Gefahr erkannt, Gefahr gebannt?|Cyber-Versicherungen

DangerHackerangriffe auf Fernsehsender oder den Deutschen Bundestag, Diebstahl von Millionen von Kreditkartendaten. Schlagzeilen wie diese liest man immer häufiger. Dabei werden nicht nur Großkonzerne und Behörden angegriffen, auch kleine und mittelständische Unternehmen sind zunehmend betroffen.

Das Thema Cyberkriminalität gewinnt an Bedeutung, doch Unternehmen zeigen sich bis dato eher zurückhaltend, was neue Absicherungsmöglichkeiten anbelangt. Aber warum eigentlich?

Anzeige

Die Initiative „Deutschland sicher im Netz“, die unter der Schirmherrschaft des Bundesministerium des Inneren steht, schätzte den wirtschaftlichen Schaden durch Cyberkriminalität 2014 in Deutschland auf mindestens 50 Milliarden Euro und verwies auf eine steigende Tendenz. Trotz der massiven Schäden investierten die Unternehmen aber zu wenig in Aufklärung, nur 28 Prozent aller Unternehmen führen regelmäßig Schulungen für Mitarbeiter zu diesem Thema durch. Aller Vorsicht zum Trotz eine hundertprozentige Sicherheit gegen Angreifer aus dem Netz gibt es nicht. Eine Cyberversicherung kann nicht nur die finanziellen Folgen von derartigen neuen Risiken in weiten Teilen auffangen, sondern hilft bereits im Vorfeld bei der Identifizierung und Bewertung von Risiken.

Maßgeschneidert auf den individuellen Bedarf

Kaum ein Unternehmen kann heute noch auf den Einsatz von Informationsund Kommunikationstechnik verzichten und ist damit potenziell gefährdet. Eine Cyber-Police muss jedoch auf die Anforderungen und strukturellen Erfordernisse eines Unternehmens und seines Geschäftsmodells zugeschnitten sein. Cyberversicherungen sind damit keineswegs ein „Produkt von der Stange“.

Dies spiegelt sich auch in der Produktgestaltung der Cyberpolice „ByteProtect“ von AXA wider. Diese Cyberversicherung umfasst in sieben individuell auswählbaren Deckungsbausteinen sowohl Eigen- wie Drittschäden. Sie übernimmt Kosten aufgrund einer Betriebsunterbrechung, Aufwendungen für externe Sachverständige und für die Wiederherstellung der Daten nach einer Cyber-Attacke.

Darüber hinaus sind die Kosten für Beratung und Kommunikation im Fall einer Rufschädigung versichert. Auch die Aufwendungen nach einer Datenschutzverletzung, Vermögensverluste durch Internetbetrug sind im Versicherungsschutz enthalten. Außerdem beinhaltet ByteProtect die gesetzliche Haftplicht des Versicherungsnehmers für Vermögensschäden Dritter beispielsweise infolge eines Cyber-Angriffs oder des Verlustes von Daten. Der Haftpflichtschutz greift dabei weltweit, also unabhängig davon, wo der Anspruchsteller seinen Sitz hat.

Der richtige Ansprechpartner Welche Bausteine für welches Unternehmen erforderlich sind, sollten Unternehmen gemeinsam mit ihrem Versicherungsberater im Kundengespräch erörtern. Abhängig von der Branche und dem Geschäftsmodell hat jedes Unternehmen seinen eigenen Risikobedarf. So ist für einen Webshop der Ausfall des Internetportals existenzgefährdend, für einen Steuerberater können Datenschutzverletzungen bedrohlich sein. Eine gute Cyber-Police berücksichtigt diese spezifischen Anforderungen. Je nach Situation ist es sinnvoll, gemeinsam mit dem Versicherungsberater die Risikosituation vor Ort im Unternehmen zu evaluieren. AXA selbst begleitet bei Bedarf diese Vor-Ort-Termine und unterstützt bei der Kalkulation der Risiken. Ansprechpartner aus der IT des Unternehmens sowie ggf. dem Controlling und der Sicherheitsabteilung sollten in das Gespräch eingebunden werden. Es muss zugleich deutlich gemacht werden, dass die Verantwortung für das Risikomanagement von Cyber-Risiken letztlich bei der Unternehmensleitung liegt.

