Blickpunkt

Trügerisches Sicherheitsgefühl
Was für eine Cyber-Versicherung spricht

Jan Kempermann

Das Risiko von Cyberangriffen ist nicht neu, dennoch sahen sich in der Vergangenheit viele Unternehmen nicht davon betroffen. Das hat sich im Laufe der vergangenen Monate verändert: Der Umstand, dass coronabedingt viele Unternehmen ihre Mitarbeiter ins Homeoffice schickten, hat das Thema auf andere Weise in den Fokus gerückt. Zwar ist die Ausweitung der Arbeit im Homeoffice ein großer Schritt in Richtung Digitalisierung, doch sie schafft zugleich auch viele zusätzliche Anfälligkeiten und Abhängigkeiten.

Spätestens seit dem Cyberangriff auf die Funke-Mediengruppe dürfte jedem bewusst geworden sein, wie umfangreich und langwierig Cyberschäden sein können. Große Tageszeitungen erschienen trotz aller Bemühungen des Medienkonzerns mit Notausgaben. Nicht immer wird ein Cyberangriff öffentlich so direkt wahrgenommen. Viel häufiger werden solche Vorfälle jedoch aus Angst vor Imageschäden im Hintergrund gehalten. 

Absicherung noch kein Standard

Die Abschlusszahlen von Cyber-Deckungen steigen inzwischen stetig, gehören jedoch noch lange nicht zum Standard. Die Entscheidung gegen eine Cyber-Deckung liegt häufig darin begründet, dass das eigene Risiko falsch eingeschätzt wird. Kleine und mittelständische Unternehmen halten sich oft für nicht interessant genug, als dass Hacker einen Angriff starten würden. Andere wiederum sind überzeugt davon, dass die hausinternen Sicherheitsvorkehrungen ausreichen.

Realität sieht anders aus

Dieses Sicherheitsgefühl ist trügerisch und riskant – letztlich entscheidet allein der Angreifer über die Wertigkeit eines Ziels. Nicht immer geht es den Tätern um das große Geld. Auch sensible Daten kleinerer Unternehmen sind unter Umständen so wertvoll, dass sich ein Angriff lohnt. Grundsätzlich lassen sich zwei wesentliche Beweggründe erkennen:

  • gezielte Suche nach wertvollen, vertraulichen Informationen zum eigenen Nutzen (etwa Entwicklungsergebnisse oder Verfahrenstechniken)
  • Erpressung und Betrug, vorbereitet durch systematische Analyse von möglichen Schwachstellen – ein hochprofessionelles Szenario, ausschließlich auf Profit ausgelegt

Weniger häufig, aber nicht weniger gefährlich, sind Angriffe, deren Fokus auf dem Schaden an sich liegt, ohne wirtschaftliches Interesse.

Achtung DSGVO

Jedes Unternehmen arbeitet immer öfter nur noch mit digitalen Daten. Ob Kunden, Patienten, Klienten oder Lieferanten – alle Daten sind für die Arbeitsabläufe unverzichtbar und unterliegen obendrein dem Datenschutz. Sind sie von einem Moment auf den anderen nicht mehr verfügbar, droht schnell eine Betriebsunterbrechung und unter Umständen eine Störung der gesamten Lieferkette. Tatsächlich spielt der Schutz dieser Daten seit der Datenschutzgrundverordnung eine noch größere Rolle, denn die Unternehmen sind dem umfänglichen Schutz dieser Daten verpflichtet. Werden im Rahmen eines Cyberangriffs also vertrauliche Daten – zum Beispiel persönliche Kundendaten, Personalakten oder ähnliches – veröffentlicht beziehungsweise frei zugänglich, so kann das auch ein Verstoß gegen die DSGVO sein. Das ist insbesondere dann der Fall, wenn die im Gesetz genannten Fristen für die Meldung eines Vorfalls nicht eingehalten werden. Ein Umstand, der ebenfalls im Zuge von oft weniger geschützten Arbeitsplätzen im Homeoffice an Bedeutung gewinnt. Denn hier kann der Schaden auch ohne direkten Hackerangriff erfolgen. Für Unternehmen ist es daher wichtig zu wissen, dass Schäden, die aus solchen Vorfällen hervorgehen, in der Cyberversicherung mit abgedeckt sein können.

