Cyber Risk Versicherung für Unternehmen

Cyber Risk VersicherungNicht mehr nur Großunternehmen oder Unternehmen aus dem Finanzsektor liegen im Fokus von Hackern. Gerade kleine und mittelständische Unternehmen sind besonders gefährdet, da sie oft nicht über ausreichende Sicherheitsvorkehrungen oder gar einen eigenen IT-Beauftragten verfügen. Sichern Sie die Existenz Ihres Unternehmens gegen Datenklau und Datenmissbrauch daher rechtzeitig mit einer Cyber Risk Versicherung.

Die schöne neue Welt der Digitalisierung birgt neben vielen Vorteilen auch eine Menge an Gefahren. Im Unternehmen kommen wir nicht an der digitalen Welt vorbei, schließlich will niemand den Anschluss verlieren. Oft sind uns hierbei die Gefahren in ihrem vollen Umfang nicht bewusst.  Durch die Nutzung des Internets und durch moderne Datenverarbeitung machen wir uns angreifbar. Die Globalisierung ermöglicht über das Internet weltweite Vernetzung und erhöht das Gefahrenpotential somit zunehmend. Es gilt zahlreiche Datenschutzbestimmungen einzuhalten. Mit dem Outsourcing von IT-Systemen wird die Kontrolle aus der Hand gegeben, weitere Gefahrenquellen entstehen. Führungskräfte und Manager sind angehalten, ihr Unternehmen zu schützen und ihre Mitarbeiter umfangreich aufzuklären. Denn im Schadenfall können Haftungsansprüche geltend gemacht werden und u.U. auch das Privatvermögen angreifen. IT-Sicherheitsrichtlinien müssen befolgt und vor allem umgesetzt werden. Risikominimierung muss erfolgen. Ein Großteil der deutschen Unternehmen ist auf einen Cyberangriff jedoch nicht vorbereitet.

Gefahren – Warum braucht man eine Cyber Risk Versicherung?

  • Klau von Finanzdaten, Kundendaten, Mitarbeiterdaten
  • Klau von Rezepturen oder Konstruktionszeichnungen
  • Verschlüsselung von IT-Systemen durch einen Virus gefolgt von einer Gelderpressung
  • Maschinenmanipulation
  • Lahmlegung Webshop durch Datenüberlastung
  • Manipulation von Finanzdaten

Immer neuere Formen des Betrugs greifen um. Die Rede ist von Social Engineering und Fake President Fraud. Social Engineering: Das Umfeld der Mitarbeiter wird auf gängigen Social-Media-Plattformen ausgespäht, um so z.B. emails in deren Namen zu fälschen. Fake President Fraud: Die Identität eines Führungsmitglieds wird übernommen, per email folgt beispielsweise die Anweisung an die Buchhaltung hohe Summen zu überweisen. Bei diesen Formen des Betrugs werden die Unternehmensmitarbeiter oftmals monatelang ausspioniert, um bei dem geplanten Angriff möglichst glaubwürdig imitiert werden zu können.

Zahlen und Fakten

Bei dem Thema IT-Sicherheit stößt man bei der Geschäftsleitung oftmals auf 2 unbeliebte Themen:

Informationstechnologie und Versicherungen. Die Bedrohung ist schwer greifbar. Dass man die Augen davor jedoch nicht verschließen kann, zeigen tägliche Presseberichte über neue Fälle von Cyberkriminalität. Oft kommen dabei nur schwerwiegende Aktionen ans Licht, wie z.B. bei Amazon, Google, dem Deutschen Bundestag oder der Nato. Auch Wikileaks-Enthüllungen über Hackerangriff wie z.B. der CIA, wonach Smartphone, Fernseher und Computer ausgespäht worden sein sollen, sorgen immer wieder für Aufregung. Viele Vorfälle bleiben lange unentdeckt. Die Zahlen sprechen für sich:

„Allein im Jahr 2012 wurden in Deutschland rund 64.000 Fälle von Cyberkriminalität aufgezeichnet. Ein erfolgreicher Hackerangriff auf ein Großunternehmen verursacht einen durchschnittlichen wirtschaftlichen Schaden von 1,8 Mio. €. Bei KMU* liegt der Durchschnittswert bei 70.000€.“       Quelle: Versicherungshandbuch, Sonderheft Cyber-Versicherungen, Auflage 2 *Klein- und mittelständische Unternehmen
Nach solch einem Übergriff sieht man sich gravierenden Folgen ausgesetzt: Imageschaden, Geldstrafen, Betriebsunterbrechung.

