IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

RegenschirmCyber-Policen sind derzeit im Trend. Dirk Kalinowski, Experte für Cyberversicherungen bei AXA, erklärt, wie Unternehmen bei der Suche nach einer passenden Police am besten vorgehen sollten und was eine gute Cyber-Versicherung auszeichnet.

Eine funktionsfähige IT sowie eine reibungslose Anbindung an das Internet sind für Unternehmen heute wirtschaftlich überlebenswichtig. Daher steigt der Anspruch an die Zuverlässigkeit und Verfügbarkeit der IT. Doch die Netzwerke werden zunehmend zur Zielscheibe digitaler Kriminalität. Die Schäden durch Hacking-Angriffe und gezielte Wirtschaftskriminalität können immens sein. Allein in Deutschland beträgt der jährliche finanzielle Schaden durch Internetkriminalität nach Schätzungen des Branchenverbandes Bitkom 50 Milliarden Euro.

Damit gewinnt IT- und Datensicherheit für nahezu jedes Unternehmen massiv an Bedeutung und sollte fester Bestandteil des Risikomanagements sein. Dabei gilt es zu klären, in welchen Bereichen Abhängigkeiten von Internet, Daten und IT-Systemen bestehen und welche Auswirkungen ein Schaden auf die Geschäftsprozesse haben kann. Die Ergebnisse fließen in das aktive Risikomanagement ein. Dafür ist in der Regel die Geschäftsführung verantwortlich. Sie muss die Risiken in ihrem Betrieb identifizieren, analysieren, bewerten und technische wie organisatorische Maßnahmen zur Bewältigung von Risiken ergreifen. Die Herausforderung: Oft fehlen der Geschäftsführung ausreichende Kenntnisse der IT-Infrastruktur. Deshalb bindet sie häufig die IT-Leitung oder sogar einen externen IT-Dienstleister in die Risikoanalyse ein. Nur durch eine gute Zusammenarbeit kann die Risikoanalyse erfolgreich sein. Hier gilt es im konstruktiven Dialog Schwachstellen aufzudecken und Lösungen dafür zu schaffen. Denn oft sind Lücken im System mangelnden Investitionen in die IT-Infrastruktur geschuldet und nicht etwa dem Versäumnis z. B. eines Dienstleisters zuzuschreiben.

Die Herausforderung liegt in einer sinnvollen, realistischen Bewertung – häufig ist das Bewusstsein für die großen Risiken zwar vorhanden, aber die Bewertung bleibt vage. Ein kompetenter Versicherungspartner kann in diesem Prozess hilfreich sein, denn er beurteilt die Risikolage aus einer neutralen Perspektive und mit viel Erfahrung. Der AXA Konzern ist einer der führenden Anbieter auf dem Feld der Cyberversicherung und bietet je nach Größe des Unternehmens verschiedene Lösungen an: Vom standardisierten Versicherungspaket für kleinste Betriebe bis zum individuellen Konzept für große Unternehmen. Zur Bewertung der Risikolage steht im ersten Schritt ein Risikofragebogen zur Verfügung (www.axa.de/it-check), der dem Geschäftsführer und auch der Versicherung dabei hilft, sich ein Bild über die Risikolage des Betriebs zu verschaffen. Ab einer Größenordnung von 50 Mio. Euro Umsatz finden bei Bedarf individuelle Gespräche mit dem Kunden statt, um die Risiken zu bewerten und zu diskutieren. Im Zentrum steht die Frage: Welchen Schäden sind zu befürchten, welches sind die größten Abhängigkeiten?

Nicht nur Cyber-Attacken stellen ein Risiko dar

Ein Beispiel: Unternehmen mit einem ausgelagerten ERP-System, die nur eine einzige Internet-Anbindung haben, sind besonders stark gefährdet. Wenn zum Beispiel ein Bagger bei Bauarbeiten in der Nähe des Betriebs das Internet-Kabel beschädigt, kann das Unternehmen möglicherweise über einen längeren Zeitraum, nämlich bis zur Reparatur des Kabels und Wiederherstellung der Verbindung, auf die Systeme nicht oder nur beschränkt zugreifen. Hieraus kann je nach Betriebsart ein empfindlicher Schaden entstehen. In einem anderen Fall setzt ein Fuhrbetrieb in seinen Fahrzeugen ein Telematiksystem zur Planung und Durchführung der Fahraufträge ein. Alle Aufträge sind in dem System gespeichert, die Fahrer erhalten alle Informationen über die Aufträge und Routen über ein Online-System im Fahrzeug, das mit einem Webserver eines Dienstleisters verbunden ist. Stürzt dieser Server ab, ist der Betrieb nicht mehr funktionsfähig und kann einen massiven Betriebsunterbrechungsschaden erleiden.

