PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

OMX Online Marketing Konferenz
16.11.17 - 16.11.17
In Salzburg

VersicherungCyberkriminalität ist nicht nur ein Datenschutzthema – der jährliche volkswirtschaftliche Schaden ist enorm, die Liste potentieller Delikte und Schadenfälle ist lang. Die Frage ist längst nicht mehr, ob ein Unternehmen zu Schaden kommt, sondern eher, wann dies geschieht. 

Wie steht es um die Lage deutscher Unternehmen, die – insbesondere im Mittelstand – oftmals keine entsprechenden Schutzmaßnahmen ergreifen bzw. sich nicht selbst schützen können? Ulrich Parthier sprach darüber mit Stefan Sievers, Underwriting Manager Specialty Lines bei Hiscox.

Ulrich Parthier: Das Thema Cyberkriminalität und Gefahren aus dem Internet findet verstärkt Eingang in die Berichterstattung. Können Sie auch ein Umdenken in der Wirtschaft feststellen?

Stefan Sievers: Die deutsche Wirtschaft muss ihre Sicherheitsvorkehrungen gegen digitale Gefahren verstärken. Der Gesetzesentwurf der Bundesregierung zur Erhöhung der Sicherheit von IT-Systemen wird sicherlich dazu beitragen und Handlungsdruck erzeugen: Zwar wird die Meldepflicht von Cyberunternehmen kontrovers diskutiert, weil man zusätzlich zu monetären auch Imageschäden fürchtet, sobald Sicherheitslücken öffentlich werden. Insgesamt aber erscheint uns der Vorstoß der Politik positiv, weil er dem Bereich Cyber-Security die längst überfällige Aufmerksamkeit zukommen lässt. Und den besten Schutz gegen Cyberangriffe bietet letztlich nur verstärkte Prävention.

Dennoch stecken weiterhin viele Unternehmen den Kopf in den Sand, wenn es um digitale Gefahren geht. Dies zeigt auch unsere jährlich durchgeführten Studie „Hiscox DNA of an Entrepreneur Report 2014“, die ein genaues Bild der wirtschaftlichen Lage kleiner und mittelständischer Unternehmen u.a. in Deutschland, den USA, Großbritannien und Frankreich zeichnet. Im Ergebnis geht es dem deutschen Mittelstand sehr gut, dem produzierenden Gewerbe sogar hervorragend. Doch konträr zur wirtschaftlichen Entwicklung sind deutsche KMUs immer noch am schlechtesten gegen Cyberrisiken abgesichert: 95 Prozent der befragten Mittelständler besitzen keine Versicherung gegen Onlinekriminalität, 38 Prozent halten Datenverlust zwar für ein bedeutendes Risiko, sind jedoch nicht dagegen versichert, und 28 Prozent der Unternehmen verwenden nicht mal ein systematisches Backup-System.

Hiscox Klein

Ulrich Parthier: Sie bieten mit Cyber Risk Management bereits seit 2011 eine Police zur Absicherung gegen Cyberkriminalität. Warum wurde es nötig, eine Version 2.0 auf den Markt zu bringen?

Stefan Sievers:  Wir haben vor allem die Vertragsbedingungen unserer bewährten und zunehmend nachgefragten Police vereinfacht und die Ausschüsse deutlich reduziert: Der Antrag lässt sich jetzt schneller ausfüllen. Unternehmen mit einem Jahresumsatz unter 50 Millionen Euro müssen lediglich sieben kurze Fragen auf zwei Seiten beantworten, was insbesondere mittelständischen Unternehmen entgegenkommt. Und nicht zuletzt lässt sich optional nun auch die Betriebsunterbrechung im Gewerbe versichern, was bisher nur Online-Handelsunternehmen möglich war. Eine weitere Neuerung ist die Erweiterung der Präventionsleistungen, denn wie jedes gute Risikomanagement steht auch unser Konzept auf zwei stabilen Beinen: Absicherung und Vorsorge. Ab sofort erhält jeder Kunde bei Vertragsschluss einen individualisierten Krisenplan, dessen Grundprinzip gemeinsam mit unserem Partner HiSolutions entwickelt wurde, einem deutschen Beratungsunternehmen für IT-Sicherheit.

Ulrich Parthier:Lohnt sich eine Versicherung gegen Cyber-Risiken auch finanziell?

Stefan Sievers:  Unternehmen sollten stets bedenken, welche immensen Kosten ein Hacker-Angriff verursachen kann. Werden beispielsweise Kreditkartendaten gestohlen, kann sich der Schaden schnell auf Millionenhöhe summieren: Das betroffene Unternehmen benötigt IT-forensische Gutachten zur Beweissicherung, Rechts- und PR-Beratung, muss Schadenersatzzahlungen leisten und der gesetzlich vorgeschriebenen Informationspflicht für betroffene Kunden nachkommen. Dem gegenüber treten die Präventionskosten für unsere Versicherung schnell in den Hintergrund.

