Die Informationstechnologie hat sich über ihre ursprüngliche Rolle als Steuerungs- und Regelungstechnik weit hinaus entwickelt und ist heute und in Zukunft für Unternehmen sowie Organisationen, Privatpersonen und Staaten ein wesentlicher Teil jedes Prozesses der Wertschöpfungskette und des täglichen Lebens. Diesem rasanten Wandel zu einer von Informationstechnologie beherrschten Wirtschaft und vernetzten Gesellschaft kann sich kaum ein Unternehmen entziehen, ohne nicht zugleich die vielseitigen und umfangreichen Chancen ungenutzt zu lassen. Durch die verstärkte Abhängigkeit und dem Nutzen von Informationstechnologien entstehen zeitgleich zahlreiche, bisher unbekannte Risiken. Diese komplexen und themenübergreifenden Bedrohungen werden zum Teil nicht adäquat im Risikomanagement berücksichtigt. Mehrere aktuelle Fälle, die während der Entstehungszeit dieser Arbeit in Deutschland an die Öffentlichkeit gelangt sind, belegen, dass es sich bei diesen Risiken nicht um theoretische Überlegungen handelt, sondern um eine brisante Thematik.
Die Rolle des Risikomanagements ist es Risiken zu erkennen, zu bewerten, kontrollierbar zu machen und wenn nötig zu transferieren. Der Assekuranz steht diese Aufgabe der Übernahme von Risiken zu, um diese durch das Bilden von Kollektiven beherrschbar und monetär bewertbar zu machen. Inwiefern die Risikoträger dieser Rolle bereits gerecht werden oder es noch an Innovationen und Weiterentwicklungen bedarf, wird in dieser Arbeit ebenfalls untersucht.
Vordergründig liegt die Verantwortung des Risikomanagements jedoch beim Risikoeigentümer und damit liegt auch das Hauptaugenmerk dieser Arbeit dort.
Die folgende Arbeit untersucht dabei die Frage, welche Risiken durch Informationstechnologien entstehen können und wie diese im Risikomanagement Berücksichtigung finden müssen um beherrschbar zu bleiben. Ebenfalls werden Transferlösungen der Assekuranz beurteilt und als Ergebnis Handlungsempfehlung für das Risikomanagement von Cyber-Risiken gegeben.
Inhaltsverzeichnis
1 Einleitung
1.1 Forschungsfrage
1.2 Gang der Untersuchung
1.3 Methodisches Vorgehen
2 Risiko, Risikomanagement und Versicherbarkeit
2.1 Risikobegriff
2.2 Grundlagen des Risikomanagements
2.3 Anforderungen an das Risikomanagement
2.4 Versicherungstechnisches Risiko
2.5 Versicherbarkeit
3 Cyber-Risiken
3.1 Definition und Abgrenzung
3.2 Rechtliche Umwelt
3.3 Risikoebenen von Cyber-Risiken
3.4 Schutzziele der Sicherheit und Dimensionen von Cyber-Risiken
3.5 Schadenpotenzial und -beispiele durch Cyber-Angriffe
3.6 Kritische Infrastrukturen KRITIS
3.7 Cyber-Subprime-Krisen
4 Versicherung von Cyber-Risiken
4.1 Traditionelle Versicherungssparten
4.2 Herkömmliche EDV-Versicherungen
4.3 Spezielle Cyber-Versicherungen
5 Analyse der Informationsquellen
5.1 Publikationen
5.2 Experteninterviews
6 Risikomanagement von Cyber-Risiken
6.1 Risikoidentifikation
6.2 Risikobewertung
6.3 Risikobewältigung
7 Zusammenfassung der Ergebnisse
Zielsetzung & Themen
Die Masterarbeit untersucht, welche Risiken durch moderne Informationstechnologien für Unternehmen entstehen und wie diese im Rahmen eines ganzheitlichen Risikomanagements effektiv identifiziert, bewertet und bewältigt werden können. Ein zentraler Fokus liegt dabei auf der Beurteilung von Transferlösungen der Assekuranz, insbesondere spezieller Cyber-Versicherungen, um Handlungsempfehlungen für das Risikomanagement von Cyber-Risiken abzuleiten.
