IT security and other aweful matters

Of computer mice and men – for availability, integrity and privacy

IT-Netze sichern oder versichern ?

Unternehmen, schützt Eure IT, so lautet die Losung, seitdem es IT-Systeme und Netzwerke gibt, die öffentlich erreichbar sind. IT-Sicherheit nimmt in Betrieb und Projekten immer mehr Raum ein, und das aus vielen nachvollziehbaren Anlässen heraus. In Deutschland animiniert und unterstützt ein Bundesamt Bürger und Betriebe bei der Sicherheit in der Informationstechnik.

Doch nun wirbt ein Versicherungsmakler damit, die Risiken eines Denials of Service oder eines Datenbruchs zu versichern. Die Financial Times Deutschland veröffentlichte am 14. November 2012 ein Interview mit Herrn Erichsen, Geschäftsführer des Versicherungsmaklers Aon, in dem dieser die Notwendigkeit, zumindest den Nutzen von Versicherungen gegen gezielte Störungen des IT-Betriebs, insbesondere gegen Angriffe auf Online-Portale.

Das Verlagern von Risiken auf einen Dritten, im Normalfall auf einen Versicherer, ist im Risikomanagement als eine mögliche Behandlung von Risiken vorgesehen. Das kann also als ganz normal betrachtet werden. Aber sind die elementaren Schäden eines Hackerangriffs, bei dem Adressdatenbanken kopiert werden, versicherbar? Ist der Reputationsschaden überhaupt messbar? (Manche meinen ja, alles sei messbar, indem in semiquantitativen Verfahren Skalen eingeführt werden. Dabei verschwimmt aber gerne der Bezug zur Realität.)

Doch die Antworten auf die frech formulierten Fragen der FTD geben Anlass, sich damit zu beschäftigen. Unternehmen stehen vor unmittelbaren operativen Herausforderungen, wenn ein Bruch ihres Online-Portals bekannt wird. Für kleine und mittlere Unternehmen können ein vorübergehender Umsatzeinbruch und der Mehraufwand für Kommunikation zu den Kunden und Partner sowie für technische Reaktionen nicht nur den Gewinn schmälern, sondern auch die Liquidität bedrohen. Hier könnte eine Versicherung tatsächlich Hilfe leisten.

Die Frage nach der Rentabilität von Vorsorgemaßnahmen bekommt damit eine messbare Größe (nein, nicht die Reputation, deren Bemessung sei weiterhin den Marketing-Interpreten überlassen), denn die Versicherer versuchen nun die Reparaturmaßnahmen zu kalkulieren. Idealerweise sammeln sie dazu Informationen aus dem Markt ingesamt und speziell aus ihrer Versicherungspraxis heraus. Der Sicherheitsmarkt bekäme also bessere, belegte Maßstäbe.

Schon lange gibt es die Erwartung, dass Versicherer solchen Unternehmen, die ein funktionierendes Risiko- und Notfallmanagement haben, eine günstigere Prämie anbieten. Über dieses Angebot hier könnte das sogar nachvollziehbar werden.  Für das Notfallmanagement könnte dies eine Förderung darstellen, denn ein Unternehmen, das gut vorbereitet ist, wird eine schwerwiegende Störung effizienter und mit insgesamt weniger Aufwand und Kosten bewältigen.

Quelle: FTD online
In der Druckausgabe erschienen am 15. November.

Advertisements

Author: TTeichmann

IT is my business since 1985, focused on IT security since 1999. I built up several IT networks as security based architectures. In 2007 business continuity management came into my portfolio. I feel open minded, keeping an eye on things evolving, trying to find solutions that meet business needs while security requirements are kept high. ITsec, ITSCM and BCM are necessarily part of cost efficient IT delivery today.

Comments are closed.