Als unumstößliche Weisheit in Sachen Cyber-Kriminalität galt über Jahre, dass sich Unternehmen mehr auf das Verhindern der häufigsten Formen von Cyber-Attacken als auf die Vorbereitung für einen vielleicht nie eintretenden allumfassenden Systemausfall konzentrieren sollten. Doch die Zeiten ändern sich: Angesichts der zunehmenden Digitalisierung und Vernetzung sehen sich Unternehmen immer häufiger Cyber-Attacken ausgesetzt, die zum Teil auch existenzgefährdende Folgen haben können. Das Planen von Worst-Case-Szenarien ist damit nicht mehr länger nur eine Option. Abwehr hält nicht SchrittVergangenes Jahr wurden global eine halbe Milliarde persönlicher Datensätze gestohlen beziehungsweise gingen verloren. Die Zahl der Angriffe mit sogenannter Ransomware, Krypto- oder Erpressungstrojanern stieg um 35 %, die Zahl der Spear-Phishing-Kampagnen und damit gezielten Betrugsversuche per E-Mail von vermeintlich vertrauenswürdigen Quellen sogar um 55 %. Solche Angriffe treffen längst nicht mehr nur Computerarbeitsplätze oder mobile Geräte. Zunehmend werden auch Vorfälle bekannt, die ganze Unternehmensprozesse (zum Beispiel Fertigung), die Funktionsweise medizinischer Geräte, die Energieversorgung oder die Verfügbarkeit von Kommunikationswegen beeinträchtigen. Nur in wenigen Unternehmen hält die Cyber-Abwehr damit Schritt. Nach unseren Schätzungen ist lediglich ein Drittel der Betriebe ausreichend vorbereitet, um einen umfassenden Angriff, den Worst Case, zu verhindern.Einer kürzlich von der Oliver-Wyman-Schwesterfirma Marsh veröffentlichten Studie zufolge sieht ein Viertel der Unternehmen Cyber-Risiken noch nicht einmal als wichtiges Unternehmensrisiko an (siehe Grafik). Nahezu 80 % bewerten die Cyber-Risiken ihrer Kunden und Lieferanten nicht und unterschätzen damit die Konsequenzen einer zunehmenden Vernetzung und Integration von Wertschöpfungsstufen sträflich.Da Unternehmen immer mehr digitale Innovationen auf den Markt bringen und sich damit einer ganz neuen Dimension von Bedrohungen gegenübersehen, müssen sie ihre Cyber-Abwehr erweitern und flexibler gestalten. Wer darauf verzichtet, riskiert ungeplante Zusatzkosten, Betriebsausfälle, Imageschäden sowie rechtliche Konsequenzen. Viele Unternehmen reagieren daher. Angesichts der wachsenden Zahl von Ransomware- und Spear-Phishing-Angriffen entwickeln sie beispielsweise Notfallpläne, um im Fall der Fälle offline arbeiten zu können. Einige gehen sogar noch weiter und arbeiten in kritischen Bereichen wieder grundsätzlich offline. Zurück zu Bleistift und PapierSo nahm die Regierung von Singapur nach einer ganzen Reihe von Cyber-Attacken auf ihre Webseiten im Jahr 2013 nahezu alle Rechner vom Netz. Den gleichen Weg verfolgen Gesundheitsdienstleister und Krankenhäuser in den USA und Deutschland bei kritischen Systemen, die keine Online-Verbindung benötigen. Diese Healthcare-Spezialisten sind auch vorbereitet, wieder mit Papier und Bleistift zu arbeiten, wenn ein Angriff ihren digitalen Betrieb beeinträchtigt.Einige Unternehmen gehen auch bei der Nutzung und Speicherung von Daten neue Wege. Ihre Bedürfnisse rund um den Schutz ihrer Daten ändern sich rasant, die Flexibilität und Intelligenz herkömmlicher Legacy-IT-Systeme und Datenbanken hält hier nicht mit. Um schneller auf Angriffe reagieren zu können, vereinfachen sie radikal ihre Prozesse und technischen Systeme. Damit reduzieren sie auch die Zahl der Orte, an denen ein Hacker eindringen oder sich verbergen kann. Die Menge der auf einen Schlag gefährdeten sensiblen Daten lässt sich auch verringern, wenn Unternehmen ihren Datenbestand aufteilen und in verschiedenen Systemen speichern.Andere Unternehmen replizieren ihre Kern-IT-Systeme, und Kunden können dann selbst bei einem kompletten Systemabsturz auf Basisdienste zugreifen. Einige Firmen nutzen dazu die Cloud und gewährleisten so das Aufrechterhalten eines Basisbetriebs. Andere schließen Vereinbarungen mit Wettbewerbern, die als Rückfallebene nach einer Cyber-Attacke einspringen können. Diese Unternehmen haben verstanden, dass ein Angriff auf ihr IT-System längst nicht nur das eigene Geschäft schädigt. Vielmehr droht eine größere Krise, wenn Millionen Firmen- und Privatkunden plötzlich nicht mehr auf ihre Konten zugreifen und weder Gehälter noch Rechnungen zahlen können oder flächendeckend Strom- oder Kommunikationsversorgung über einen längeren Zeitraum ausfällt.Vorreiter auf diesem Gebiet prüfen darüber hinaus die Tragfähigkeit von Sicherheitsnetzen, die die Nachwirkungen eines unternehmens- oder branchenübergreifenden Cyber-Angriffs minimieren sollen. Diesem Zweck dienen beispielsweise von Regierungen unterstützte “Cyber-Pools”. Solche Fonds können die finanziellen Folgen eines kompletten Systemausfalls auffangen; bei Naturkatastrophen oder Terroranschlägen greifen ähnliche Konstruktionen.Regelmäßig gibt es inzwischen Nachrichten über Cyber-Attacken, die viele bislang für undenkbar hielten. Damit sie nicht selber zur Schlagzeile werden, sollten sich alle Unternehmen auf den schlimmsten Fall – und damit auch das Undenkbare – vorbereiten.—-Claus Herbolzheimer, Partner und IT-Experte bei Oliver Wyman