Cyberangriffe sind im Wesentlichen ein Phänomen der heutigen Zeit. Mitte Mai wurde die Direktion für Straßen und Autobahnen (Ředitelství silnic a dálnic/ŘSD) angegriffen, seitdem die Webseite dopravniinfo.cz langfristig nicht funktionsfähig/stillgelegt ist. Einen Monat zuvor war es dem Prager Flughafen gelungen, Cyberangriffe dank höchster Flughafensicherheit erfolgreich abzuwehren, wie es Milan Špaček, ein für die Cybersicherheit verantwortliches Vorstandsmitglied, erklärte.

Allerdings werden nicht nur staatliche Institutionen, sondern auch private Unternehmen angegriffen. Für beide Bereiche sind Spezialisten von der Gesellschaft Grant Thornton Advisory ein geeigneter Partner, sowohl für die Formalisierung von Prozessen und Verfahren, als deren Ergebnis strategische und operative Dokumente verarbeitet werden, sowie um die Bedrohungen für die Informationssysteme des Unternehmens erkennenden Penetrationstests durchzuführen, als auch als Aufsicht und Quality Assurance bei der Verarbeitung der Dokumentation durch externe Lieferanten und Administratoren von Informationssystemen, oder bei der kompletten Implementierung eines neuen Informationssystems. Gleichzeitig garantieren ein IT-Team und Prozessexperten die Einhaltung der gesetzlichen Vorschriften (ISO/IEC 27000 für das Informationssicherheitsmanagement, GDPR oder Cybersicherheitsgesetz und andere). 

Eine Möglichkeit, die Auswirkungen von Cyber-Bedrohungen zu reduzieren, ist der Abschluss einer Cyber-Risikoversicherung. Die Versicherung deckt in der Regel das Haftungsrisiko des Versicherten für Daten, personenbezogene Daten Dritter oder Schäden ab, die dem betroffenen Unternehmen direkt zugefügt wurden, beispielsweise für die Wiederherstellung von Systemen.

Voraussetzung für den Abschluss einer solchen Versicherung ist das Ausfüllen eines mehrteiligen Fragebogens. Versicherungsinteressierte füllen Folgendes aus: ihren Unternehmensgegenstand mit welchen Anwendungen sie arbeiten, wie viele Rechner im Unternehmen eingesetzt werden, ob das Unternehmen über eigene Server und eine Website verfügt.

Ein weiterer Teil des Fragebogens konzentriert sich auf das Risikomanagement und die Sicherheit des Zugriffs auf Informationen. Die Fragen beziehen sich beispielsweise auf die Informationssicherheitspolitik bzw. Verarbeitung einer Informationssicherheitsrichtlinie. Es handelt sich um ein Schlüsseldokument, das darlegt, wie das Unternehmen Risiken in Bezug auf die Sicherheit seiner Informationen anzugehen beabsichtigt. Die Richtlinie beschreibt, warum das Unternehmen beabsichtigt, das Problem anzugehen, die Ziele, die es erreichen möchte, und Rahmenverfahren, wie man Bedrohungen begegnet und wie man seine Informationsressourcen schützt. Spezifische Verfahren und Prozesse in Bezug auf die in der Richtlinie definierten Bereiche werden dann in separaten Dokumenten beschrieben, von denen einige nachstehend beschrieben werden.

In Bezug auf die Sicherheit des Zugriffs auf Informationen wird - neben z.B. einer zweistufigen Authentifizierung von Benutzern oder einer zentralen Verwaltung und Überwachung - auch die Verarbeitung von sog. Business Continuity und Disaster Recovery Pläne als Schwerpunkt betont. Dies ist eine Beschreibung der Vermögenswerte (z.B. Daten, Systeme, Server usw.), die geschützt werden müssen und eine Beschreibung der Weise, wie sie bei Nichtverfügbarkeit, Verlust oder Beschädigung wiederhergestellt werden können. Diese Informationen können dem Unternehmen helfen festzustellen, was für sein Funktionieren wichtig ist.

Auf der Grundlage des ausgefüllten Fragebogens bietet die Versicherungsgesellschaft dem Klienten eine kundenspezifische, maßgeschneiderte Versicherung an, je nach Niveau sowohl der formalen Bearbeitung der genannten Bereiche als auch der praktischen Anwendung von Sicherheitsverfahren und -praktiken.

Autor: Jakub Šebek