21. Dezember 2015 - Hacker, verseuchte Daten und negativ manipulierte IT-Vorgänge verunsichern. Dieser Cyber-Krimi kann jeden treffen. Nur etwa 15 Anbieter hierzulande helfen hier mit finanzieller Deckung und Präventionsmaßnahmen via Versicherungspolice. Einer davon ist die Ace European Group.
Im Jahr 2015 löste hierzulande – und nicht mehr nur in den USA - ein Cyber-Krimi den nächsten ab. Die Furcht vor Cyber-Angriffen wächst nun, je häufiger Schäden mit kaum zu ermessendem Ausmaß Unheil in der virtuellen Welt der synthetischen Datenwelt anrichten.
Der Hacker-Angriff auf den Deutschen Bundestag im August dieses Jahres gehört zu den prominenten Vorfällen, die nicht nur die IT-Branche schockte. Aber auch Krankassen und Industrieunternehmen machten schon hierdurch in jüngster Zeit Schlagzeilen.
Bei der Ace European Group - Direktion für Deutschland (www.acegroup.com/de) in Frankfurt häufen sich Anfragen nach adäquatem Versicherungsschutz vor der Cyber-Kriminalität. Bislang ist Ace einer von etwa 15 Anbietern am deutschen Markt mit Cyber-Versicherungen (siehe Artikel in den bocquel-news Ace: weltweit größter Deal und lokale Produktpflege).
Fachleute wissen längst, dass Hacker mehrmals täglich zuschlagen und mit immer neuen Maschen Daten manipulieren und verseuchen – überall und nirgends. Cyber-Risiken können ausnahmslos alle Unternehmen heimsuchen, die im World Wide Web unterwegs sind, ein Internetgeschäft betreiben oder auch nur einzelne Arbeitsschritte online durchführen. In einem Interview mit den bocquel-news thematisiert Andreas Wani (Foto), seit April 2013 Hauptbevollmächtigter und Country President der Ace Group in Deutschland, was es mit den Cyber-Risiken und entsprechender Absicherung beziehungsweise Prävention auf sich hat.
Eine der grundlegenden Fragen an den Fachmann Andreas Wania: Welche Industriezweige sind von Cyber-Risiken besonders bedroht?
Andreas Wania: Cyber Risk ist ein Thema, das jeden beschäftigen sollte. Sowohl im Privatleben als auch im Geschäftsbereich. Internet und Smartphone sind aus dem (Geschäfts)leben nicht mehr wegzudenken. Daten sind das neue Kapital des 21. Jahrhunderts. Doch wo Chancen sind, lauern auch Risiken. Alle Unternehmen, die für die Gewinngenerierung auf Netzwerke und Daten angewiesen sind beziehungsweise von diesen abhängig sind, können von Cyber-Risiken betroffen sein.
Wird ein Netzwerk korrumpiert, kann beispielsweise die Produktion stillstehen und ein Ertragsausfall oder -beeinträchtigung drohen. Welche Kosten bei Unternehmen durch einen Cyber-Angriff entstehen können, hängt in der Regel vom Angriff selbst ab. Gehen Daten verloren, weil sie zum Beispiel gestohlen werden und werden veröffentlicht, können Ansprüche Dritter aus Datenschutz- oder Geheimhaltungsverletzungen entstehen.
Alle Cyber-Vorfälle haben gemeinsam, ganz gleich in welcher Branche sie eintreten, dass bereits Kosten anfallen, um überhaupt den Angriff zu identifizieren, Maßnahmen zur Abwehr einzuleiten und die Funktionalität wiederherzustellen. Sowohl Mittelständler als auch Großkonzerne sind betroffen. Laut der e-crime Studie von KPMG (vom Frühjahr 2015) waren in den vergangenen zwei Jahren rund 40 Prozent aller Unternehmen von Cyber-Kriminalität betroffen. Da das Risiko nicht nur in Handlungen böswilliger Dritter sondern durchaus auch bei den eigenen Mitarbeitern liegt, sollten sich alle Unternehmen mit dem Risikomanagement von Cyber-Risiken beschäftigen.
