Die erfolgreichen Cyber-Angriffe auf Stadler Rail und Meier Tobler haben Schäden in Millionenhöhe verursacht. Selbst bei kleineren und mittleren Unternehmen ist im Durchschnitt pro Attacke mit Kosten von 50 bis 100 kCHF zu rechnen.

Solche Angriffe nehmen weiter zu und werden immer ausgereifter, während Unternehmen und ihre Geschäftsmodelle immer stärker abhängig werden von der Digitalisierung und einem reibungslosen IT-Betrieb. Präventive Massnahmen zur Reduktion von Cyber-Risiken sind wichtig, Restrisiken sind aber nicht vermeidbar und können ein Unternehmen teuer zu stehen kommen. Cyber-Versicherungen bieten hier eine sinnvolle Ergänzung zum bestehenden Risiko-Management. Welche Schäden diese Versicherungen abdecken, warum dies Sinn macht und worauf es zu achten gilt, lesen Sie in diesem Blog-Artikel.


Cyber-Versicherungen kurz erklärt – welche Schäden gedeckt sind…

Obwohl es in der Schweiz noch keine Meldepflicht für Cyber-Attacken gibt, häufen sich Berichte darüber in den Medien. Man darf es nicht länger schönreden: Es kann jedes Unternehmen treffen.

Egal ob Denial-of-Service Attacke auf einen Online-Shop, ein Angriff mit Ransomware und ein damit verbundener Erpressungsversuch oder eine gezielte und individualisierte Phishing-Kampagne – die Spanne der verschiedenen Angriffsmethoden ist gross. Und gross ist auch das Schadenspotenzial. Neben der eigentlichen Wiederherstellung der Systeme und Daten entstehen Kosten für den Beizug von externen IT-Spezialisten, dem Rechtsdienst oder auch PR-Experten für die Krisenkommunikation. Je nach Auswirkungen müssen zudem Schadensansprüche von Dritten, z.B. Kunden, geprüft, behandelt und allenfalls auch abgegolten werden. Ein Betriebsunterbruch verursacht zudem grosse Schäden in Form von Produktivitätsverlust und entgangenen Erträgen.

Die in Unternehmen übliche Betriebshaftpflichtversicherung behandelt zwar das Verschulden des Versicherten gegenüber Dritten, in der Regel werden dabei jedoch nur Personen- und Sachschäden gedeckt. Bei Cyber-Angriffen handelt es sich primär um Vermögensschäden. Eine Cyber-Versicherung deckt sowohl die Schäden, welche der Versicherte einem Dritten verursacht, als auch Schäden, welche beim Versicherten selbst entstehen (Eigenschaden). Ansprüche Dritter entstehen, wenn der Versicherte durch Mängel in seinem System Daten dieser Dritten beschädigt, verliert oder deren Geschäftstätigkeit beeinträchtig. Zu den Eigenschäden gehören unter anderem der Verlust eigener Daten oder ein Ertragsausfall bei Betriebsunterbrechung.

Die folgende Auflistung zeigt, welche Schäden bzw. Kosten durch eine Cyber-Versicherung gedeckt werden können:

    • Wiederherstellung von verlorenen und beschädigten Daten
    • Wiederherstellung von IT-Systemen und Netzwerk
    • Untersuchungskosten inkl. Beizug von IT- und Forensik-Experten
    • Erpressungszahlungen (z.B. bei Ransomware)
    • Schäden aufgrund von Betriebsunterbrechungen inkl. Ertragsausfall (z.B. bei Denial-of-Service Attacken)
    • Aufwendungen für Krisenkommunikation und PR-Experten zur Minderung von Reputationsschäden
    • Kosten für rechtliche Abwehr unberechtigter Schadenansprüche Dritter
    • Ausgleich berechtigter Schadenansprüche Dritter
    • Haftung im Zusammenhang mit Datenschutz

Dabei ist es grundsätzlich irrelevant ob der Schaden durch eine Cyber-Attacke entstanden ist, durch eine Störung der internen Netzwerk-Sicherheit oder durch menschliches Versagen bzw. einen Programmierfehler. Eine Cyber-Versicherung kommt also nicht nur im Falle von Cybercrime zum Zug.


