Cyberrisiken sind mehr als ein IT-Problem
Firmen, die Cyberrisiken als reine IT-Angelegenheit betrachten, handeln leichtfertig. Denn die möglichen Konsequenzen von Zwischenfällen sind häufig sehr weitrei-chend und werden von herkömmlichen Versicherungen nicht oder nur unzureichend abgedeckt.
Der Allianz Risk Barometer 2017 zählt Cyber-risiken im vierten Jahr in Folge zu den zehn grössten Risiken für Unternehmen. Unter-nehmen jeglicher Grösse sehen sich mit einer steigenden Komplexität und Veränderungs-geschwindigkeit konfrontiert. Im Gegensatz zu traditionellen Risiken wie Naturkatastro-phen oder Feuer verursachen Cyberrisiken zwar meist keine physischen Schäden. Doch verlorene oder falsch übermittelte Daten so-wie stillstehende Systeme können Dienstleis-tungen oder die Produktion zum Stillstand bringen und das Vertrauen von Anlegern, Kunden und weiteren Stakeholdern erschüt-tern.
Versicherungslücken identifizieren
Bei neuen Gefahren kann es oft zu Deckungs-lücken bezüglich Management und Versiche-rung der Risiken kommen. Cyberattacken bergen vielfältige Gefahren im Zusammen-hang mit der Vertraulichkeit, Verfügbarkeit oder Integrität von Daten und Systemen. Entgegen der verbreiteten Annahme sind Cybervorfälle durch klassische Versicherun-gen wie Ertragsausfall, Haftpflicht oder Ver-trauensschaden in der Regel nicht vollstän-dig abgedeckt. Cyber-Risk-Lösungen bieten bislang vor allem internationale Versicherer wie AIG, Allianz, Chubb oder Zurich an. Zu beachten ist, dass die Bedrohung durch Cy-berrisiken weit über Hacking, Datenschutz-verletzungen oder Datendiebstähle hinaus-geht. Auch ein technischer Ausfall der Infra-struktur oder menschliches Versagen kön-nen zu folgenschweren Schäden führen. Ge-mäss einer Studie des Instituts für Versi cherungswirtschaft der Universität St. Gallen decken die aktuellen Policen der Versicherer folgende Ursachen ab: Hackerangriff, Erpres-sung, menschliche und teilweise auch tech-nische Fehler. Die Deckungen beinhalten in der Regel direkt zurechenbare Kosten wie Forensik (Aufklärung, Identifikation, Beweis sicherung), das Wiederherstellen der Web-seite oder Kundendaten sowie die Kosten für Betriebsunterbrechung oder Rechtsstreitig-keiten. Konkrete Beispiele sind Lösegeld zahlungen bei Verschlüsselungstrojanern, Beraterhonorare für das Krisenmanagement, Kosten, um Kunden zu informieren, sowie Aufwände für die Rekonstruktion verlorener oder beschädigter Daten. Die Deckungssum-men variieren zwischen 5 und 50 Millionen Franken.
Reputationsverlust ist nicht versicherbar
Noch stärker beschäftigen viele Unterneh-men aber die Folgekosten: Oft hinterlässt der Imageschaden einen ebenso grossen wirt-schaftlichen Schaden wie der Betriebsunter-bruch oder Datenverlust. Doch kaum ein Ver-sicherer deckt Reputationsschäden oder Marktwertverluste infolge eines Imagescha-dens ab. Meist werden nur die Honorare von PR-Beratern übernommen. Dies liegt vor al-lem daran, dass Versicherer Schäden durch
«Im Jargon der Versicherer drohen ‹Kumulschäden›.»
Reputationsverlust nicht beziffern können. «Hier spielen zu viele andere, ungewisse Fak-toren mit», erklärt Dr. Carin Gantenbein, Head Professional Liability and Cyber bei der Zurich Versicherung. Die Schätzbarkeit ist seit jeher ein zentrales Kriterium der Versi-cherbarkeit. Gibt es nur wenige Erfahrungs-werte über Schadensart, -frequenz und -aus-mass ist die Diagnose- und Prognoseunsi-cherheit hoch. Erfahrungswerte in Bezug zu Cyberrisiken sind kaum zugänglich, da viele Opfer nur zurückhaltend über entsprechen-de Vorfälle informieren. Des Weiteren unter-liegen Cyberrisiken einem grossen Ände-rungsrisiko beispielsweise in Bezug auf Da-tenschutzrichtlinien. Kritisch aus Sicht der Modellierung von Cyberschäden ist auch die Hyperkonnektivität. Meist sind aufgrund der globalen Vernetzung mehrere Unternehmen von einem Cybervorfall betroffen. Wird die-ser zu spät entdeckt, erhöht sich das Schaden-spotenzial exponentiell. Im Jargon der Versi-cherer drohen «Kumulschäden», was wieder-um einen Prämienzuschlag nötig macht. Je unsicherer die Schätzung, desto höher sind die Prämien und Selbstbehalte und desto niedriger die Deckungssummen. Prävention und Vorsorge sind daher umso wichtiger.
Problembewusstsein schaffen
Wer Cyberrisiken als reine Angelegenheit der IT betrachtet, macht einen grundlegenden Fehler. Die Verantwortung dafür kann nicht an Fachleute delegiert werden. Alle Angehörigen im Unternehmen müssen sich der Risiken be-wusst sein. Eine detaillierte Risikoanalyse bil-det die Grundlage, um die wichtigsten Gefah-ren zu erkennen und zu verstehen. Viele Un-ternehmen greifen dabei auf die Analyse von Szenarien zurück, um die betroffenen Daten und Systeme sowie mögliche Ursachen und potenzielle Tätergruppen zu identifizieren und mögliche Auswirkungen durchzuspielen. Die grundlegendste Schutzmassnahme bildet eine professionelle «IT-Hygiene», welche Da-ten und Systeme schützt und Fehler sowie An-griffe schnell entdeckt. Das Bundesamt für Si-
«Kommt es trotz Vorsorge zum Schlimmsten, sollte eine Krisen- und Notfallplanung greifen.»
cherheit in der Informationstechnik (BSI) ver-öffentlicht anerkannte Mindeststandards («BSI-Standards»), die als Orientierung dienen können.
Gut gefälschte E-Mails sind schwer zu erkennen. Dies zeigen beispielsweise die im Namen von Ricardo oder UBS versandten E-Gut gefälschte E-Mails sind schwer zu erkennen. Dies zeigen beispielsweise die im Namen von Ricardo oder UBS versandten E- Mails, mit denen Betrüger versuchten, an die Bankdaten der Kunden zu gelangen. Bei ge-zielten Attacken auf Unternehmen wird häu-fig versucht, sich über Mitarbeitende Zugang zu verschaffen. Deshalb ist das Risikobe-wusstsein der Mitarbeitenden essenziell und muss mittels Schulungen gefördert werden. Kommt es trotz Vorsorge zum Schlimmsten, sollte eine Krisen- und Notfallplanung grei-fen, die Mitarbeitende, Kunden und Lieferan-ten mit einbezieht und damit den Schaden begrenzt. Wichtig ist, dass ein Risikomanage-mentprozess kein einmaliges Projekt bleibt, sondern im Unternehmen verankert wird. Dies bedingt regelmässige Testläufe, Work-shops, Kommunikation sowie Überwachung und Aktualisierung über Abteilungsgrenzen und Hierarchien hinweg. Die Stärkung der Resilienz gegenüber Cybervorfällen hängt nachhaltig vom Verständnis ab, dass Cyber risiken die gesamte Unternehmung betreffen und jedermanns Problem sind.