Ulrich Parthier:Welche Szenarien sind noch durch die Police Cyber Risk Management abgedeckt?

Stefan Sievers:  Die Versicherung deckt nahezu alle denkbaren Schäden durch Hacker-Angriffe oder Datenverlust ab. Dazu zählen beispielsweise Umsatzeinbrüche von Händlern und Herstellern, deren Webseiten oder Maschinen von Kriminellen lahmgelegt wurden. Aber auch der Verlust von physischen Datenträgern mit sensiblen Daten ist versichert. Der Versicherungsschutz greift nicht nur, wenn diese Geräte durch einen Einbruch ins Büro gestohlen werden, sondern auch, falls ein Mitarbeiter die Datenträger beispielsweise in der Bahn oder am Flughafen liegen lässt. Ebenfalls abgedeckt sind entsprechende Folgekosten für Datenrekonstruktion und -neuerfassung, wenn beispielsweise Einträge aus einem Online-Verwaltungssystem gestohlen oder mutwillig gelöscht wurden, oder der Aufwand für die Information betroffener Kunden sowie Kosten für Rechtsberatung und IT-Forensik.

Ulrich Parthier:Angenommen, ein Unternehmen, das bei Hiscox versichert ist, wird Opfer eines Hacker-Angriffs. Was passiert dann?

Stefan Sievers: Vor allem setzen wir alles daran, dass unsere Kunden auf den Krisenfall vorbereitet sind. Deshalb erhält jeder Kunde bei Vertragsabschluss einen Krisenplan, der von unserem Krisenberater HiSolutions individuell auf den Kunden angepasst wird. Bei komplexeren Risiken führen unsere Experten eine Risikoanalyse durch und helfen bei der Implementierung eines stabilen Sicherheitssystems. Kommt es dennoch zum Schadenfall, greift sofort der individuelle Krisenplan. Der Vorteil liegt darin, dass die Geschädigten nicht erst überlegen müssen, was nun zu tun ist, und womöglich in blinden Aktionismus verfallen. Stattdessen wird schnell und effektiv vorgegangen, nicht zuletzt, um alle erdenklichen Folgekosten zu minimieren.

Zunächst erstellen Experten ein IT-forensisches Gutachten um herauszufinden, auf welchem Weg die Kriminellen in das System des Unternehmens eingedrungen sind, denn nur so lassen sich belastbare Beweise für nachfolgende Auseinandersetzungen vor Gericht sammeln und die Sicherheitslücken schließen. Parallel dazu stellt Hiscox seinen Versicherungsnehmern PR-Profis an die Seite, die verhindern sollen, dass aus dem Vorfall ein Medien-Skandal wird. Und natürlich übernehmen wir als Versicherer auch die finanziellen Schäden, die durch Umsatzeinbußen, Schadenersatzansprüche oder Portokosten entstehen.

Ulrich Parthier:Wie können Sie als Versicherungsunternehmen all diese Bereiche abdecken – sich neben der finanziellen Schadenregulierung auch um IT-Sicherheit und Rechtsberatung zu kümmern?

Stefan Sievers: Wir arbeiten auf allen Gebieten mit Experten zusammen. HiSolutions testet beispielsweise für uns die Sicherheitssysteme der Versicherten und führt speziell auf die Bedrohungspotenziale zugeschnittene Risikoanalysen durch. Außerdem übernehmen sie im Ernstfall das Krisenmanagement. Um alle rechtlichen Fragen zum Thema Datenschutz und -sicherheit kümmert sich eine international renommierte Anwaltskanzlei. Die Kooperation mit Spezialisten ist ein Kernpunkt unseres Angebots und ermöglicht auch kleineren Unternehmen den Zugang zu Dienstleistungen, die sich oftmals nur Konzerne leisten können.

Ulrich Parthier:Herr Sievers, wir danken Ihnen für das Gespräch!

www.hiscox.de

www.hisolutions.com

Weitere Artikel über IT Risk Versicherungen finden Sie in der Print Ausgabe it security:

Cyber-Risiken: Richtig einschätzen und effektiv bewältigen
Wie können Unternehmen ihre Cyber-Risiken analysieren und den Gefährdungsgrad bestimmen?

Versicherungen von Cyberrisiken
Wegweiser durch den Dschungel. Jedes Unternehmen, das mit elektronischen Daten zu tun hat, ist mit Cyber-Risiken konfrontiert.


Diesen Artikel lesen Sie auch in der it management mit Supplement it security 12-2014.

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet