IT-Sicherheit, Risikomanagement, Smart InsureTech

HMDATA Datenschutz-Newsletter 03/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Die Dichte erfolgreicher, schwerwiegender böswilliger Angriffe auf mittelständische Unternehmen in Deutschland nimmt zu. Das musste auch mal wieder ein Dienstleister für Versicherungsvermittler erfahren, dessen Systeme am 08.02.2022 von einer Ransomware-Attacke lahmgelegt wurden.
Fraglich ist, warum ein derartiger Angriff bei einem IT-Dienstleister zu einem über dreiwöchigen Ausfall und einer Nichtverfügbarkeit der Systeme führt. Bei geeigneten Maßnahmen und sensibilisiert agierenden Mitarbeitern dürfte ein derartiger Angriff nach spätestens 72 Stunden wieder behoben sein, geschweige denn hätte auftreten dürfen. Das lässt sich innerhalb der Verantwortung von datenverarbeitenden Unternehmen im Auftrag technisch lösen, wenn denn nur Willen und Budget vorhanden sind. Wer als Auftragsverarbeiter seine Kunden bei erwartbaren schwerwiegenden Risiken derart im Stich lässt, sollte sein Geschäftsmodell nochmals hinterfragen.

Letztlich geht es aber nicht um die Versäumnisse eines Dienstleisters, damit muss dieser in Form von Regressforderungen und Reputationsschaden selbst klar kommen.
Es geht darum, auch den Finger in die Wunde zu legen: die Verfügbarkeit der eigenen Daten und deren Verarbeitung ist immer zuvorderst Sache des Verantwortlichen, also von einem selbst. Wenn der Schaden bei einem Dienstleister entsteht, klärt das vielleicht die Regressforderungen im Innenverhältnis, nach außen ist man immer selber verantwortlich. Somit muss im Rahmen des Risikomanagements der Ausfall eines zentralen oder existenziellen Dienstleisters behandelt und entsprechende Maßnahmen zur Risikominimierung mit Hilfe von Redundanzen, Backups oder Notfallplänen getroffen werden.

Auswirkungen auf das eigene Unternehmen

Der "Smart-InsureTech-Fall" zeigt, wie leicht sich Unternehmen mit deren Geschäftsmodell in die Abhängigkeit und Gutgläubigkeit von Dienstleistern begeben. Ganz egal, wie seriös das auftragsverarbeitende Unternehmen erscheint und die Dienstleistung wertschöpfend ist: ohne "Plan-B" geht man ein erhebliches unternehmerisches Risiko ein, das gewinnschädigend bis zur Insolvenz führen kann. Ein Ausfall eines zentralen Dienstleisters führt automatisch zu eigenem Reputationsschaden.
Nun wird man in keinem Fall einen Dienstleister mit 100%iger Ausfall-Sicherheit finden. Der Rahmen der Prüfungspflicht bei Auftragsverarbeitern nach Art. 28 Abs. 1 DSGVO setzt hier aber ganz klar die Regeln fest. Auch immer in diesem Zusammenhang lesenswert: der Art. 24 Abs. 1 DSGVO, womit entsprechend gestaltete IT-Systeme kein Wunschkonzert sind und technologisch sinnvollen "Stand der Technik" aufweisen müssen.
Es gilt also, sich systematisch dem Risiko des Ausfalls eines Dienstleister - oder der eigenen IT - anzunähern. Und dazu gibt es in Form des Risikomanagements einfach beherrschbare Tools, um im eigenen Betrieb Maßnahmen und Budget zu planen.
Die meisten Unternehmen, die nicht Teil einer Just-In-Time-Lieferkette sind, können bis zu 72 Stunden Ausfälle von Prozessen verkraften, ohne dies im EBIT oder in Form eines Reputationsschadens zu bemerken. Ab dann wird's hakelig und durchaus unbequem bis zur Insolvenz.
Das heißt, idealerweise zielen die Maßnahmen, die bei Ausfall zentraler IT-Dienstleistungen greifen auf eine rudimentäre Wiederherstellung der Datenverarbeitung nach 3 Tagen. Das ist technisch machbar und ein guter Kompromiss zwischen Nutzen und Betriebswirtschaftlichkeit.

Was kann ich für mein Unternehmen tun?

Das kann in Form von Redundanzen der Verarbeitung oder geeigneter Backups stattfinden.
Aber, unabhängig der technischen Umsetzung: wenn man nicht auf den Notfall vorbereitet ist, gibt es im Fall der Fälle nur Hühnerhaufen, aber keine tragfähige systematische Vorgehensweise. Ohne Kennen der Risiken und geplanter und geprüfter Notfallpläne mit eindeutigen Verantwortungen, Tätigkeitsbeschreibungen und Kontaktdaten / Verfügbarkeit der handelnden Personen hilft das alles nichts.

Deswegen sollte in jedem Fall von Unternehmen durchgeführt werden:

• Risikomanagement der existenziellen Prozesse
• Reduzieren kritischer Risiken
• Reduzieren der möglicherweise eintretenden Schadenhöhen
• Prüfen des Abschlusses einer Cyber-Versicherungen
• Prüfen der Redundanzen und Backups auf mögliche Schadenszenarien
• Entwickeln der Notfallpläne und evaluieren der Notfallkontakte
• Evaluieren und Testen der Notfallkonzepte
• Alternativen für längerfristigen Ausfall eines Prozesses oder Dienstleisters
• Mitarbeiterschulung

Fazit

Man kann jedem Risiko mit entsprechenden Präventivmaßnahmen begegnen. Kunst dabei: die entscheidenden Risiken kennen und mit betriebswirtschaftlich sinnvollen Aufwand reduzieren. Dazu helfen die Methoden des Risikomanagements.
Man muss das nicht bis zum Exzess treiben, wie dies in Großkonzernen mit eigenen Abteilungen der Fall ist. Aber die Prinzipien sollten im eigenen Betrieb auf die existenziellen Risiken angewandt werden. Und bitte nicht auf das Präventionsparadox hereinfallen, das trotz aller Vorkehrungen immer noch nichts passiert ist.