Cyber-Risiken: Bietet eine Cyber-Versicherung mehr als nur Linderung der Schmerzen?

Cyber-Risiken bereiten Unternehmen zunehmend Sorgen. Der unberechtigte Zugriff auf Daten und Informationen ist für Unternehmen ein Horrorszenario, das mittlerweile leider schon fast alltäglich geworden ist. Globale Konzerne berichten immer häufiger von Cyber-Attacken oder von Diebstahl sensibler Daten. Auch KMU geraten immer öfter ins Visier von Cyber-Kriminellen. Ein aktueller Phishing-Fall zeigt, dass sich Unberechtigte mittels Schadprogrammen Zugriff auf die Rechner verschaffen und heimlich Bankkonten plündern.

Deshalb ist es auch nicht erstaunlich, dass Cyber-Risiken in verschiedenen Umfragen ganz oben auf der Besorgnisskala rangieren. Im Bericht des World Economic Forums gehören Cyber-Risiken seit Jahren zu den Top 10 Risiken.

Der Mensch spielt im Bereich der Cyber-Gefahren eine zentrale Rolle. Ein unvorsichtiger Mitarbeiter klickt versehentlich auf den Anhang einer E-Mail und öffnet unerwünschten Eindringlingen dadurch Tür und Tor. Zudem bedingen neue Arbeitsmodelle laufend Anpassungen bei den Sicherheitsvorkehrungen, um sich den stets ändernden Gegebenheiten anzupassen.

Cyber-Ereignisse

Aus der Presse sind insbesondere folgende Arten von Cyber-Ereignissen bekannt:

  • Diebstahl von Daten – z.B. Kreditkarteninformationen, Kundendaten, Geschäftsgeheimnisse
  • Phishing – z.B. betrügerische E-Mails im Namen von Banken oder Behörden zum Erlangen von Zugangsdaten
  • Denial-of-Service-Attacke (DoS/DDoS-Attacke) – Webseite wird mit Anfragen überhäuft und ist nicht erreichbar
  • Bedrohung zur «Lahmlegung» einer eCommerce-Webseite
  • Erpressung zur Veröffentlichung von vertraulichen Informationen

Finanzielle Folgen eines Cyber-Ereignisses

Wenn ein Unternehmen Opfer eines Cyber-Vorfalls wurde, so kann dies mitunter erhebliche finanzielle Auswirkungen zur Folge haben. Beispiele dafür sind:

Kosten
  • IT-Spezialisten (intern/extern)
  • IT-Forensiker
  • Wiederherstellung von Daten
  • Krisenmanager und PR-Berater
  • Rechtsberatung
  • Benachrichtigung der betroffenen Kunden
Umsatzausfall
  • Entgangener Umsatz infolge des Ausfalls der Webseite (eCommerce)
  • Verlust von Kunden
Ansprüche Dritter
  • Datenschutzrechtsverletzung
  • Verletzung des Persönlichkeitsrechts
  • Verletzung geistiger Eigentumsrechte
Bussen und Vertragsstrafen
  • Verletzung von Datenschutzbestimmungen
  • Konventionalstrafen

Welche Vorkehrungen kann ein Unternehmen treffen?

In einem strukturierten Risiko Management-Prozess sollten die Cyber-Risiken identifiziert und bewertet werden. Auf dieser Basis können nötige Massnahmen zu Schutz, Prävention und Früherkennung verstärkt und Vorkehrungen für den Ereignisfall (Krisenmanagement) getroffen werden. In diesem Prozess empfiehlt es sich auch, einen möglichen Risikotransfer mittels Versicherung zu prüfen und eine Entscheidung nach dem Kosten-/Nutzen-Prinzip zu fällen.

Schutz

Das wichtigste Element ist der Schutz vor möglichen Cyber-Ereignissen. Dabei kann ein Unternehmen sinnvolle technische Vorkehrungen ergreifen, um sich wirksam vor Cyber-Gefahren zu schützen. Dies kann folgende Schutzmassnahmen beinhalten:

  • Firewall, Virenschutz
  • Verschlüsselung von Zugang und E-Mails
  • Hilfsmittel zum Schutz vor dem Eindringen in die Systeme
  • Hilfsmittel zum Schutz vor Datenverlust
Risiken wirksam mindern

Guter Schutz, proaktive Massnahmen zur Minderung von Risiken sowie rasches und professionelles Krisenmanagement können einen Schaden wesentlich reduzieren und negative Auswirkungen wie Reputationrisiken und finanzielle Folgen mindern.

