Das Cyber-Risiko ist in jüngster Zeit stark in den Focus der Risk Manager gerückt. (Quelle: Allianz Global Corporate & Speciality, München, Allianz Risik Barometer Unternehmensrisiken 2018, wo dieses Risiko nunmehr als Nr. 2 rangiert) Trotzdem tun sich viele Unternehmen und deren Risiko- Manager noch schwer dieses Risiko zu bewerten und Lösungen für die Vermeidung und Absicherung zu finden.

Durch die Verlagerung von Wertschöpfung in den virtuellen Raum entstehen neue Risiken, denn kein Datentransfer ist sicher. Wettbewerber, Kriminelle und Unbefugte sind somit jederzeit in der Lage, sich in fremde IT-Systeme einzuschleusen und dort Schaden zu stiften, und zwar unabhängig von ihrem Aufenthaltsort. Jedes Netz ist von jedem Ort der Welt zu erreichen, sofern dort eine Verbindung zum Internet besteht.

Die Folge für die betroffenen Unternehmen: Betriebsunterbrechungen, erhebliche Folge- und Beratungskosten oder Schäden für die eigene Reputation, aber zunehmend auch Schadenersatz-ansprüche betroffener Dritter. Dementsprechend sind Häufigkeit und Schweregrad von Cyberschäden denn auch in den letzten Jahren deutlich gestiegen.

Zu möglichen finanziellen Auswirkungen einige, nicht konstruierte Beispielsfälle (Quelle: von Kunden berichtet und von uns abgewandelt):

Kleiner Produktionsbetrieb mit 150 Mitarbeitern

Ein Mitarbeiter des VN hat eine E-Mail mit einem schädlichen Link erhalten und diesen unbeabsichtigt aktiviert. Der Virus innerhalb des Downloaders hat sich „nur“ bei einem Mitarbeiter realisiert (dies konnte vorab jedoch nicht festgestellt werden). Die Entdeckung des „Schadens“ erfolgte unmittelbar nach dem Angriff. Die VN hat daraufhin den eigenen EDV-Dienstleister in Kenntnis gesetzt. Dieser hat nach Abstimmung mit dem Krisendienstleister des Versicherers die Schadenbehebung aufgenommen. Insgesamt, die sich über 4 Tage erstreckt. Aufgrund der Angriffsart musste der EDV-Dienstleister alle im Netzwerksegment befindlichen PC´s überprüfen. Die Wiederherstellung erfolgte selektiv aus unterschiedlichen Servern (Vollbackup des Vortages war nicht verfügbar). Anfallende Mehrarbeit für Kompensierung 3,5 Arbeitstage und Aufwendungen des Dienstleisters: 79.875,00 €.

Online-Handel

Durch einen unzufriedenen Mitarbeiter erhalten Hacker Zugriff zum Steuerungsprozess für den Online-Handel. Die Schadsoftware bringt gezielt den „Datenhaushalt“ durcheinander. Der Hersteller kann den Virus erst nach 4 Tagen und unter Hinzuziehung von IT-Security-Experten entschärfen. Gesamtkosten inkl. Betriebsunterbrechung: 387.500 €.

Oftmals werden schwerwiegende Cyber-Vorfälle ein Unternehmen in eine krisenhafte Situation bringen. Schnelle Reaktion und geplantes Handeln sind essentiell, um immense finanzielle Folgeschäden zu vermeiden. Insbesondere im Umgang mit Datenlecks ist Fingerspitzengefühl und Offenheit im Umgang mit den Betroffenen gefragt.

Trotz aller Sicherheitsmaßnahmen bleibt (analog beim Brandschutz) immer ein Restrisiko. Diese können weitgehend über neue Versicherungslösungen abgedeckt werden.

A) Absicherung des Risikos
durch Cyber-Versicherungen

Inzwischen hat die Versicherungswirtschaft auf diese Veränderungen reagiert und eigenständige Versicherungskonzepte entwickelt, die Cyber-Versicherungen. Unternehmen können so ihre Ertragskraft, ähnlich wie bei den Feuer-Versicherungen umfassend absichern. Die Cyber-Versicherung wird denn auch schon als die Feuer-Versicherung des 21. Jahrhunderts bezeichnet (s. z.B. Face of ACE 2/2015 S. 12).

Daneben unterstützt die Versicherung aber vor allem beim Eintritt eines Schadens mit umfassenden Assistance-Leistungen. Hervorzuheben ist insbesondere die schnelle Erreichbarkeit von Forensik-Experten und Krisen-Managern.

Folgende Schadenszenarien sind versicherbar (Quelle: Versicherungsbedingungen von u.a. Hiscox, AIG, ACE, Axa):

a.  Cyber – Haftung:  Schadenersatzansprüche Dritter wegen

■   Sicherheitsverletzungen im Cyber-Raum, z.B. fehlgeschlagene Abwehr eines Hackerangriffes und Schädigung Dritter

■   Verletzung von Datenschutz– oder Vertraulichkeitspflichten, z.B. die Veröffentlichung vertraulicher Mitglieder- oder Kundendaten

■   unerlaubter Medienaktivität, z.B. Verstoß gegen Marken-, Persönlichkeits- oder Wettbewerbsrechte

b. Cyber– Eigenschaden: Kosten und Verlust von Einnahmen

■   Umsatzverluste bei Betriebsunterbrechung durch IT-Systemausfall, z.B. infolge eines Denial of Service, Hackerangriff oder Sabotage durch eigene Mitarbeiter

■   Wiederherstellungs– und Rekonstruktionskosten bei Verlust oder Beschädigung von Daten und bei Verlust von Datenintegrität

■   Erpressungsgelder

c. Zusätzliche Kosten: … unfreundliche Begleitp(k)osten im Schadenfall

Bei der Bewältigung der Krise fallen meist weitere Kosten an, z.B. für

■   Information betroffener Dateninhaber

■   Einschaltung spezialisierter Anwälte

■   IT-Forensik und sonstige Sachverständige

■   Krisenmanagement, PR-Berater. 

In den folgenden Beiträgen wird auf die Abgrenzung der Cyber-Versicherung zu den anderen Versicherungssparten eingegangen werden. Seien Sie gespannt!