Cybersicherheit ist zu einer der größten Herausforderungen für die vernetzte Welt geworden. Deutsche Unternehmen sind nach Angaben des Bundesverbands der Deutschen Industrie so häufig wie noch nie Ziel krimineller Cyberattacken geworden, die in der Praxis regelmäßig die Vertrauensbasis zu Kunden gefährden, ganz zu schweigen von dem finanziellen Schaden der betroffenen Unternehmen. Die Sozietät FPS lädt in Kooperation mit der IHK Frankfurt am Main am 14.09.2022 zu der exklusiven Veranstaltungsreihe „Future Talks“ ein. Renommierte Experten aus der IT- und Versicherungsbranche, aus israelischen Start-ups und der Anwaltschaft beschäftigen sich mit „Cyber, Tech & Trust“.
Die Redaktion des Deutschen AnwaltSpiegels und des Schwestermagazins GoingDigital begleitet die Veranstaltung als Medienpartner. Prof. Dr. Thomas Wegerich sprach zu dem Event mit Alexandra Gerst (Corporate Counsel, Microsoft Digital Crimes Unit), Carsten Wiesenthal (Head of Allianz Multinational & Cyber) sowie Dr. Christoph Süßenberger, Partner bei FPS in Frankfurt am Main.
Deutscher AnwaltSpiegel: Herr Dr. Süßenberger, mit den „Future Talks“ startet FPS eine neue Veranstaltungsreihe, „Cyber, Tech & Trust“ stehen bei der Premiere im Mittelpunkt. Welche Zielsetzung verfolgen Sie mit dem Konzept, welche Zielgruppen sprechen Sie an?
Dr. Christoph Süßenberger: Bei unserer Veranstaltung zu Cyberthemen im vergangenen Jahr waren Cyberkriminalität, ihre Verfolgung und der Schutz der betroffenen Unternehmen der Schwerpunkt. In diesem Jahr werden wir das Thema erweitern und uns auch damit beschäftigen, wie Unternehmen Vertrauen aufbauen, aber auch verlieren können. Cyberkriminalität spielt dabei eine große Rolle, doch wir wollen auch diskutieren, wie es jungen und etablierten Unternehmen gelingt, dass ihre Kunden, Partner und Investoren ihrem Geschäft vertrauen. Verbraucher geben Anbietern sehr verletzliche Daten, im Internet werden Milliardensummen erwirtschaftet. Wir stellen uns mit den Teilnehmern die Frage, wie das Vertrauen der Verbraucher im digitalen Umfeld gesteigert werden kann.
Deutscher AnwaltSpiegel: Cyberkriminalität ist eines der drängenden Probleme unserer Zeit und eine zunehmend große Gefahr für Unternehmen. Welche Entwicklung, welche Trends können Sie feststellen im Bereich der Cyberkriminalität und deren Bekämpfung in Deutschland? Sind die Unternehmen nach Ihrer Einschätzung gut gewappnet gegen die großen Risiken, die hier drohen – wirtschaftlich, aber auch mit Blick auf mögliche Imageschäden?
Dr. Christoph Süßenberger: Wir beraten Unternehmen seit über 20 Jahren im IT-Recht einschließlich des IT-Strafrechts. Im Tagesgeschäft war Cyberkriminalität früher der Verkauf von Raubkopien im Internet, das Filesharing oder einfach gestrickte Betrugsmaschen. Inzwischen sind Hackerangriffe und Datendiebstahl die wichtigen Themen. Hackerangriffe sind so bedrohlich, weil sie ganze Unternehmen stilllegen können. Und wenn Kundendaten entwendet wurden, sind möglicherweise Hunderttausende betroffen. Cyberkriminalität wird inzwischen von Unternehmen jeder Größe und Branche als Bedrohung erkannt. Viele Unternehmen sind sehr gut vorbereitet und haben ihren Notfallplan schon in der Schublade. Andere werden kalt erwischt. Denn bis hinein in die Vorstandsetagen wird fälschlicherweise oft angenommen, dass es einen selbst schon nicht treffen wird. Die Imageschäden können beträchtlich sein, vor allem wenn Kundendaten betroffen sind. Dass fast wöchentlich über kritische Cyberattacken berichtet wird, schärft das Bewusstsein in Unternehmen und zeigt auch, wie man mit solchen Vorfällen umgehen kann. Es gibt inzwischen sogar Agenturen, die sich auf die Krisenkommunikation bei Cyberangriffen spezialisieren.
Deutscher AnwaltSpiegel: Frau Gerst, Microsoft hat ein Cybercrime Center eingerichtet. Bitte erläutern Sie unseren Lesern, seit wann es das gibt und was wir uns darunter vorstellen können.
