletzten sie diese Pflichten, droht im Bereich der Cyber-Sicherheit gegebenenfalls eine Haftung wegen Organisations- oder Kontrollverschuldens.

Hieran schließt sich die Frage nach entsprechenden Versicherungen an. „D&O-Versicherungen“ (Directors & Officers) bieten ganz allgemein Deckung für (gesetzliche) Haftungspflichten von Führungskräften. Diese umfasst aber nicht unbedingt alle Schadensszenarien, die auf Cyber-Risiken beruhen. Entsprechend bieten Versicherungen nun verstärkt Cyber-Risk-Versicherungen an. Diese können Deckung für Schäden bieten, die durch Viren oder „Trojanische Pferde“ („Trojaner“) verursacht werden. Darüber hinaus sind auch Schäden aufgrund technischer Probleme, Fehlbedienung oder behördlicher Anordnung versicherbar.

Service für die Mitgliedsunternehmen des VCI

Für Fragen und Anregungen nehmen Sie gerne Kontakt mit uns auf.

Ansprechpartner

Dominik Jaensch

E-Mail: jaensch@vci.de