Techn. Hotline
Öffnungszeiten
wochentags 08:00 bis 18:00

Cyber Versicherung: Vergleich von Hoffnung und Wirklichkeit

09
Sep

2019
SENTINEL

„Haben Sie bereits eine Cyber Versicherung?“ Ein Vergleich bzw. eine differenzierte Betrachtung der Risk-Szenarien und der Angebote der Cyber Versicherung Anbieter ist angesagt, bevor wir vorschnell und zitternd mit „Ich glaube (leider) noch nicht…“ auf die eingangs gestellte Frage antworten.

Cyber-Risk: welche Cyber Risiken bedrohen uns wirklich?

Die Cyberkriminalität ist allgegenwärtig und die Digitalisierung erschließt den Cyberkriminellen ständig neue Bereiche. Mit einer Cyber Versicherung erhofft sich mancher Unternehmer, dem Schadensrisiko eines Falles von Cyberkriminalität entfliehen zu können.

Die Cyber-Risiken sind sehr vielfältig. Wenn wir jetzt allerdings beginnen, alle Cyber Risiken im Detail aufzulisten, wird Ihre Geduld nicht bis zum Ende des Artikels reichen.

Deswegen betrachten wir zuerst einmal die wichtigere Information der finanzielle Größenordnung der Schäden, die typischerweise aus einem IT-Sicherheitsvorfall resultiert. Die Zahlen stammen übrigens von keinem geringeren als Deloitte. Im Deloitte Cyber Report wird das Beratungsunternehmen sehr konkret. Auch Kaspersky Lab hat entsprechende Zahlen ermittelt

Quellen: Deloitte, Kaspersky Lab

Zu den Kosten in der genannten Höhe wird die Wiederherstellung der Daten bzw. IT-Systeme sowie mögliche Vertragsstrafen gerechnet. Auch Fälle, in denen das Unternehmen in Haftung genommen wird, Imageschäden und Verluste aus der Abwanderung von Kunden und entgangene Umsätze zählen ebenfalls hierzu wie auch entstehende Personalkosten, ggf. Bußgelder und etwaige auf den Zwischenfall folgende Strafverfahren.

Alle diese Risiken auf eine Cyber-Versicherung abwälzen zu können, klingt sicher interessant, insbesondere bei den genannten finanziellen Größenordnungen. Verspielt ein Unternehmen allerdings seine Marktposition als Folge eines solchen Cyber-Zwischenfalls, wird es fraglich, ob eine Cyber-Versicherung hier Abhilfe schaffen kann. Verlorene Kunden sind nun mal fürs Erste verloren…

 

Cyber-Risikomanagement: „Wir doch nicht!“

Was ein wenig wie eine altbackene deutsche Einstellung klingt, ist tatsächlich Realität. Der Spezialversicherer Hiscox hat in einer Studie ermittelt, dass ein gutes Drittel der deutschen Unternehmen an einer Cyber Versicherung kein Interesse hat. Die Gothaer Versicherung hat in einer KMU-Studie ermittelt, dass gar nur 9 Prozent der KMU einen Cyber Schutzbrief besitzen. Zwei Jahre zuvor waren es sogar nur 7 Prozent.

Öl ins Feuer gießen dann Studien, welche ermitteln, dass wenigstens die Hälfte aller deutschen Unternehmen schon einmal Opfer einer Cyberattacke waren.  Der Schaden dabei? Der liegt im zweistelligen Milliarden-Bereich. Damit dürfte feststehen, dass ein „Wir doch nicht!“ nicht der passende Ansatz im Umgang mit Cyber Risiken ist.

 

Welche Cyber Risiken bestehen eigentlich?

Cyber Angriffe haben stets zwei Muster, nach denen sie erfolgen.

Verdeckte Cyber-Angriffe

Bei verdeckten Cyber-Angriffen werden bevorzugt Daten aus dem Unternehmen entwendet und missbraucht. Eine ganz bekannte Angriffsform ist das Phishing.

Der Schaden entsteht primär durch die Verwendung der gestohlenen Daten.

Angriff durch Schadsoftware

Ransomware ist hier ein Stichwort, das uns die Bedrohung wieder ins Bewusstsein holen wird. Schadsoftware wird über die IT-Infrastruktur eingeschleust und legt Teile der IT und manchmal auch der Produktion lahm.

Der Schaden entsteht primär durch Lösegeldzahlungen und die Folgen der Produktionsunterbrechung.

 

Frage: Wie geht man am besten mit Cyber-Risiken um?

Diese Frage liegt Ihnen sicher bereits seit einigen Minuten auf der Zunge. Die Antwort ist einfacher als Sie glauben. Mit den Cyber Risiken ist es nämlich wie mit anderen Risiken. Wer sie „proaktiv“ beseitigt (um dieses Unwort einmal mehr zu bemühen) der geht den besten Weg. Ein nicht existierendes Risiko muss nämlich auch nicht mehr versichert werden. Das spart also Geld und lässt ruhiger schlafen. Selbst ein lediglich reduziertes Risiko sorgt für mehr Sicherheit.

