Cyberversicherungen

IT-Risiken vorbeugen, IT-Schäden begrenzen

| Autor / Redakteur: Michael Sauermann* / Peter Schmitz

Cyberversicherung in die vorhandene Risikostrategie zu integrieren, kann sich, angesichts des steigenden Risikos Opfer von Cyber-Angriffen zu werden, für Unternehmen durchaus lohnen.
Cyberversicherung in die vorhandene Risikostrategie zu integrieren, kann sich, angesichts des steigenden Risikos Opfer von Cyber-Angriffen zu werden, für Unternehmen durchaus lohnen. (© alphaspirit - Fotolia.com)

Daten gelten heute als Rohstoff des 21. Jahrhunderts. Ihren hohen Wert haben längst auch Internetkriminelle erkannt – das Risiko von Cyberattacken für deutsche Unternehmen steigt zunehmend. Im Schadensfall entstehen rasch Verluste in Millionenhöhe. Wie lassen sich diese begrenzen und was leisten Cyberversicherungen?

Die rasante technologische Entwicklung führt in nahezu allen Branchen zu einem gravierenden Wandel. Damit einher geht die Generierung enormer Datenmengen – die es von den Unternehmen gewinnbringend zu nutzen gilt. Daten haben sich längst zu einem bedeutenden Rohstoff des heutigen Geschäftslebens entwickelt. Ihr hoher Wert weckt jedoch auch Begehrlichkeiten von Cyberkriminellen: Studien zufolge wurde in den letzten Jahren fast jedes zweite deutsche Unternehmen das Ziel von Cyberangriffen.

Vorfälle wie der Diebstahl von Kunden-, Mitarbeiter- oder Finanzdaten, die Manipulation vertraulicher Informationen, das Lahmlegen von Produktionsanlagen oder digitale Erpressung via Ransomware können hohe finanzielle Schäden verursachen. Doch nicht nur die kurzfristigen Folgen sind gravierend. Auch langfristige Auswirkungen wie etwa Imageschäden, Sanktionen oder Rechtskosten sind für ein Unternehmen fatal. Vor allem für kleinere Firmen, die meist nicht über entsprechende Kapazitäten zur Schadensbehebung verfügen, können Angriffe existenzgefährdend sein. Experten zufolge kam es infolge eines Angriffs bei etwa jedem zweiten Unternehmen innerhalb von sechs Monaten zur Geschäftsaufgabe.

Cyberkriminalität erreicht neue Ausmaße

Hinzu kommen stetig ausgefeiltere Methoden und ein immer professionelleres Vorgehen der Angreifer. Die kürzlich erfolgte DDoS-Attacke auf den DNS-Anbieter DYN.com bei der unter anderem Internetfirmen wie Netflix oder Twitter stundenlang lahmgelegt wurden, offenbart die hohe kriminelle Energie der Hacker, die bei ihrem Angriff erstmals im größeren Stil das „Internet der Dinge“ nutzten. Damit haben Cyberangriffe eine neue Dimension erreicht – die intelligente Vernetzung von Gegenständen wie Smartwatches, Babyfones, Fitnesstrackern etc. verbreitet sich sowohl in privaten Haushalten als auch in der Wirtschaft rasant und eröffnet eine Vielzahl neuer Angriffsflächen.

Für Unternehmen gilt es daher, sich bestmöglich zu wappnen – etwa durch effektive Firewalls, Antivirensoftware oder Backup-Lösungen, aber auch eine ganzheitliche Cyber Security jenseits der reinen IT, wie beispielsweise die Entwicklung von Krisenreaktionsplänen oder die Definition von Rollen, Verantwortlichkeiten und Prozessen. So wichtig Vorbeugung auch ist, eines zeigt die Realität jedoch deutlich: Ein 100-prozentiger Schutz vor Cyberangriffen ist angesichts der fortschreitenden Digitalisierung für technologieabhängige Unternehmen nicht erreichbar.