In einem weiteren Beispiel wird ein Maschinenbau-Betrieb Opfer eines Cyber-Angriffs. Hierdurch erfolgt eine Verschlüsselung aller Dateien. Betroffen sind dabei nicht nur Office-Dateien, sondern auch CAD-Zeichnungen und Konstruktionspläne für die Maschinen. Da auch das Backup von dem Angriff betroffen ist, kann der Betrieb keine Maschinen mehr bauen und verliert damit seine Geschäftsgrundlage. In solchen Fällen hilft eine Betriebsunterbrechungsversicherung. Sie trägt für bis zu einem halben Jahr die Kosten für Löhne und Gehälter, weitere laufende Kosten und den Gewinnausfall.

Im nächsten Schritt geht es darum zu klären: Welche Risiken kann der Betrieb vermindern, welche durch sinnvolle Maßnahmen vielleicht sogar vermeiden? Und welche Risiken kann der Betrieb selbst tragen, für welche braucht er Versicherungsschutz? Der Versicherungsschutz steht dabei am Ende einer Reihe von Maßnahmen, die der Geschäftsführer zum Schutz des Unternehmens selbst ergreifen kann: Das können Schulungen der Mitarbeiter oder die Einführung von Richtlinien sein, je nach Risikolage aber auch Investitionen in die technische IT-Sicherheit. Einige Versicherer bedienen sich externer Sachverständiger, um die Risiken gemeinsam mit dem Kunden zu bewerten. Große Versicherer wie zum Beispiel AXA können diese Leistungen aus einer Hand mit eigenen Experten anbieten. Der Vorteil für den Kunden: Auf diese Weise ist von vorherein ein Höchstmaß an Vertraulichkeit gewährleitet, sensible Informationen über den Betrieb bleiben in einer Hand.

Cyberversicherung Risikobewertung

Darauf sollten Unternehmer beim Versicherungsschutz achten

Eine gewisse Orientierung hinsichtlich des Versicherungsschutzes geben die gerade vom Gesamtverband der deutschen Versicherungswirtschaft (GDV) herausgegebenen Musterbedingungen. Jedoch gehen gute Angebote im Markt bereits weit über das hier empfohlene Mindestmaß hinaus. Risiken, die der Betrieb selbst nicht tragen kann, sollten über einen möglichst umfassenden Versicherungsschutz abgedeckt werden. Wichtig ist eine sinnvolle Baustein-Auswahl, die an den bereits bestehenden Versicherungsschutz anknüpfen kann. Außerdem sind eine hohe fachliche Kompetenz des Versicherers und ein zuverlässiges Netzwerk von IT-Dienstleistern als Partner gefragt, um im Schadenfall schnelle Hilfe zu gewährleisten. Dazu gehört zum Beispiel auch eine rund um die Uhr erreichbare Hotline.

Die Cyber-Versicherung ByteProtect von AXA umfasst in acht individuell auswählbaren Deckungsbausteinen sowohl Eigen- wie Drittschäden. Sie übernimmt Schäden aufgrund einer Betriebsunterbrechung, Aufwendungen für externe Sachverständige und für die Wiederherstellung der Daten nach einer Cyber-Attacke. Darüber hinaus sind die Kosten für Beratung und Kommunikation im Fall einer Rufschädigung versicherbar. Auch die Aufwendungen nach einer Datenschutzverletzung, Vermögensschäden durch Internetbetrug sowie bei Erpressung über das Internet sind im Versicherungsschutz enthalten. Außerdem beinhaltet ByteProtect die gesetzliche Haftplicht des Versicherungsnehmers wegen Vermögensschäden Dritter infolge eines Cyber-Angriffs. Der Haftpflichtschutz greift weltweit, also unabhängig davon, wo der Anspruchsteller seinen Sitz hat.

Nutzt ein Unternehmen die Möglichkeiten des Cloud-Computing, sind auch die damit verbundenen Risiken wie beispielsweise der Verlust des Zugriffs auf diese Daten oder die Folgen einer Datenschutzverletzung versicherbar. Unternehmen, die ihren Cyber-Schutz noch weiter fassen möchten, können zusätzlich IT-Anlagen zur Steuerung von Maschinen und Anlagen, sogenannte SCADA-Systeme, in die Versicherung einschließen.

Dirk KalinowskiDirk Kalinowski, Experte für Cyberversicherungen bei AXA

www.axa.de

 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet