Skip to main content

Und plötzlich steht der Web-Shop still …

Hackerangriffe auf KMU-Betriebe waren vor nicht allzu langer Zeit quasi inexistent. Primär waren Staaten, oder Grosskonzerne Opfer dieser perfiden Angriffe. Doch leider ist in den letzten Monaten ein signifikanter Anstieg von Angriffen auf kleinere und mittlere Unternehmen zu verzeichnen. Sind sich diese Unternehmen der neuen Bedrohung bewusst und wurden entsprechende Notfallkonzepte ausgearbeitet? Trotz aller Sicherheitsvorkehrungen bleiben gewisse Restrisiken bestehen – diese können durch den Abschluss von Cyber-Versicherungen auf Versicherer überwälzt werden.

Welche Cyber-Risiken sind anzutreffen? – Diverse Studien renommierter Institutionen zeigen auf, mit welcher Häufigkeit und Intensität Unternehmen bedroht werden. Die Angriffe reichen von Phishing-Mails über Hackerangriffe bis hin zu neuen Erpressungsformen. Es darf davon ausgegangen werden, dass in den vergangenen drei Jahren nahezu jedes zweite Unternehmen Opfer von Datenklau, Wirtschaftsspionage oder Sabotage geworden ist. Durch diese Angriffe entstehen jährlich wirtschaftliche Schäden in Millionen- wenn nicht gar Milliardenhöhe.

Wer ist für das Risk-Management verantwortlich?

Die Verantwortung für das Risk-Management obliegt dem Verwaltungsrat und der Geschäftsleitung. Diese haben sich im Rahmen ihrer Funktionen mit den Risiken des Unternehmens auseinanderzusetzen. Leider wird diese – aus Sicht des Autors – essentielle Aufgabe in vielen Betrieben vernachlässigt. So besteht beispielsweise nur bei wenigen KMU-Betrieben ein durchdachtes Risk-Management-Konzept. Oftmals sind die Verantwortlichen so sehr durch das Tagesgeschäft vereinnahmt, dass diese Arbeiten auf später verschoben werden. Generell reicht vorab die Beantwortung der Grundsatzfrage, ob ein Unternehmen durch die neuartigen Risiken existenziellen Gefahren ausgesetzt ist, oder nicht. Ein Berater, welcher primär von persönlichen Weiterempfehlungen lebt und dessen Homepage kaum besucht wird, muss sich vermutlich weniger Sorgen machen, als der Handelsbetrieb, welcher einen Grossteil seines Umsatzes mittels eines Web-Shops generiert oder der Treuhänder, welcher Unmengen von vertraulichen Daten seiner Kunden gespeichert hat.

Auch wenn gezielte Präventivmassnahmen getroffen werden, lassen sich die Risiken leider nicht gänzlich ausschliessen. Hier bieten CyberVersicherungen die Möglichkeit, diese Restrisiken an den Versicherer zu überwälzen. Der hiesige Markt steckt zwar noch in den Kinderschuhen, dennoch sind die Deckungen aufgrund der Erfahrungen in Übersee bereits sehr umfangreich ausgestaltet. Der weltweit grösste Rückversicherer, die MunichRe, rechnet in den nächsten 5 Jahren mit einer Verdoppelung dieses Geschäftsfeldes.

Welchen Schutz bieten Cyber-Deckungen?

Die gängigen Haftpflichtversicherungen bieten Versicherungsschutz für Personen- und Sachschäden, welche ein Betrieb gegenüber Dritten verursacht. Allerdings werden typischerweise Vermögensschäden, welche in der Regel im Zusammenhang mit Cyberrisiken anfallen, in diesen Verträgen explizit ausgeschlossen. Hier kann eine Cyber-Versicherung die bestehende Deckungslücke schliessen.

Die Cyber-Versicherung deckt einerseits Schäden, welche der Versicherte gegenüber Dritten verursacht, und andererseits Schäden, welche beim Betrieb selbst entstehen. Solche sogenannten Eigenschäden entstehen beispielsweise durch kriminelle Handlungen Dritter, bei denen die Geschäftsaktivität beeinträchtigt oder gar unterbrochen wird (Lahmlegen eines Web-Shops, Blockieren von Mail-Accounts, usw.). Erpressungsversuche mit Ramson-Software, mittels welcher Daten verschlüsselt und für deren Entschlüsselung eine Lösegeldzahlung gefordert wird, kommen ebenfalls vor.

Es drohen hohe Ansprüche Dritter

Ansprüche Dritter können entstehen, wenn ein Betrieb durch Sicherheitsmängel in seinem System Daten von Dritten beschädigt oder zerstört oder deren Geschäftstätigkeit beeinträchtigt oder unterbricht. Ebenfalls kann es durch solche Mängel zum Verlust von personenbezogenen Daten oder zu einer unerlaubten Veröffentlichung vertraulicher Daten kommen.

Die Aufgabe der Cyber-Versicherung ist es, im Namen des versicherten Betriebes ungerechtfertigte Ansprüche abzuwehren oder, bei gerechtfertigten Ansprüchen Schadenersatzansprüche Dritter auszugleichen.

Ebenfalls sehen diverse Anbieter Entschädigungen für die Wiederherstellungskosten des IT-Systems bei Cyberangriffen vor. Die Schadenszenarien führen von beschädigten über blockierte bis hin zu zerstörten Daten. Auch können Hacker-Angriffe zu Betriebsunterbrechungen führen. Hier entschädigt die CyberVersicherung den Ertragsausfall sowie weitere Kosten, welche zur Fortführung der Betriebsaktivitäten erforderlich sind.

Was gilt es vor dem Abschluss einer Cyber-Versicherung zu beachten?

Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Somit gilt es vorgängig, alle notwendigen – und wirtschaftlich vertretbaren – Präventivmassnahmen zu treffen. Notfallszenarien sind schriftlich festzuhalten und es gilt zu definieren, welche Ausfallzeiten der Betrieb im Rahmen der Risikoakzeptanz zu tragen bereit ist. Somit wird im Rahmen der CyberVersicherung letztendlich das verbleibende Restrisiko – welches mittels einer Risikomatrix ermittelt werden kann – versichert. Vergewissern Sie sich auf jeden Fall vor dem Abschluss einer solchen Versicherung, dass die Deckungssummen auf Ihren Betrieb zugeschnitten sind. Studieren Sie auch die Allgemeinen Versicherungsbedingungen, denn – im Schadenfall gilt das KLEINGEDRUCKTE…