Cyberversicherung als Bestandteil der Risikostrategie

Angesichts des steigenden Risikos, Opfer von Internetkriminalität zu werden, und der damit verbundenen immensen Schäden stellt sich für Unternehmen zunehmend die Frage, inwieweit es lohnend sein kann, eine Cyberversicherung in die vorhandene Risikostrategie zu integrieren. Dabei handelt es sich um eine Zusatzversicherung, die Eigen- und Drittschäden im Zusammenhang mit Cyberkriminalität absichert. Je nach Police übernehmen Versicherer zudem teilweise oder gänzlich die Kosten zur Wiederherstellung der Betriebsfähigkeit, falls diese infolge eines Cyberangriffs nicht mehr gegeben ist. Zugleich ermöglicht eine Cyberversicherung, im Schadensfall Unterstützung durch Experten hinzuzuziehen, wie etwa PR- und Krisenberater oder IT-Forensiker.

USA als Best Practice

Die erste Cyberversicherungspolice kam 2011 auf den deutschen Markt. Auch wenn das Angebot seitdem kontinuierlich ausgeweitet wurde, ist es hierzulande noch vergleichsweise gering. Am verbreitetsten sind diese Zusatzversicherungen in den USA – sie gelten dort als Trendprodukte. Dagegen zeigen sich deutsche Unternehmen verhaltener: Trotz hohem Risikobewusstsein sichert sich Schätzungen von Versicherern zufolge nicht einmal jedes zehnte durch eine Cyberpolice ab.

Ein Grund hierfür könnte sein, dass es bislang kaum Kosten-Nutzen-Analysen gibt, da es sich um einen relativ neuen Markt handelt. Oftmals differieren auch das subjektive Sicherheitsempfinden und die eigentliche Gefährdungslage. Teilweise versuchen Unternehmen selbst, die Cybervorfälle aufzuarbeiten, auch wenn sie nicht über ausreichend interne Kapazitäten und Fachwissen verfügen. Dies kann zu höheren Schäden und wiederholten Vorfällen führen, da oft die Aufklärung verzögert wird und keine tiefere Ursachenermittlung erfolgt.

Passgenaue Police durch detaillierte Risikoanalyse

Eine auf die individuelle Risikosituation des Unternehmens zugeschnittene Cyberversicherung kann also durchaus sinnvoll sein. Die Regelwerke der Versicherer definieren explizit abgedeckte sowie ausdrücklich ausgeschlossene Schadensfälle, sind jedoch je nach Anbieter unterschiedlich ausgestaltet. Um die notwendige Risikoabdeckung für ihren spezifischen Fall zu ermitteln, empfiehlt sich daher für Unternehmen zunächst eine genaue Analyse der eigenen Risiken.

Cyberversicherung dokumentiert Risikobewusstsein der Versicherungsnehmer

Auch im Zuge des IT-Sicherheitsgesetzes (ITSiG) sowie zahlreicher branchenspezifischer Richtlinien und Verordnungen gewinnen Cyberversicherungen an Bedeutung. So werden sie zunehmend nicht nur im Rahmen regulatorischer Vorgaben, sondern auch seitens externer Shareholder erwartet, um die Interessen des Unternehmens zu schützen. Bei Mergers & Acquisitions gelten Cyberversicherungen ebenfalls immer mehr als probates Mittel, um Risiken zu reduzieren.

Oftmals profitiert ein Unternehmen allein von der Auseinandersetzung mit dem Thema Cyberversicherung: Da hierbei die Risikoszenarien und vorhandenen Schutzmaßnahmen kritisch in den Blick genommen werden, lassen sich bereits im Vorfeld Verbesserungspotenziale identifizieren und Sicherheitsstandards erhöhen.