Prävention

Ein Unternehmen kann proaktiv Massnahmen ergreifen um den Eintritt oder die Auswirkungen eines Cyber-Ereignisses zu mindern. Beispiele für Präventionsmassnahmen sind:

  • Geschützter Zugriff auf die Firmennetzwerke
  • Sensibilisieren der Mitarbeiter vor Cyber-Gefahren
  • Zugriffsbeschränkungen
  • Regelmässige Überprüfung der IT-Sicherheit durch Spezialisten
  • Entwicklung einer Strategie zur Krisenintervention (Notfallplan)
    • Zusammenarbeit mit IT-Spezialisten für eine rasche Intervention
    • Zusammenarbeit mit Spezialisten für Krisenkommunikation
Früherkennung/Aufdeckung von Vorfällen

Frühzeitige Erkennung von Cyber-Attacken oder Ereignissen mittels gezielten Massnahmen hilft, das Ausmass und somit die die negativen Auswirkungen zu begrenzen. Bespiele von Früherkennung sind:

  • Hilfsmittel zur Erkennung von Cyber-Angriffen oder Eindringlingen
  • Hilfsmittel zur Erkennung von schadhaftem «Code»
Ereignisfall

Rasches und professionelles Handeln ist der Schlüssel zum Erfolg. Ist ein aktueller Notfallplan vorhanden, so kann in einer Krise zeitnah und professionell reagiert und kommuniziert werden. Dies hilft, die negativen Auswirkungen zu begrenzen.

Ist Versicherung eine adäquate Lösung?

Die Versicherungswirtschaft hat Cyber-Risiken als Geschäftsfeld erkannt und Versicherungsprodukte lanciert. Der Risikotransfer mittels Versicherung ist eine von verschiedenen Massnahmen (vermeiden, vermindern, transferieren oder selber tragen) der Risikobewältigung. Demzufolge ist Versicherung nicht die Lösung des Problems, sondern hilft, die finanziellen Auswirkungen zu lindern.

Die zentrale Rolle für den Umgang mit Cyber-Gefahren spielt ein funktionierendes Risiko- und Krisenmanagement. Gerade für kleine und mittlere Unternehmen kann die Evaluation einer Versicherungslösung Chancen bieten, denn vor Abschluss der Versicherung führt der Versicherer eine Risikoprüfung durch. Diese zielt auf Schwachstellen bei der IT-Sicherheit ab. Dieser Prozess hilft das Bewusstsein im Unternehmen zu fördern und mögliche Schwachstellen zu erkennen.

Um den Prozess effizient zu gestalten und die Sinnhaftigkeit einer Versicherungslösung zu überprüfen, ist eine Zusammenarbeit mit einem spezialisierten Versicherungsberater hilfreich.

Was kann versichert werden?

Der Versicherungsumfang und die Deckungsausschlüsse können von Versicherer zu Versicherer variieren. Beispiele sind:

Eigenschäden
  • Betriebsunterbruch (entgangener Gewinn und fortlaufende Kosten infolge von Netzwerkeingriffen)
  • Wiederherstellungsaufwand (Systeme und Daten)
  • Kosten für Krisenmanagement, IT-Forensikdienstleister, Benachrichtigung der Betroffenen nach Datenverlust
  • Computerbetrug (irrtümliche Überweisung von Geld infolge einer Manipulation des Computersystems)
  • Erpressung (Belohnungs- und Lösegeldzahlungen zur Abwehr einer Bedrohung)
Drittschäden
  • Ansprüche wegen Datenschutzverletzung
  • Haftung aufgrund einer Datenschutz- oder Vertraulichkeitsverletzung
  • Haftung für Vermögensschäden Dritter infolge Versagens der Computer oder Netzwerksicherheit

Tipps vom Experten

Fotolia_40964791_XS

  • Cyber-Sicherheit ist Chefsache
  • Aktives Risiko-Management mit dem Ziel zum Schutz vor Cyber-Ereignissen hat Priorität
  • Der Notfallplan sollte regelmässig überprüft und angepasst werden
  • Eine Zusammenarbeit mit Spezialisten für IT-Sicherheit und Krisenkommunikation ist empfehlenswert
  • Eine Versicherung kann helfen die finanziellen Auswirkungen zu lindern. Die Versicherung ist durch Deckungsausschlüsse limitiert. Diese gilt es, vor Vertragsabschluss zu überprüfen.

Fallstricke

  • Unvollständiger oder überholter Kriseninterventionsplan (Notfallplan)
  • Unzutreffender Versicherungsschutz, d.h. Auslöser für Versicherungsleistung nicht risikogerecht oder umfassend genug definiert

Wertvolle Links

 Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken
Melde- und Analysenstelle Informationssicherung MELANI

Quelle: www.wikipedia.org

Print Friendly, PDF & Email