Herausforderungen der Risikokalkulation

IT-Risiken müssen identifiziert, bewertet und durch technische wie organisatorische Maßnahmen reduziert werden. Als Hilfsmittel für die Priorisierung von Risiken dient beispielsweise eine Risikomatrix. Hierbei ist eine angemessene qualitative und möglichst auch quantitative Einschätzung erforderlich und möglich. Für die an die Analyse anschließende, zielgerichtete Risikobehandlung stehen als mögliche Maßnahmen die Vermeidung, die Verminderung, die Versicherung, bis hin zur Selbsttragung des Restrisikos zur Verfügung.

Jede Organisation verfügt über individuelle Risikofaktoren, die Berücksichtigung finden müssen. Beispiele sind der Umgang mit besonders sensiblen Daten, die Inanspruchnahme von Cloud-Diensten oder Spezifika der eigenen IT-Organisation. Im Rahmen der Analyse sollten die größten Risiken definiert, eingeschätzt und beobachtet werden. Jedem Risiko soll das mögliche Ausmaß und eine Eintrittswahrscheinlichkeit zugewiesen werden, so dass am Ende ein konkreter Zahlenwert steht. Kalkulieren Sie: Wie hoch sind die Kosten für Datenwiederherstellung, für eine Betriebsunterbrechung, Sachverständigenuntersuchungen, Informationskosten oder Bußgelder im Schaden Schadenfall? Nicht zuletzt aufgrund fehlender Statistiken ist das nicht leicht.

Welche Gefahren drohen durch Cyberattacken

1. Betriebsunterbrechung:
Betriebsunterbrechungen können teuer werden. Eine gute Cyber-Police deckt Ertragsausfall und Mehrkosten bei Unterbrechung der Systeme oder der Webseite ab.

2. Sachverständigenkosten:
Im Schadenfall müssen die Ursachen schnell gefunden und Sicherheitslücken geschlossen werden. Hierbei können Kosten für externe Sachverständige anfallen.

3. Datenverlust:
Nach einem Hacker- oder Schadsoftware-Angriff entstehen Kosten für die Wiederherstellung von Daten.

4. Rufschädigung:
Die Website ist offline, Kundendaten sind an die Öffentlichkeit gelangt. Solche Szenarien können die Reputation schädigen. Es entstehen Kosten für externe Krisenkommunikation oder juristische Beratung.

5. Datenschutzverletzung:
Der Umgang mit sensiblen Daten kann zu Datenschutzverletzungen führen. Gesetzlich geforderte Informationspflichten müssen beachtet werden.

6. Internetbetrug:
Betrug im Internet kann zu empfindlichen Verlusten führen. Diese Vermögensschäden können abgesichert werden.

7. Cyber-Liability:
Kommt es bei Dritten zum Vermögensschaden, ist die Haftpflichtdeckung angesprochen, die auch die Abwehr unberechtigter Ansprüche deckt.

Gefahr erkannt, Gefahr gebannt?

Eine ausführliche Beratung oder der Vor-Ort-Besuch durch Spezialisten des Versicherers schärfen das Risikobewusstsein. Bereits im Vorfeld kann eine Analyse durch den AXA IT-Check unter www.axa.de/Cyber-Versicherung bei der Ersteinordnung helfen. Obwohl viele Unternehmen die wachsende Bedrohung bereits erkannt haben und verstärkt in ihre IT-Sicherheit investieren, ist klar, dass ein Restrisiko bestehen bleibt. Hier setzt das Konzept der Cyberversicherung an, die im Schadenfall nicht nur finanziellen Ersatz bietet, sondern auch Assistance- Leistungen wie Rechtsberatung einschließen sollte. 

Dirk Kalinowski

www.axa.de/it-check

Artikel aus it security 12/2015, Seite 8-9

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.