Fundierte Risikoeinschätzung für Anbieter

Auch für Anbieter von Cyberversicherungen kann es zum Schutz des eigenen Geschäftsmodells sinnvoll sein, Maßnahmen zu implementieren, um den Risikograd von Unternehmen bestmöglich einschätzen zu können und die Gefahr häufiger Inanspruchnahmen zu minimieren. Bevor Versicherer eine Police abschließen, unterziehen sie das zu versichernde Unternehmen einer Risikoprüfung – etwa anhand einer Selbstauskunft mittels eines Fragebogens oder in Form eines Risikodialogs zwischen internen Sachverständigen des potenziellen Versicherungsnehmers und IT-Forensik-Experten. Zudem kann beispielsweise durch die Hinzuziehung externer Fachleute im Rahmen eines Cyber Security Assessments geprüft werden, wie es um das Sicherheitssystem eines Unternehmens bestellt ist.

Incident Cyber Response – Schnelligkeit entscheidet

Im Ernstfall ist rasches Handeln unabdingbar – etwa durch den Einsatz von IT-Sicherheitsfachleuten, Krisenmanagern, forensischen Spezialisten oder Rechtsexperten. Die Fähigkeit von Unternehmen, über die eigentliche Abwehr und Schadensbegrenzung hinaus einschätzen zu können, welcher Vorfall welche Maßnahmen erfordert, um beispielsweise eine zielgerichtete Beweisdatensicherung und forensische Analyse kompromittierter Systeme zu ermöglichen, und entsprechende interne und externe Spezialisten hinzuzuziehen, wird dabei immer wichtiger. Die meisten Cyberversicherer arbeiten deshalb mit ausgewählten IT-Experten zusammen, um Ihre Versicherungsnehmer im Fall der Fälle nicht alleine im Regen stehen zu lassen.

Passende Policen – je nach spezifischer Risikolage

Unternehmen, die erwägen, eine Cyberversicherung abzuschließen, sollten zunächst den Status quo ihrer Schutzmaßnahmen und Risiken sowie ihren konkreten Sicherheitsbedarf analysieren. Welche Daten und Systeme sind besonders zu schützen? Welche Reaktionsmechanismen setzen im entscheidenden Moment ein? Wer ist im Unternehmen der definierte Krisenmanager? Sind angemessene Kommunikationskanäle für interne und externe Stakeholder etabliert? Üblicherweise beginnen Versicherer den Risikodialog mit diesen und ähnlichen Fragen, um ein Gespür für die Cybersicherheit des künftigen Versicherungsnehmers zu erhalten.

Es werden im deutschen Markt bereits eine Reihe unterschiedlicher Cyberversicherungen angeboten, die allesamt ihre Feinheiten aufweisen. Hier gilt dasselbe Prinzip wie für die klassischen Versicherungen: unterschiedliche Ausprägungen in Bezug auf Beiträge, Deckungssummen und abgedeckte Schäden sollten von den Unternehmen im Rahmen Ihrer Bedarfsfindung evaluiert und ausgewählt werden. Hat sich der Leistungsumfang der einzelnen Versicherer bei den klassischen Versicherungen über die letzten Jahre zum Teil einander angenähert, unterscheiden sich Cyber-Versicherungen in der Regel noch stark in ihrem Leistungsspektrum. Hier gilt es, für die Unternehmen einen bedarfsgerechten Versicherungsumfang auszuwählen.

Damit die spezifischen Gefährdungen eines Unternehmens bestmöglich abgedeckt sind und die Cyberversicherung dessen gesamte Cyberverteidigungsstrategie wirkungsvoll ergänzen kann, empfiehlt sich das Einbinden externer Sachverständiger bereits bei der Anbahnung zwischen Versicherungsnehmer und Versicherer.

* Michael Sauermann ist Partner im Bereich Forensic Technology bei KPMG AG Wirtschaftsprüfungsgesellschaft und betreut insbesondere die Bereiche Cyber Forensic / Cyber Investigations sowie Forensic Data Analytics.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44409614 / Risk Management)