Antwort #1: Mit einer IT-Infrastrukturanalyse

Aber wie kann man ein Cyber-Risiko wirklich reduzieren? Einen guten Anfang machen unsere Experten da mit einer Analyse der IT-Infrastruktur . Es soll wirklich nicht wie Eigenlob klingen, wenn wir sagen, dass unsere Experten viele Schwachstellen in einer bestehenden Infrastruktur entdecken. Es ist eben einfach so. Hier zahlt sich unsere Erfahrung für unsere Kunden aus, indem wir Sicherheitslücken identifizieren und Cyber-Risiken durch das Schließen der Sicherheitslücken minimieren.

Antwort #2: Mit Intrusion Tests

Wer auf die IT-Infrastrukturanalyse noch eins draufsetzen will, der kann sich bei uns ein dedziertes Sicherheitsaudit beauftragen mit dem mögliche Sicherheitsrisiken unter die Lupe genommen werden und Konzepte zur Verbesserung übergeben werden.

Antwort #3: Cyber-Risikomanagement durch Investition in Technologie

Die Frage nach dem „Wie“ haben auch die Versicherer wie beispielsweise die Allianz erkannt. Von den Technologie-Anbietern Cisco und Apple stammt dabei die Infrastruktur. Der britische Versicherer AON und die Allianz-Versicherung steuern ihre Angebote einer Cyber Security Versicherung bei. Die Cyber Versicherung der Allianz fordert dabei ganz gezielt den Einsatz von Sicherheits-Technologien von Cisco und Apple. Wer also seine Cyber-Risiken finanziell absichern will, muss zuvor eine technologisch saubere Grundlage legen.

 

Die trügerische Sicherheit einer Cyber Versicherung

Bei Schadensfällen in der Größenordnung von 500.000 bis 700.000 Euro darf man je nach Unternehmenssituation in einem solchen Fall von einer existenzbedrohenden Lage ausgehen. Wer nun jedoch glaubt, dass er mit dem Abschluss der Cyber Versicherung sämtliche Risiken abgewälzt hat, liegt leider schief. Wie bei jeder Versicherungspolice üblich sind auch hier die abgedeckten Schadensfälle und die Höhe der Eindeckung fix geregelt. Ebenso gibt es stets eine Liste von Ausschlüssen und Voraussetzungen wie der Einsatz der oben genannten Sicherheitstechnologien. 

Gängige Beispiele sind der kontrollierte und kontinuierliche Einsatz von Anti-Viren Software, die Trennung von Risiko-Systemen im Netzwerk, sowie die Absicherung nach außen mit aktuellen Firewalls. Außerdem sind einige organisatorische Maßnahmen stets Voraussetzung für die uneingeschränkte Deckungszusage. Wenn das Kind hier erstmal in den Brunnen gefallen ist, stellt sich sofort die Frage: Wurden alle Voraussetzungen erfüllt? Ist das Unternehmen seiner Verantwortung umfänglich nachgekommen? Und schnell sind Sie in der Defensive und bemühen sich um einen Nachweis. 

Übersteigt der tatsächliche Schaden allerdings das vereinbarte Limit oder handelt es sich vorrangig um Umsatzeinbußen, die nicht definitiv nachgewiesen werden können, steht der Unternehmer erneut im Regen. 

Wie man sich sicher vorstellen kann, sind direkte Folgen wie der Imageverlust und ein  Unsicherheitsgefühl bei Kunden nur schwer zu quantifizieren, werden sich jedoch sicher auf den weiteren Geschäftsverlauf auswirken. Die Scherben aufzukehren, wird stets die alleinige Aufgabe des Unternehmers sein.

 

Fazit

„Facts kill fear“ – das alte Sprichwort der Controller drückt es bereits aus. Eine genaue Analyse der Bedrohungslage und eine Bewertung der Teilrisiken hilft, einen Überblick und damit das Thema in den Griff zu bekommen.

100%ige Sicherheit wird man nicht erzielen können, doch die Technologie-Vorgaben der Versicherer wie Allianz und AON machen es deutlich, dass eine vorbeugende und vor allem regelmäßige Investition in Sicherheits-Technologie eine gute Grundlage für die Sicherheit bildet. Ein regelmäßiger Cyber Security Audit durch einen erfahrenen IT-Dienstleister, der über die jeweils aktuelle Bedrohungslage informiert ist, hält die eigene Infrastruktur up-to-date, auch wenn diese naturgemäß ständigen Veränderungen unterworfen ist. In Zusammenhang mit solchen Maßnahmen, kann das Unternehmen sich auch gut gegen solche Risiken Versichern, denn dann ist die Übernahme durch die Versicherung nicht mehr ganz so unwahrscheinlich. 

Fragen Sie noch heute unsere IT-Sicherheitsexperten: jetzt die 040/226163930 anrufen und erfahren, wie Sie Ihre tatsächlichen Cyber Risiken ermitteln können.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (4 votes, average: 4,75 out of 5)
Loading...

Ihre Meinung ist uns wichtig

Ihre Meinung