IT-Sicherheit - Managementrisiko

Arbeiten unter Covid-19-Bedingungen, Umsetzen der europäischen Datenschutz-Grundverordnung, zunehmende Digitalisierung. Dies sind nur drei von vielen Herausforderungen, denen sich die Verantwortlichen in der Wohlfahrtspflege seit Monaten stellen müssen. Der wachsenden Verantwortung der haupt- und ehrenamtlichen Entscheidungsträger stehen oft schrumpfende Ressourcen gegenüber. So kommt es, dass Geschäftsführungen und Vorstände unter immer höherem Zeit- und Kostendruck immer mehr Aufgaben erledigen müssen. Zwar bleibt der Ausgangspunkt gleich: die Pflicht zur ordentlichen und gewissenhaften Geschäftsausübung inklusive der Pflicht, den Bestand des Unternehmens zu sichern, sprich mögliche Risiken zu erkennen, zu bewerten und zu mindern. Aber gerade diese Pflicht stellt sich mittlerweile viel herausfordernder dar als noch vor zehn Jahren.

Ein Risikomanagement, das zur aktuellen Situation passt, berücksichtigt auch die ITSicherheit. Denn: Funktionierende ITSysteme nach geltenden Sicherheitsstandards sind heute für die Aufrechterhaltung des  Geschäftsbetriebs aller Branchen und Organisationen essenziell. Durch die Covid-19-Pandemie hat diese Pflicht nochmals an Bedeutung gewonnen. Viele Unternehmen haben einen Großteil ihrer Mitarbeitenden ins Homeoffice geschickt, um ihre Arbeitsfähigkeit zu erhalten. In der ersten Phase der Pandemie ging vielfach Improvisation vor Strategie. Selten waren firmeneigene Laptops oder PCs in ausreichender Zahl verfügbar - so mussten die Mitarbeitenden ihre eigenen Geräte nutzen, um sich von zu Hause über einen Fernzugang in das Firmennetzwerk einzuwählen. Einheitliche Sicherheitsstandards für die genutzte Hardware oder die Verbindung zum Firmennetzwerk fehlten oft.

Einheitliche Sicherheitsstandards sind ein Muss

Im Hinblick auf die IT-Sicherheit kann dies jedoch kein Dauerzustand sein. Denn Cyberkriminelle nutzen die Corona-Pandemie immer stärker aus.1 Entscheidungsträger haben auch hier die Letztverantwortung und sind verpflichtet, die Vertraulichkeit, Integrität und Verfügbarkeit der unternehmensrelevanten Daten gerade auch in außergewöhnlichen Zeiten sicherzustellen - egal, wie viele andere Themen noch ihre Aufmerksamkeit verlangen. Die IT-Sicherheit ist gewiss nicht alles, aber ohne IT-Sicherheit ist alles nichts.

Die schlechte Nachricht: Marktübliche Vermögensschaden-Haftpflicht- oder Directors & Officers (D&O)-Versicherungen decken Pflichtverletzungen des Managements in Bezug auf IT-Risiken in der Regel nicht umfassend ab. Das Unternehmen bleibt daher unter Umständen auf den finanziellen Folgen eines IT-Problems oder Cyber-Angriffs vollständig sitzen. So kommt es möglicherweise nicht umhin, sich beim Entscheidungsträger persönlich wegen dessen Pflichtverletzung schadlos zu halten.

Die gute Nachricht: Diese Situation kann durch eine Versicherung vermieden werden, die auch Daten- und Cyberrisiken mit abdeckt. Die Ecclesia Gruppe hat den neuen Baustein "Erweiterte Vermögensschaden-Haftpflichtversicherung Data Risk" als Ergänzung zu der bereits etablierten Versicherung konzipiert.2 Dieser schützt sowohl das Management als auch das versicherte Unternehmen vor Schäden im Zusammenhang mit IT-Risiken. Auch Soforthilfe-Maßnahmen und innovative Dienstleistungen sind vom Versicherungsschutz umfasst.

Anmerkungen

1. Siehe dazu die Sonderauswertung "Cybercrime in Zeiten der Corona-Pandemie" des Bundeskriminalamtes unter dem Kurzlink: http://bit.ly/32DllGQ

2. Vgl. Vothknecht, M.: Schutz vor Vermögensschäden in der Caritas. In: neue caritas Heft 19/2008, S. 20f