…und welche Schäden nicht gedeckt sind

Mittlerweile gibt es in der Schweiz viele Anbieter von Cyber-Versicherungen. Diese Angebote unterscheiden sich jedoch in Breite und Tiefe der versicherten Leistungen bzw. der Deckung, weshalb es wichtig ist die eigenen Cyber-Risiken gut zu kennen und die Bedürfnisse an eine Cyber-Versicherung korrekt abzuleiten.

Dabei sollte auch berücksichtigt werden, dass nicht alle möglichen Schäden bzw. Ursachen versichert werden können. Folgende Risiken können in der Regel noch nicht abgedeckt werden:

    • Unterbrechung des Internets
    • Geldüberweisung infolge von Social Engineering (z.B. C-Level Fraud)
    • Entgangene Erträge durch Reputationsschaden
    • Schadensersatz infolge Verletzung von geistigem Eigentum
    • Wiederbeschaffung von Hardware

Für diese Fälle bleibt dem Unternehmen nur die Möglichkeit, das Auftreten und/oder das Schadensausmass durch technische und organisatorische Massnahmen zu reduzieren oder das Risiko zu akzeptieren.

Aber auch die versicherbaren Risiken können tückisch sein, wie es der Rechtsstreit zwischen dem Lebensmittelunternehmen Mondelez und der Zurich Insurance Group zeigt. Mondelez hatte sich gegen Schäden im Zusammenhang mit Ausfällen der IT-Systeme versichert, wobei Schadsoftware als Ursache ausdrücklich miteingeschlossen war. 2017 wurde Mondelez Opfer der Malware NotPetya, welche einen massiven Schaden anrichtete. Die Versicherung zahlte einen Teil der Versicherungssumme aus, weigerte sich aber den Rest zu überweisen. NotPetya sei als kriegsähnliche Handlung durch einen staatlichen Akteur einzustufen, da Russland als Urheber dieser Ransomware bestimmt werden konnte. Solche Schäden sind üblicherweise von Versicherungspolicen ausgeschlossen.

Dieser Punkt ist insofern problematisch, da Malware, welche ursprünglich staatlich finanziert oder entwickelt wurde, nicht selten später auch anderen Cyber-Kriminellen zur Verfügung steht.


Und jetzt? Cyber-Risiken gehören ins Risiko Management und zwar auf höchster Ebene!

Cyber-Versicherungen sind keine Wunderwaffen und sollten schon gar nicht losgelöst von anderen Massnahmen in Betracht gezogen werden. Unternehmen müssen davon wegkommen, die Verantwortung von IT-und Cyber-Risiken der IT-Abteilung zu überlassen. Mit der bereits bestehenden und weiter stark ansteigenden Abhängigkeit von der IT müssen diese Risiken zwingend durch Verwaltungsrat und Top-Management behandelt werden.

Im Rahmen des Risiko-Managements der Unternehmung müssen auch Cyber-Risiken aufgrund von Eintrittswahrscheinlichkeit und Schadensausmass eingeschätzt und wirksame Massnahmen definiert werden. Bagatellrisiken können durch das Unternehmen selbst getragen werden, aber bei den kritischeren Fällen ist eine Cyber-Versicherung eine sinnvolle Ergänzung zur bestehenden Praxis. Da das Spektrum von Cyber-Angriffen sehr breit ist, lässt sich kaum alles versichern. Ein professionelles Risiko-Management sollte hier Antworten geben, welches die relevanten Fälle sind und wo es sich finanziell lohnt, in eine Versicherung zu investieren. Dabei sollte unbedingt berücksichtigt werden, ob es bereits Überschneidungen mit bestehenden Versicherungen gibt, z.B. zum Thema Betriebsunterbrechung.