Risiko oft nicht eindeutig

Ein weiterer Trugschluss kommt zum Tragen, wenn Unternehmen davon ausgehen, dass die klassischen Versicherungen derartige Schäden abdecken. Zwar sind viele Begrifflichkeiten identisch, doch die Voraussetzungen für die Deckung, die definierten Gefahren oder der Deckungsumfang sind nicht so, dass Cyberschäden die Deckung auslösen könnten. Um diese Lücke zu schließen, wurden spezielle Deckungen entwickelt, um Schäden, die aus einer Informationssicherheitsverletzung entstehen können, abzusichern. Dafür muss nicht immer ein Hackerangriff verantwortlich sein. Es genügt auch, wenn beispielsweise ein unternehmensinternes Bewerberportal nicht abgesichert ist und die vertraulichen Daten aller Bewerber offen zugänglich sind.

Cyber-Versicherung kann viel mehr

Natürlich stehen für die meisten Versicherten im ersten Moment die finanziellen Schäden im Fokus. Doch gerade bei der Cyber-Versicherung stehen vor allem die umfangreichen Assistance-Leistungen im Vordergrund. Deren Umfang hat sich in den vergangenen Jahren stetig weiterentwickelt und kann neben individuellen Versicherungslösungen mit starken Assistance-Leistungen aufwarten, die in dieser Form einmalig sind. Die Cyber-Versicherung leistet deutlich mehr als die Bewältigung des finanziellen Schadens. Im Falle eines Angriffs erhält das versicherte Unternehmen von der ersten Minute an aktive Unterstützung durch diverse Fachleute. Dazu gehören – je nach Vertragslösung – verschiedene Aspekte wie eine 24-Stunden-Hotline, fachkompetente IT-Forensik, Unterstützung bei der Pressearbeit, Rechtsberatung, Unterstützung bei der Einhaltung der gesetzlichen Informationspflichten sowie Deckung der Kosten für Betriebsunterbrechungen oder Wiederherstellung. Damit stellt der Versicherer ein umfangreiches und sofort einsatzbereites Hilfsprogramm zur Verfügung, das der Geschädigte selbst in einer solchen Situation nicht leisten könnte.

Leistung des Maklers

Am Anfang unserer Tätigkeit steht immer eine umfangreiche professionelle Risikoermittlung, auf deren Basis wir passende Möglichkeiten ausloten. Die Risiken sind so unterschiedlich wie die Unternehmen selbst. Die Risikoanalyse hilft, herauszuarbeiten, welche Möglichkeiten der Absicherung jeweils zum Tragen kommen. Dazu zählen Fragen nach der Aufstellung der IT, nach der Digitalisierung, nach der IT-Sicherheit und auch nach möglichen Schadenszenarien, um stimmige Deckungssummen zu ermitteln. Bei der Ermittlung dieser Informationen begleiten und unterstützen wir als Makler unsere Kunden. Aus diesem Grund hat die GGW-Gruppe in Zusammenarbeit mit erfahrenen IT-Forensikern und Rechtsanwälten den „GGW Cyber Secure Quick-Check“ entwickelt. Er bietet die Möglichkeit einer ersten Bestandsaufnahme und liefert schnelle Ergebnisse zu vermeintlichen Risiken der IT-Infrastruktur. Mithilfe von Interviews werden die vorhandenen Systeme und Maßnahmen, die im Zusammenhang mit IT-Sicherheit und Datenschutz stehen, einer ersten Analyse unterzogen. Abschließend erhält das Unternehmen eine Einschätzung des Fachmanns, wo Handlungsbedarf besteht.

Jeder ist bedroht

Entscheidend ist die Erkenntnis, dass das Risiko eines Hackerangriffs für jede Unternehmensgröße und für jede Branche existiert, wenn auch in unterschiedlichen Umfängen und Auswirkungen. Erst wenn diese Erkenntnis da ist, können Makler aktiv werden und beginnend mit der Risikobewertung den Grundstein für die künftige Sicherheit legen. In jedem Fall lässt sich feststellen, dass die Prämien in keinem Verhältnis zu den möglichen Schäden stehen, die durch einen Cyberangriff ins Rollen geraten.

www.ggw.de