In welchen Unternehmensbereichen kommen Cyber-Attacken am häufigsten vor?
Andreas Wania: Studien sowie unsere Erfahrung zeigen, dass die meisten Angriffe durch Unachtsamkeit der eigenen Mitarbeiter entstehen. Auch die e-Crime Studie belegt, dass Unachtsamkeit mit 88 Prozent Spitzenreiter der e-Crime begünstigten Faktoren ist. Dabei kann es sich zum Beispiel um einen Mitarbeiter handeln, der einen mit sogenannter Malware behafteten USB-Stick an den Firmenrechner anschließt aber auch Sicherheitslücken bei Zugriffskontrollen, wie zum Beispiel am Monitor klebende Post-Its mit Passwort-Informationen, oder aber auch der Zugriff für Dritte über sogenannte Phising E-Mails.
Angeblich sollen sich Hacker so im August auch Zugriff auf das Netzwerk des Bundestages verschafft haben. Was das Management in der IT-und Datensicherheit generell angeht, sind als häufigste Sicherheitslücken zu nennen: fehlende Verschlüsselungs-Technologien, mangelnde Formalisierung von Prozess- und Krisenplänen sowie eine mangelhafte Sensibilisierung der eigenen Belegschaft.
Wie gut sind deutsche Unternehmen mit dem Thema Cyber-Risiken vertraut?
Andreas Wania: Wir sehen, dass deutsche Unternehmen mittlerweile eine angemessene Risikowahrnehmung zu diesem Thema haben. Allerdings zeigen Studien - wie die bereits erwähnte KPMG-Studie - immer wieder, dass die Selbsteinschätzung der Unternehmen nach wie vor darin besteht, dass das Problem nur „die Anderen“ betrifft. Zum einen, meinen die Unternehmen, dass Cyber-Risiken ausreichend durch technische Präventionsmaßnahmen abgewehrt werden können, und/oder das Cyber-Risiken nur stark exponierte Industrien oder globale Konzerne betreffen können.
Im deutschen Markt gibt es noch nicht viele Anbieter, die Versicherungsschutz in Sachen Cyber-Kriminalität anbieten. Welche Lösung können Sie hier als Versicherer bieten?
Andreas Wania: Beim Risikomanagement von Cyber, ist die Cyber-Versicherung als Auffangnetz zu sehen, die greift, wenn die klassischen Präventionsmaßnahmen versagen. Sie bietet einen Bilanzschutz, wenn der Ernstfall eintritt.
Cyberdeckungen unterteilen sich in der Regel in drei Komponenten. Zum einen wäre da die Eigenschadendeckung, die Kosten für die Wiederherstellung von Daten deckt, Mehrkosten für Mehraufwand infolge eines Schadens übernimmt sowie den Ertragsausfall des Unternehmens entschädigt.
Die zweite Komponente ist die Haftpflichtdeckung, die Abwehr für Ansprüche Dritter aus zum Beispiel einer Datenschutzverletzung abwehrt und/oder entschädigt. Und nicht zuletzt enthalten Cyberdeckungen Kostenpositionen, die im Schadenfall anfallen. Hierzu zählen Kosten für Forensiker, Benachrichtigungskosten, Verhandlungskosten mit zuständigen Behörden, Krisenmanagementkosten und PR-Maßnahmen. Neben den klassischen Versicherungselementen haben wir bei Ace unser Produkt noch durch Assistance-Leistungen erweitert. Damit stellen wir unseren Kunden im Schadenfall unabhängige Experten zur Verfügung.
Von welchem Kostenrahmen sprechen wir hier? Wie hoch ist die Deckungssumme einer regulären Police?