Kürzlich war ich im Gespräch mit einem IT-Leiter eines Industrie-Unternehmens, der sich beklagt hat, dass die Unternehmungsleitung für die Cyber-Versicherung viel Geld ausgebe, welches er lieber in weitere technische Massnahmen investieren würde. Letztendlich ist der richtige Mix von Massnahmen entscheidend. Präventive Massnahmen sind gut, schützen aber nicht zu 100%. Restrisiken sind unvermeidbar und müssen ebenso wirksam behandelt werden. Dabei darf ein Aspekt nicht vergessen werden: Das schnelle Erkennen eines Angriffs, sowie eine unmittelbare Reaktion darauf können ebenso zur Schadensminderung beitragen wie präventive Massnahmen. Investitionen in technische Massnahmen zu Detection & Response sind daher ebenso sinnvoll wie das in Betracht ziehen einer Cyber-Versicherung.

Wer eine Cyber-Versicherung abschliessen möchte, dürfte sowieso mit einem Massnahmenkatalog konfrontiert werden, denn Versicherungen stellen typischerweise Mindestanforderungen an die IT-Security-Vorkehrungen der Unternehmen. So rät beispielsweise der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) im Minimum folgende 10 Sicherheitsstandards umzusetzen bzw. einzuhalten:

    1. Anti-Viren-Programme sind stets auf dem aktuellen Stand zu halten.
    2. Mindestens einmal wöchentlich muss eine Datensicherung erfolgen.
    3. Updates und Sicherheits-Patches für Software sind zeitnah einzuspielen.
    4. Das Netzwerk muss durch eine Firewall sowie Security-Monitoring- und Intrusion-Prevention-Lösungen gesichert sein.
    5. Zugänge für IT-Administratoren müssen eingerichtet und Zugriffsrechte beschränkt werden.
    6. Zugänge für Mitarbeitende sind mit eigenen Zugangsdaten einzurichten.
    7. Anwender sollten dazu gezwungen werden, komplexe Passwörter zu benutzen und regelmässig zu ändern.
    8. Mobile Endgeräte sowie Datenträger sind zu verschlüsseln und durch Zwei-Faktor-Authentifizierung (2FA) zu sichern.
    9. Sicherungskopien sind physisch getrennt vom Server/den Daten aufbewahren.
    10. Das Backup-Konzept muss regelmässig getestet werden (Wiederherstellung der Daten).

Fazit

Während die Abhängigkeit von Digitalisierung und IT weiter massiv zunimmt, wittern immer mehr Kriminelle das Geschäft mit Cyber-Angriffen. Egal wie viel Zeit und Geld Unternehmen in Massnahmen gegen diese IT-Bedrohungen investieren, ein Restrisiko bleibt und das kann sehr kostspielig werden.

Cyber-Risiken gehören ins Risiko-Management des Top Managements und sollten regelmässig neu beurteilt werden. Präventive Massnahmen sind gut, es macht aber Sinn sich bezüglich Restrisiken mit dem Thema Cyber-Versicherungen auseinanderzusetzen, um die potenziellen finanziellen Schäden zu begrenzen. It’s all in the mix. Dabei sollten auch technische Lösungen zu Detection & Response berücksichtigt werden, da sie ebenso zur Schadensminderung beitragen können, indem sie Angriffe frühzeitig erkennen und die Möglichkeit bieten, sofort darauf zu reagieren.

Wo wir in diesem Blogartikel zu Cyber-Versicherungen noch an der Oberfläche gekratzt haben, versuchen wir in Teil 2 einen tieferen Einblick zu geben zu Bedingungen, Abdeckung, Praxistauglichkeit, Risiken und Nebenwirkungen. Dazu fragen wir den Experten. Stay tuned. 🙂


Links