- Theoretische Grundlagen des Risikomanagements und der Versicherbarkeit von Cyber-Risiken
- Analyse der Bedrohungslage durch Cyber-Risiken sowie deren ökonomische und rechtliche Dimensionen
- Kritische Würdigung bestehender traditioneller Versicherungspolicen gegenüber modernen Cyber-Versicherungen
- Methodische Vorgehensweise durch Literaturanalyse und Experteninterviews zur Gewinnung praxisnaher Erkenntnisse
- Entwicklung von Handlungsempfehlungen zur Implementierung präventiver und operativer Schutzmaßnahmen
Auszug aus dem Buch
3.1 Definition und Abgrenzung
Der Begriff Cyber-Risiken ist bisher weder versicherungstechnisch noch im Risikomanagement eindeutig definiert und in aktuellen Diskussionen werden verschiedene Begriffe teils synonym verwendet. Zudem verändern sich in dem dynamischen Umfeld die unter Cyber-Risiken verstandenen Risiken ständig. Die vorausgegangene Erläuterung der Begrifflichkeit Risiko soll hier als Basis dienen und um den Begriff ‚Cyber’ erweitert werden.
Aus dem griechischen Wort Steuermannskunst leitet sich das Präfix Cyber ab und wurde bereits 1948 von Norbert Wiener als „Kybernetik“ (englisch: „cybernetics“) auf die Regelungs- und Steuertechnik bezogen. Laut Duden beschreibt „Cyber-“ ein Wortbildungselement mit der Bedeutung „die von Computern erzeugte virtuelle Scheinwelt betreffend“ und beschreibt ebenfalls die wissenschaftliche Forschungseinrichtung, die Systeme verschiedenster Art (z.B. biologische, technische oder soziologische Systeme) auf selbsttätige Regelungs- und Steuermechanismen hin untersucht. Laut Oxford Dictionary steht Cyber für alle in Verbindung mit, oder charakterisierend für, die Kultur von Computern, Informationstechnologie und der virtuellen Realität. Als Definition für den Begriff Cyber-Space führt das Bundesministerium des Inneren (BMI) den „virtuellen Raum aller auf Datenebene vernetzten IT-Systeme im globalen Maßstab, [...] dem als universelles und öffentlich zugängliches Verbindungs- und Transportnetz das Internet zugrunde liegt, welcher durch beliebige andere Datennetze ergänzt und erweitert werden kann“.
Es kann festgehalten werden, dass das Präfix Cyber im Zusammenhang mit physischer und virtueller Informations- und Datentechnologie sowie deren Vernetzung und Verarbeitung universell verwendet wird. Häufig mit der Begrifflichkeit Cyber-Risiken in Verbindung stehende Begriffe sollen nachfolgend abgegrenzt werden. Der vom BMI angestrebte Zustand der IT-Sicherheitslage wird als Cyber-Sicherheit und Cyber-Raum Sicherheit betitelt und beschreibt die auf ein tragbares Maß reduzierten Risiken. Dabei wird zwischen globaler, nationaler sowie militärischer und ziviler Cyber-Sicherheit unterschieden. Die zivile Sicherheit „betrachtet die Menge der zivil genutzten IT-Systeme des deutschen Cyber-Raums“.
Zusammenfassung der Kapitel
1 Einleitung: Diese Einleitung führt in die Relevanz der IT als wesentlichen Bestandteil moderner Wertschöpfungsketten ein und definiert die zentrale Forschungsfrage bezüglich der Beherrschbarkeit von Cyber-Risiken.
2 Risiko, Risikomanagement und Versicherbarkeit: Dieses Kapitel erläutert die theoretischen Grundlagen von Risiko und Risikomanagement sowie die versicherungstechnischen Kriterien, die für eine Versicherbarkeit von Risiken essenziell sind.
3 Cyber-Risiken: Hier werden Definitionen von Cyber-Risiken abgegrenzt, die rechtliche Umwelt sowie die verschiedenen Risikoebenen und das Schadenpotenzial durch Cyber-Angriffe detailliert analysiert.
4 Versicherung von Cyber-Risiken: In diesem Kapitel werden die Möglichkeiten und Grenzen traditioneller Versicherungen im Vergleich zu spezialisierten Cyber-Versicherungen für Unternehmen untersucht.
