Wirtschaftsspionage, Sabotage oder Datendiebstahl über das Internet führen zu immer häufigeren - und grösseren - Schäden.
Wirtschaftsspionage, Sabotage oder Datendiebstahl über das Internet führen zu immer häufigeren - und grösseren - Schäden. Das Management dieser Cyber Risiken gehört zu den zentralen Aufgaben der Führungsspitze. Nicht auszuschliessende Restrisiken können durch den Abschluss von Cyber Risiko Versicherungen auf Versicherer übertragen werden.
Cyber Risiken
Der EUROPOL Report IOCTA 2015 (The Internet Organised Crime Threat Assessment) zeigt mit erschreckender Deutlichkeit auf, wie sich das organisierte Verbrechen ins Internet verschoben hat und mit welcher Häufigkeit und Intensität Unternehmen bedroht werden. Auf dem Vormarsch sind neue Erpressungsformen (ramsomware attacks, DDoS-Attacken), aber auch bekannte Angriffe (Hacking, Banking Troyans, Phishing, Datendiebstahl, Betriebsspionage, Datenbeschädigung). Der deutsche Digitalverband Bitkom geht davon aus, dass mehr als die Hälfte aller Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden sind. Nach konservativen Berechnungen des Bitkom beläuft sich der entstandene Schaden für die gesamte deutsche Wirtschaft auf rund 51 Milliarden Euro pro Jahr.
Digital Risk Management auf Stufe VR und GL
Das Thema Cyber Risiken gehört auf die Agenda des Verwaltungsrates und des Top Managements. Risikoszenarien müssen im Rahmen des Risikomanagements erkannt und bewertet werden (Digital Risk Management). Nicht alle Unternehmungen sind bei einer Störung gleich exponiert. Risikoszenarien variieren je nachdem, ob beispielsweise Drittparteien wie Geschäftspartner oder Cloud-Anbieter beigezogen werden oder nicht. Präventive Massnahmen müssen stufengerecht implementiert werden (Data Security, Notfallpläne, Sensibilisierung und Ausbildung der Mitarbeiter). Gänzlich ausschliessen lassen sich Cyber Risiken jedoch nicht.
Hier bieten neue Versicherungen die Möglichkeit, Cyber Risiken zu transferieren und damit das bestehende Risikomanagement sinnvoll zu ergänzen. Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Für EU-Länder wird die Meldepflicht mit der neuen EU-Datenschutzrichtlinie eingeführt werden. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet. MunichRe, der der weltgrösste Rückversicherer geht davon aus, dass sich das weltweite Geschäft mit Cyber-Versicherungen in den nächsten fünf Jahren von derzeit rund drei Milliarden Dollar mehr als verdoppelt.
Welchen Schutz bieten Cyber Risk Versicherungen?
Die gewöhnliche Betriebshaftpflichtversicherung deckt Schäden, welche einem Dritten durch Verschulden des Versicherten entstehen. Allerdings werden typischerweise ausschliesslich Personen- und Sachschäden sowie die daraus entstehenden Folgeschäden versichert, nicht aber Vermögensschäden, welche üblicherweise im Zusammenhang mit Cyberrisiken anfallen. Hier greifen die Cyber Risk Versicherungs-Lösungen.
Die Cyber Risk Versicherung deckt sowohl Schäden, welche der Versicherte einem Dritten verursacht (Drittschaden; third-party-insurance), als auch Schäden, welche beim Versicherten selbst entstehen (Eigenschaden; first-party-insurance). Eigenschaden entsteht beispielsweise durch kriminelle Handlungen Dritter, bei denen Daten des Versicherten beschädigt oder vernichtet werden oder die Geschäftsaktivität beeinträchtigt oder gar unterbrochen wird. Erpressungsversuche mit sog. Ramsonsoftware, mittels welcher Daten verschlüsselt und für deren Entschlüsselung eine Lösegeldzahlung gefordert wird, kommen ebenfalls vor.
Ansprüche Dritter können entstehen, wenn der Versicherte durch Sicherheitsmängel in seinem System Daten von Dritten beschädigt oder zerstört oder deren Geschäftstätigkeit beeinträchtigt oder unterbricht. Ebenfalls der Verlust von personenbezogenen Daten Dritter oder deren unerlaubter Veröffentlichung kann zu Ansprüchen Dritter führen.
In Schadensfällen decken Cyber Risk Versicherungen regelmässig den Ausgleich berechtigter sowie die Abwehr unberechtigter Schadenersatzansprüche Dritter. Die Wiederherstellungskosten des IT-Systems bei durch einen Cyberangriff beschädigten, blockierten oder zerstörten Daten, Programmen und Netzwerken werden ebenfalls erstattet. Bei Betriebsunterbruch (beispielsweise nach Denial-of-Service Angriffen) wird der Ertragsausfall sowie weitere Kosten, welche zur Fortführung der Betriebsaktivitäten erforderlich sind, regelmässig gedeckt. Ebenfalls Erpressungszahlungen fallen grundsätzlich in die Versicherungsdeckung. Aber nicht nur der Ausgleich des durch den Cyber Vorfall direkt verursachten Schadens, sondern auch Kosten wie diejenigen für die Beauftragung eines professionellen Krisenmanagements, von externen Computer-Forensik-Analysten, PR Experten und spezialisierter Anwälte werden regelmässig gedeckt.
Was sollte vor dem Abschluss einer Cyber Risk Versicherung beachtet werden?
Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Es geht deshalb darum, das digitale Tafelsilber des Unternehmens zu identifizieren und das Restrisiko zu versichern. Diese Restrisiken müssen im Rahmen des Risikomanagements definiert und quantifiziert werden (Eintretenswahrscheinlichkeit, Schadensausmass, etc.). Bevor Sie eine Police abschliessen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen. Die Police muss genau auf Ihre Bedürfnisse zugeschnitten sein. Für eine Versicherungslösung muss das Ausmass der Deckung für jeden möglichen Schadensposten mit dem Versicherer geklärt und vertraglich geregelt werden. Das Kleingedruckte ist im Schadensfall entscheidend!