Andreas Wania: Die Höhe der Deckungssumme richtet sich oftmals nach der Unternehmensgröße gemessen am Umsatz. Im deutschen Mittelstand bewegen wir uns dabei in einem Deckungssummenbereich von 1 Million bis 15 Millionen Euro. Ferner muss auch der Datenbestand, den ein Unternehmen hat, in die Deckungssummenberechnung einbezogen werden. Ein Unternehmen, das Millionen Kundendaten speichert, hat im Schadenfall unter Umständen höhere Kosten, als ein Unternehmen, dessen Kundendatenbank unter 10.000 Kunden umfasst.
Welchen Mehrwert bringt eine Cyber-Versicherung eigentlich? Kann man hier überhaupt von Mehrwert sprechen?
Andreas Wania: Eine Cyber-Versicherung ersetzt nicht das Risikomanagement sowie die Netzwerk- und Datensicherheit oder den Datenschutz, sondern setzt da ein, wo klassische Risikomaßnahmen versagen. Cybervorfälle können durch Malware, Hacking, Sachschäden, Denial-of-Service-Attacks oder durch schlichte menschliche Unachtsamkeit ausgelöst werden.
Im Vorfeld der Deckung wird das Risiko vom Versicherer erfasst. Neben der Unternehmensgröße, der Branche und anderen „harten“ Faktoren wird geprüft, welche Maßnahmen zur Verhinderung eines Cyberschadens existieren. Der Beitrag wird aus all diesen Faktoren errechnet. So hat der Kunde bereits im Vorfeld eine unabhängige Einschätzung seines Risikos und Hinweise auf einen möglichen Optimierungsbedarf.
Aber auch die bestgesichertsten Unternehmen sind nicht vor Angriffen sicher. Schnelles und koordiniertes Handeln ist bei Cyber-Risiken unerlässlich. Handelt es sich um einen versicherten Schaden, trägt der Versicherer die entstandenen Kosten, entschädigt Ansprüche Dritter oder wehrt diese ab und trägt den entfallenen Gewinn sowie die fortlaufenden Kosten, der aus dem Schaden resultierte.
Wenn es zum worst case kommt, wie stehen Sie Ihren Kunden im Falle eines Cyber-Vorfalls bei?
Andreas Wania: Wir unterstützen unsere Kunden durch den gesamten Zyklus der Cyberpolice. Bereits vor Abschluss einer Versicherungspolice bieten wir Unterstützung beim Risikomanagement. Ferner bieten wir unseren Kunden im vermuteten Schadenfall eine erste freie Rechtsberatung und stehen im Ernstfall zusammen mit erfahrenen Experten bei der Schadenbehebung und –minderung zur Verfügung. Dabei ist die Inanspruchnahme unserer Partner für unsere Versicherungsnehmer nicht verpflichtend, da wir unsere Kunden im Schadenfall die Möglichkeit offen lassen möchten, mit deren bestehenden Partnern zusammen zu arbeiten.
Wir schließen aus Ihren Aussagen, Herr Wania: „Bei Cyber-Risiken gibt es nur zwei Arten von Unternehmen - solche, die schon gehackt wurden, und solche, die es noch nicht bemerkt haben. Trotzdem stufen noch immer viele Unternehmen die Sicherheit ihrer Daten und Prozesse nur als Angelegenheit der IT-Abteilung ein. Die Ace European Group kann hier Abhilfe schaffen. Wir danken Ihnen sehr für das Gespräch. (-el / Fotos Ace European Group / www.bocquel-news.de)
Achtung Copyright: Die Inhalte von bocquel-news.de sind nach dem Urheberrecht für journalistische Texte geschützt. Die Artikel sind ausschließlich zur persönlichen Lektüre und Information bestimmt. Abdrucke und Weiterverwendung - beispielsweise zum kommerziellen Gebrauch auf einer anderen Homepage / Website oder Druckstücken - sind nur nach persönlicher Rücksprache mit der Redaktion (info@bocquel-news.de) gestattet.