5 Analyse der Informationsquellen: Dieses Kapitel beschreibt die methodische Vorgehensweise, basierend auf einer Auswertung aktueller Publikationen sowie explorativen Experteninterviews mit Branchenvertretern.
6 Risikomanagement von Cyber-Risiken: Dieser Teil befasst sich mit der praktischen Umsetzung des Risikomanagements, von der Risikoidentifikation und -bewertung bis hin zu konkreten Maßnahmen der Risikobewältigung.
7 Zusammenfassung der Ergebnisse: Die abschließende Zusammenfassung reflektiert die zentralen Erkenntnisse und gibt einen Ausblick auf die zukünftige Entwicklung und Professionalisierung des Cyber-Risikomanagements.
Schlüsselwörter
Cyber-Risiken, Risikomanagement, IT-Sicherheit, Versicherbarkeit, Cyber-Versicherung, Schadenpotenzial, Risikobewertung, Risikoidentifikation, Cyber-Kriminalität, Krisenmanagement, Datensicherheit, Prävention, Risikotransfer, KRITIS, Unternehmensschutz.
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit befasst sich mit der theoretischen Einordnung und dem praktischen Risikomanagement von Cyber-Risiken für Unternehmen sowie der Rolle der Assekuranz bei der Absicherung solcher Bedrohungen.
Was sind die zentralen Themenfelder?
Die zentralen Themen umfassen die Definition von Cyber-Risiken, die Analyse der Bedrohungslage, die Evaluierung bestehender Versicherungslösungen und die Ableitung von Präventionsmaßnahmen für Unternehmen.
Was ist das primäre Ziel oder die Forschungsfrage?
Das Hauptziel ist es, zu untersuchen, welche Risiken durch IT entstehen und wie diese im Risikomanagement integriert werden müssen, um beherrschbar zu bleiben, inklusive der Beurteilung von Transferlösungen.
Welche wissenschaftliche Methode wird verwendet?
Die Forschungsfrage wird mittels einer qualitativen Erhebung beantwortet, die eine Inhaltsanalyse von Literatur und Studien sowie explorative Experteninterviews umfasst.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in theoretische Grundlagen, die Analyse von Cyber-Risiken, die Untersuchung von Versicherungsprodukten (traditionell vs. spezialisiert) und die Darstellung eines ganzheitlichen Risikomanagement-Ansatzes.
Welche Schlüsselwörter charakterisieren die Arbeit?
Wichtige Begriffe sind insbesondere Cyber-Risiken, Risikomanagement, Versicherbarkeit, IT-Sicherheit, Schadenpotenzial und Krisenmanagement.
Welche Rolle spielen Experteninterviews in dieser Arbeit?
Die Interviews mit Vertretern aus der Erst- und Rückversicherungsbranche sowie Maklerhäusern dienen als qualitative Ergänzung zur Literatur, um praktische Erfahrungswerte und Markteinschätzungen zu gewinnen.
Wie unterscheidet sich eine spezielle Cyber-Police von traditionellen EDV-Versicherungen?
Während traditionelle Policen meist nur bestimmte Sachschäden oder eng begrenzte Teilbereiche abdecken, sind spezielle Cyber-Policen modular aufgebaut und fokussieren auf umfassende Krisenmanagement-Dienstleistungen sowie Deckungen für Eigen- und Drittschäden.
Warum ist das "Silo-Wissen" in Unternehmen laut Autor ein Hindernis?
Silo-Wissen behindert laut den Experten eine holistische Betrachtung von Cyber-Risiken, da ein effektives Risikomanagement den Austausch und die Zusammenarbeit aller beteiligten Fachabteilungen eines Unternehmens erfordert.
Welchen Einfluss hat das IT-Sicherheitsgesetz auf das Risikomanagement?
Das Gesetz führt Meldepflichten für Unternehmen ein, was die Öffentlichkeit stärker für Cyber-Attacken sensibilisiert und von Experten als Anreiz für eine höhere Versicherungsdichte und verstärktes Interesse am Risikomanagement gesehen wird.
- Quote paper
- Lennart Schröder (Author), 2015, Risikomanagement von Cyber-Risiken, Munich, GRIN Verlag, https://www.grin.com/document/308874
