Versicherungsbroker sind der FINMA unterstellt und müssen bei Cyberangriffen von wesentlicher Bedeutung innert 24 Stunden Meldung erstatten.
Cyberattacken gehören zu den bedeutendsten operationellen Risiken für Schweizer Unternehmen. Während grössere Gesellschaften in der Regel über eine eigene Informatik-Abteilung sowie moderne Infrastrukturen verfügen, sind kleinere Betriebe oftmals unzureichend auf Angriffe aus dem digitalen Raum vorbereitet. Wie aktuelle Zahlen zeigen, sind KMU besonders anfällig für Cyberattacken. Gemäss dem Allianz Risk Barometer (2020) hatte jedes dritte KMU in der Schweiz schon einmal mit Cybervorfällen zu kämpfen –Tendenz steigend. In der heutigen Bedrohungslandschaft geht es für KMUs längt nicht mehr darum, ob sie selbst Ziel von Cyberattacken werden, sondern wann.
Für ungebundene Versicherungsvermittler, die weder rechtlich noch wirtschaftlich an ein Versicherungsunternehmen gebunden sind (Makler und Broker), ist die Situation besonders heikel. Um Risiken einschätzen und reduzieren zu können, sind Versicherungsbroker darauf angewiesen, über möglichst umfassende Daten ihrer Kunden für Analysezwecke zu verfügen. Diese Datensammlungen machen Broker verwundbar und zu einem attraktiven Ziel für Cyberkriminelle (Ransom Attacken; Double Extorsion). Zudem verfügen viele Broker und Versicherungsmakler über schlanke Strukturen mit vergleichsweise wenig Mitarbeitern, was sie als Ziel von Cyberattacken prädestiniert.
Von praktischer Bedeutung ist bei einem Angriff, dass die Broker der FINMA unterstellt sind und damit auch der Aufsichtsmitteilung 05/2020, welche eine Meldepflicht von Cyber-Attacken vorsieht. Falls ein Cyber-Angriff als wesentlich einzustufen ist, verlangt die Aufsichtsmitteilung 05/2020, dass der zuständige Account Manager bei der FINMA innerhalb von 24 Stunden nach Feststellung des Angriffs über den Angriff orientiert wird. Die eigentliche Meldung an die FINMA muss dann innerhalb von 72 Stunden über die webbasierte Erhebungs- und Gesuchsplattform (EHP) erfolgen.
Für Broker, die in der Regel weder über einen Account Manager noch über einen Zugang zur EHP verfügen, weicht der Meldeprozess leicht von dem in der Aufsichtsmitteilung 05/2020 beschriebenen Prozess ab. Gemäss FINMA ist die erste Meldung innerhalb von 24 Stunden entweder per E-Mail an das Postfach vermittler@finma.ch oder per Telefon an die Vermittlerhotline (+41 (0)31 327 98 00) zu machen. Inhaltlich sollte die erste Meldung die relevanten Erkenntnisse und das Geschehen beinhalten, so dass eine Erstbeurteilung durchgeführt werden kann. Anschliessend wird der Broker über die weiteren Schritte informiert und erhält ein Meldeformular für die detaillierte Meldung, welches innerhalb von 72 Stunden seit Feststellung der Cyber-Attacke über das Postfach vermittler@finma.ch ausgefüllt einzureichen ist.
Wie die FINMA im Jahresbericht 2021 mitgeteilt hat, wurden seit dem Inkrafttreten der Aufsichtsmitteilung 05/2020 im September 2020 insgesamt 95 Cyberattacken mit wesentlicher Bedeutung gemeldet. Es ist voraussehbar, dass diese Anzahl weiterhin zunehmen wird.
Broker sollten sich somit frühzeitig mit der Frage auseinandersetzen, wie sie diesen gesetzlichen Meldepflichten im Ernstfall nachzukommen gedenken. Cyberangriff führen zu extremen Stresssituationen, in denen Führungskräfte oft Fehler machen, welche die Lage weiter verschärfen. Um bei einem Angriff kühlen Kopf zu bewahren, ist es unabdingbar, dass die rechtlichen Pflichten im Voraus bekannt und die internen Abläufe klar definiert sind. Unser Cyber-Security Response Team berät sie gerne zu diesem Thema und hilf Ihnen, ein effektives Abwehrdispositiv aufzubauen, damit sie für den Ernstfall gerüstet sind.