Evelyn Rieger: Die genannten Phänomene verursachen tatsächlich immer wieder große Schäden in Unternehmen, aber diese Themen werden in den Medien auch stark aufgebauscht. Meine Erfahrung mit vielen Unternehmen bestätigt: Wie bei anderen Schäden sind die meisten IT-Ausfälle auf eine menschliche Ursache zurückzuführen. Fehleinschätzung, Fehlbedienung oder Fehlverhalten kombiniert mit kleinsten technischen Störungen oder organisatorischen Mängeln können schnell zu einem Dominoeffekt führen.
Welche Situationen sind für Unternehmen aus IT-Sicht besonders kritisch?
Rieger: Zu IT-Schäden kommt es häufig, wenn Veränderungen anstehen. Wenn also beispielsweise IT-Landschaften bei Fusionen integriert, neue Prozesse eingeführt oder Updates aufgespielt werden. Aber auch der Wechsel eines Providers oder veränderte interne Zuständigkeiten sind häufige Auslöser.
Solche Veränderungen unterbrechen die bewährten Abläufe – und dann tauchen plötzlich unerwartet Probleme auf. Es fehlen Ressourcen, die Zuständigkeiten und Kompetenzen sind missverständlich geregelt, eine Vertreterregelung ist unklar. Mangelnde Kommunikation und ungeregelter Informationsfluss können bei einem "change"-Projekt die IT-Landschaft eines Unternehmens für einige Zeit gewaltig stören. Die Ursachen sind nicht spektakulär, die Schäden sind es manchmal schon.
Sich gegen menschliches Versagen zu schützen, ist sehr schwierig, oder?
Rieger: Durchaus. Aber ich will auch keine Schwarzmalerei betreiben. Das IT-Management in den Unternehmen macht seine Sache sehr gut. Die meisten Firmen haben ein ausgeklügeltes "Business Continuity Management", also Notfallprozesse, um das Fortlaufen des Betriebs zu gewährleisten. Sonst würden wir ja auch viel häufiger von Abstürzen und Ausfällen hören. Aber Tatsache ist: Es passiert, und viele Unternehmen sind nicht gegen diese Schäden versichert.
Warum ist das so? AGCS bietet ja z. B. ein entsprechendes Produkt an.
Rieger: Ja, wir bei AGCS haben eine modulare Versicherungslösung, die sowohl eigene als auch Schäden bei Dritten, für die unser Versicherungsnehmer verantwortlich ist, abdeckt. Dabei muss kein Sachschaden vorliegen. Gedeckt sind auch Angriffe durch Schadsoftware, die Nichtverfügbarkeit der Systeme nach mutwilligen "Denial of Service"-Attacken oder Ausfälle nach der Einspielung eines neuen Updates.
Aber bei vielen Unternehmen fehlt noch das Bewusstsein für IT-Risiken. Dabei hängt ihre Wertschöpfungskette entscheidend von der zuverlässigen Verfügbarkeit der IT-Systeme ab. Eine Brandschutzversicherung für Unternehmensgebäude stellt dagegen niemand in Frage. Hier müssen wir umdenken.
Können Sie das konkretisieren?
Rieger: Vielleicht ist der Schaden einfach schwer vorstellbar: Jeder kennt die Bilder von brennenden Häusern, aber wie sieht der Stillstand eines Rechenzentrums aus? IT-Gefahren sind letztlich sehr abstrakt und damit schwer zu vermitteln. Außerdem bewegen wir uns in einem Bereich, der sich sehr rasch verändert. Selbst für Fachleute ist es nicht einfach, auf dem neusten Stand der Technik zu bleiben und rechtliche Änderungen und gesellschaftliche Trends mitzuverfolgen.
Werden durch die zunehmende Medienaufmerksamkeit mehr Unternehmen für IT-Gefahren sensibilisiert?
Rieger: Kein Unternehmen möchte gerne mit IT-Ausfällen Schlagzeilen machen. Aufsehen erregende Beispiele wie die Vorfälle bei Sony oder Amazon zeigen aber gerade auch die Verwundbarkeit und das Restrisiko. Immer mehr Unternehmen suchen Beratung in Sachen IT-Schutz und interessieren sich sehr für unsere Erfahrungen. Meist geht es um Prävention, was wir als Versicherer begrüßen. Auch die Kosten eines möglichen Ausfallszenarios zu beziffern, ist für viele Unternehmen noch schwierig. Dabei unterstützen wir im Rahmen unseres Risikodialogs.
Der Stuxnet-Wurm gilt als eines der bislang gefährlichsten Schadprogramme. Wie reagieren die Unternehmen?
Rieger: Viele Unternehmen beschäftigen sich derzeit mit dem möglichen Ausfallszenario durch diese komplexe Schadsoftware, weil hier ein Paradigmenwechsel eingeläutet wurde. Warum wurde Stuxnet entwickelt, wer war involviert, wer hat die Entwicklung finanziert? Welche Infrastrukturen können mit dieser Art Schadsoftware sabotiert werden und wie wirkt sich das auf andere Unternehmen aus? Auf diese Fragen suchen viele Unternehmen Antworten.
Welche weiteren Trends beobachten Sie derzeit in der IT-Welt?
Rieger: Facebook wird für viele von uns zum Begleiter des Alltags und ganz nebenbei zu einem gigantischen Kaufhaus. Wer bietet dort in Zukunft was an? Cloud Computing bietet die Riesenchance, Daten und Informationen effizient zu verarbeiten. Aber wie sicher sind die Daten von Unternehmen in der Wolke? Und steht der Versicherer hier vor neuen Risikokumulen? Die digitale Umgebung ist eine große Herausforderung für Unternehmen. Wir dürfen uns aber nicht von der Angst vor neuen Risiken vereinnahmen lassen. Das gilt sowohl für Versicherer als auch für Versicherungsnehmer.