Alexandra Gerst: Das 2013 errichtete Cybercrime Center in Redmond ist der Sitz unserer Microsoft Digital Crimes Unit (DCU), eines internationalen Teams von Experten mit analytischen, technischen, rechtlichen und betriebswirtschaftlichen Hintergründen. Seit der Gründung ist es das Ziel der DCU, Cyberkriminalität zu bekämpfen und damit Personen und Unternehmen zu schützen und die Integrität der Microsoft- Dienste sicherzustellen. Das Cybercrime Center bietet uns dabei eine ganze Reihe fortschrittlicher Tools zur Visualisierung, Identifizierung und letztlich Bekämpfung von Cyberbedrohungen auf der ganzen Welt. Dank unseres Fachwissens und der einzigartigen Einblicke in kriminelle Onlinenetzwerke sind wir in der Lage, Beweise aufzudecken und diese im Rahmen von Strafanzeigen mit Strafverfolgungsbehörden weltweit zu teilen. Die DCU arbeitet auch daran, die operativen Kosten für die Cyberkriminellen zu erhöhen, indem sie die von den Kriminellen genutzte Infrastruktur durch zivilrechtliche und technische Maßnahmen unschädlich macht.
Deutscher AnwaltSpiegel: Herr Dr. Süßenberger: „Vertrauen zurückgewinnen“, wenn der Worst Case, eine erfolgreiche Cyberattacke, eingetreten ist. Das ist eines der Themen des „Future Talk“. Wie kann das gelingen aus der Innensicht des Unternehmens und auch mit Blick auf die Kunden?
Dr. Christoph Süßenberger: Cybersicherheit muss zur Chefsache gemacht werden. Ohne diese Unterstützung wird es IT-Abteilungen nicht gelingen, die mögliche Sicherheit im Unternehmen durchzusetzen. Spätestens nachdem ein Unternehmen erfolgreich angegriffen wurde, ist dies unserer Erfahrung nach aber der Fall. Ab diesem Zeitpunkt steht Geld zur Verfügung und werden personelle Ressourcen geschaffen. Viele Unternehmen haben hierfür einen eigenen Changeprozess eingeleitet. Hierdurch kann ein Unternehmen sowohl nach innen als auch nach außen zeigen, dass die IT-Sicherheit einen hohen Stellenwert hat und man gut gewappnet ist. In der Kommunikation müssen betroffene Unternehmen die richtige Balance finden. Einerseits müssen Mitarbeiter und Kunden informiert werden und sich geschützt fühlen. Andererseits kann zu viel Transparenz bei Mitarbeitern und Kunden auch zu großer Verunsicherung führen und vielleicht sogar zukünftige Hacker auf den Plan rufen.
Deutscher AnwaltSpiegel: Herr Wiesenthal, Cyberversicherungen werden in Deutschland nicht allzu oft angeboten. Zudem gelten sie als sehr teuer, und oft ist nicht klar, welche Risiken tatsächlich im Ernstfall abgedeckt werden. Worauf haben Unternehmen zu achten, die sich mit dem Abschluss einer Cyberversicherungspolice beschäftigen? Was sind die Dos and Don’ts?
Carsten Wiesenthal: Wir bei der Allianz Versicherungs-AG versichern das Cyberrisiko von Unternehmen wie viele andere Versicherer erst seit einigen Jahren; soll heißen, dass der Cyberversicherungsmarkt noch sehr jung ist. Wir stehen also zum Beispiel im Vergleich zur Feuerversicherung noch ganz am Anfang der Lernkurve. Grundsätzlich haben wir bei der Allianz „Cyber“ als einen unserer Zukunftsmärkte erkannt und den Kunden verstanden; denn immerhin beurteilen laut „Allianz Risiko Barometer“ unsere Kunden Cyberrisiken schon seit einigen Jahren in Folge als eines der Toprisiken. Nun ist es in der Versicherungstechnik so: Wenn es noch keine etablierten Schadenserfahrungen gibt – was bei Cyber der Fall ist –, stimmen wir unsere Produktentwicklung eng mit unseren Aktuaren ab und versuchen, adäquate Risikofaktoren in die versicherungsmathematische Preisfindung mit einzukalkulieren. Die Preisfindung wird sich allerdings mit zunehmender Reife und einschlägigen Cybererfahrungen auch preislich adäquat austarieren. Ziel ist natürlich auch für Cyberversicherungen ein individuelles, risikoadäquates Pricing, das den tatsächlichen Schadensbedarf des jeweiligen Kunden abdeckt. Insgesamt gilt für Unternehmen und Versicherer: Cyber geht uns alle an. Wegducken gilt nicht.
Deutscher AnwaltSpiegel: Vielen Dank für dieses Interview. Auf die Veranstaltung freue ich mich schon.
Hinweis der Redaktion:
Der „Future Talk“ findet am 14.09.2022 in der IHK Frankfurt am Main statt. Weitere Informationen und die Anmeldemöglichkeit finden Sie hier. In dem neu gegründeten Bundesverband der Wirtschaftskanzleien in Deutschland (siehe hier) beschäftigt sich eine eigene Task Force, bestehend aus Experten aus über 30 Kanzleien, regelmäßig mit dem Thema Cyber Security und erarbeitet Best Practices und Positionspapiere, um größtmögliche Cybersicherheit in der Unternehmenspraxis zu erreichen.
