Versicherung – eine Alternative zur Cybersicherheit?

Wir kennen es alle aus der Werbung: Der junge Mann zieht in die schöne, neue Wohnung ein. Er möchte ein Bild an die Wand hängen. Fachmännisch nimmt er die Bohrmaschine zur Hand und… bohrt prompt bis zum Nachbarn hindurch.

Schaden entstanden? Wir helfen! Das ist das Versprechen der Versicherung. Da stellt sich natürlich die Frage: Gilt das auch für Cybervorfälle?

Was kann passieren?

Schäden durch Cybervorfälle sind oft nicht so sichtbar oder überschaubar wie die zerstörte Wand und können in vielerlei Formen auftreten. Hier zwei Beispiele:

Schadenbeispiel 1: Erpressung via Kryptolocker

Ein Mitarbeiter eines mittelständischen metallverarbeitenden Unternehmens klickt auf ein in einer E-Mail angehängtes Dokument. So lädt er ahnungslos die Schadsoftware herunter, die die Daten des Unternehmens verschlüsselt. Am nächsten Tag haben die Mitarbeitenden statt ihrer Daten eine Nachricht von Unbekannt auf ihrem Bildschirm: «Zahle 1 Bitcoin, und du bekommst den Entschlüsselungs-Code.» Was ist zu tun? Lösegeld zahlen oder nicht, Polizei einschalten? Von geregelter Arbeit nichts mehr zu spüren, denn niemand hat mehr Zugang zu den Aufträgen, den Projektplänen oder den Bestellungen. Die Arbeit steht still, Kunden, deren Namen und Telefonnummern erst mühselig zusammengesucht werden müssen, werden vertröstet. Schliesslich entscheidet sich das Management, nicht zu zahlen. Ein IT-Dienstleister wird gesucht und damit beauftragt, die Daten wiederherzustellen und die Systeme zu säubern. So entstehen Zusatzkosten, betriebsunterbruch-bedingte Ertragsausfälle, und die Reputation des Betriebes als 100 Prozent verlässliches Unternehmen steht auf dem Spiel.

Schadenbeispiel 2: Diebstahl persönlicher Daten

Die Mitarbeiterin eines IT-Dienstleisters betreut eine international tätige Anwaltskanzlei, welche auch Kunden aus EU-Ländern bedient. Sie bemerkt ein untypisches Verhalten der Systeme, und die eilig herbeigerufenen IT-Forensiker stellen fest, dass wahrscheinlich zahlreiche sensible Kundendaten gestohlen wurden. Verschiedene Zusatzkosten fallen nun sofort an. Es müssen Spezialisten hinzugezogen werden, die das Datenleck finden und stopfen. Zusätzliche Abklärungen sind zu treffen, um sicher zu sein, welche Daten betroffen sind und was die Auswirkungen einer etwaigen Offenlegung dieser Daten sein könnten.

Spezialisten für Krisenkommunikation müssen unter Umständen hinzugezogen werden und die Datenschutzverletzung muss den entsprechenden Aufsichtsbehörden und gegebenenfalls den betroffenen Personen gemeldet werden. Zusätzlich muss man mit einer Strafe oder zusätzlichen Klagen rechnen. Auch hier steht die Reputation der Kanzlei auf dem Spiel.  

Was macht die Cyberversicherung?

Generell schützen Cyberversicherungen Unternehmen gegen die finanziellen Folgen von IT- Sicherheitsverletzungen. Sie decken Haftpflichtansprüche bei Datenschutzverletzungen ab sowie Schäden, die durch Betriebsunterbruch nach Ausfall oder Nichtverfügbarkeit der IT oder kritischer Daten entstehen. Krisenmanagementkosten sind fast immer im Deckungsumfang enthalten und auch Cybererpressungen können versichert werden.

Ein ergänzender und gerade für viele kleinere und mittelständische Betriebe enorm wichtiger Bestandteil von Cyberversicherungen sind Zusatzdienstleistungen, die Schäden entweder verhindern oder möglichst schnell und professionell beheben helfen. Diese Dienstleistungen werden in der Regel von spezialisierten Firmen aus dem IT-, Rechts- oder Kommunikationsbereich durchgeführt.

Hilfe im Notfall

Für den Fall der Fälle geben viele Cyberversicherer ihren Kunden eine Notfall-Nummer, bei der sie rund um die Uhr Hilfe bekommen können. Spezialisten helfen dann, zu verstehen, was genau passiert ist und wie gravierend der Vorfall ist, Daten wiederherzustellen, eine Kommunikationsstrategie auszuarbeiten und umzusetzen, die richtigen regulatorischen Schritte einzuleiten, usw. Untersuchungen haben ergeben, dass richtiges Reagieren nach einem Vorfall die Schäden signifikant reduzieren kann.

Andere, häufig im Versicherungsumfang enthaltene Dienstleistungen sind eher präventiver Natur, wie zum Beispiel Trainings- und Phishing-Kampagnen. So werden Unternehmen dabei unterstützt, ihre Cyberresilienz zu erhöhen und Schäden möglichst zu vermeiden.

Die Dienstleistungen sind so angelegt, dass der Schadenfall möglichst nicht eintritt, und wenn doch, ist man immerhin auf ihn vorbereitet und kann schnell handeln.

Eine Alternative?

Das hört sich alles sehr gut an. Kann man somit die Cyberversicherung als Alternative zur Cybersicherheit sehen?

Keineswegs. Auch wenn die Cyberversicherung hilft, die finanziellen Folgen eines Cybervorfalles abzudecken und durch die zusätzlichen Dienstleistungen dazu beitragen kann, dass der Schaden möglichst gering ausfällt, so hat ein Unternehmen im Falle eines ernstzunehmenden Vorfalles doch viele zusätzliche Mühen und zeitraubenden Aufwände zu leisten. Ganz zu schweigen von der Tatsache, dass das Vertrauen der Kunden, Mitarbeitenden, Lieferanten oder Aktionäre beeinträchtigt werden könnte.

Versicherungen sind daher sinnvoll, aber nicht als Alternative sondern zusätzlich zu einer guten Cyberhygiene und einer soliden Cybersicherheit im Unternehmen.

 

Maya Bundt

Dr. Maya Bundt ist Leiterin Cyber & Digital Solutions, Swiss Re. Sie leitet die Cybergruppe in Swiss Re's Reinsurance Business Unit und ist für die Entwicklung und Implementierung der globalen Cyber-Strategie verantwortlich.