Cyberangriffe entstehen dort, wo Schwachstellen im System zu finden sind. Hacker suchen nach menschlichen Fehlern (Phishing), nach Fehlern der Programmierung, der Konfiguration oder der Konzeption in der Programmiersprache.

Versicherungslösung zur Cyber Risk Versicherung

Zwar verfügen die meisten Unternehmen über Versicherungsschutz in den klassischen Bereichen der Betriebshaftpflicht-, Gebäude-, Elektronikversicherung, diese decken das Cyber-Risiko jedoch nur unzureichend ab. Hier bleibt zu unterscheiden, dass in der Sachschadenversicherung meist die reinen materiellen Schäden, nicht aber die immateriellen Schäden, gedeckt sind. Eine genaue Risikoanalyse ist unerlässlich.

Folgende wichtige Inhalte sollte der Versicherungsschutz aufweisen:

EigenschadenversicherungDrittschadenversicherung
Kosten f. KrisenmanagementAnsprueche aus Kundendatendiebstahl
Kosten f. Benachrichtigung von Kunden nach DatenschutzverletzungenUmsatzausfall
Kosten f. Forensik Verletzung Datenschutzrecht
Kosten f. SystemwiederherstellungRufschaedigung
Kosten f. Betriebsunterbrechung/ entgangener GewinnNeuausstellung Kreditkarten
Kosten bei ErpressungGesetzesverstoesse
Mehrkosten durch IT-Ausfall Kreditueberwachung
Wiederherstellung ReputationKosten f. Verteidigung
Bussgelder und Vertragsstrafen
Haftung wg. Persoenlichkeitsrechtsverletzung
Haftung aus Vertrag
uebermittlung Malware
Verletzung geistige Eigentumsrechte
Was kostet der Versicherungsschutz?

Individuell wie Ihr Tätigkeitsbereich ist auch die Prämie zur Cyber Risk Versicherung. Neben der Betrachtung Ihrer Betriebsgröße, Branche, Umsatzhöhe (…), werden auch Fragen nach seitherigen Cyberattacke und Sicherheitsmaßnahmen/ Zertifizierungen betrachtet. Mit dem passenden Versicherungsschutz wird Ihr Unternehmen kontrolliert durch die Krise geführt. Schadenbegrenzung und Präventionsmaßnahmen stehen im Vordergrund. Aber vergleichen lohnt sich. So ist die Definition des Zeitpunkts des Schadenereignisses von besonderer Wichtigkeit. Versichert die Gesellschaft den Zeitraum ab Schadeneintritt oder erst ab Schadenfeststellung oder bereits zum Eintritt des Cyberevents oder dessen Entdeckung. Neben der Regulierung finanzieller Schäden, sind die Assistance-Leistungen von großer Bedeutung. Sie umfassen einen Krisenplan, sowie Spurensicherung und Forensik.

Wirtschaftsspionage:

Gefahr lauert nicht nur von Extern, sondern auch aus den eigenen Reihen. Häufigstes Aufkommen in der Automobil-, Pharma- und Chemiebranche. Deutschland bietet ein besonders beliebtes Ziel.

Cyberkriminalität in Zeiten des Terrors:
Durch die Lahmlegung des französischen Fernsehsenders TV5 Monde in 2015, machte der islamische Staat auf erschreckende Weise auf sich Aufmerksam. Terror herrscht nicht nur auf den Straßen, sondern auch im Netz.

Internes Risikomanagement
  1. Vorbeugen – Angriffsfläche reduzieren: Notfallübungen, Penetrationstests, Firewall
  2. Identifizieren: Identifizierung v. Abweichungen, Aufzeichnung von Angriffen
  3. Maßnahmen treffen zur Abwehr: Forensische Untersuchungen, Gegenmaßnahmen

Grundsätzlich sollte sich das Unternehmen im Klaren darüber sein, welche Hard- und Software verwendet wird, von wem, wann und wo. Es sollte bekannt sein, wer über welche Wege darauf Zugriff hat. Regelungen zum Vorgehen bei Wartungsarbeiten, zum Einsatz von Virenschutz, Umgang mit E-Mail-Anhängen und Datenschutz sind sinnvoll.

Um zu vermeiden, dass Geschäftsbeziehungen in die Brüche oder Marktanteile verloren gehen, muss dafür Sorge getragen werden, dass der Geschäftsbetrieb nach einem Angriff wieder reibungslos aufgenommen werden kann.