Cyber Insurance: … und wer trägt Schäden?
Juni 3, 2018
Aus dem Unterricht des CAS Digital Risk Management zum Thema Cyber Insurance mit Max Keller berichten Sonja Krapfl und Alexander Kloeppel.
Cyberrisiken sind heute Chefsache…
Im Jahre 2017 wurde durch die Funk Gruppe eine Umfrage bei diversen Unternehmen im deutschsprachigen Raum durchgeführt. Das Ergebnis zeigt, dass sich die Unternehmensleitung der Problematik von Cyberrisiken bei grossen börsenkotierten Firmen bewusst ist und sich dafür zuständig fühlt. Hingegen bei KMUs fühlt sich die Unternehmensleitung nicht angesprochen bzw. sie sieht keinen Handlungsbedarf. Grund: Sie empfindet, dass die Firma entweder zu klein oder uninteressant für Cyberkriminelle ist.
Dabei geht es bei Cyberrisiken nicht nur um Schäden, welche Cyberkriminelle verursachen. Häufig geht es auch um Schäden, welche durch Mitarbeiter wegen Unachtsamkeit oder der komplizierten Technik verursacht werden.
Denn es lauern Cyberrisiken… und die lassen sich versichern!
Mit einer Cyber-Versicherung kann sich ein Unternehmen gegen diverse Schäden absichern, die der technologische Fortschritt mit sich bringt.
Erleidet das Unternehmen aber Reputationsverluste oder einen Verlust des geistigen Eigentums (beide sind nicht zu vernachlässigende Risiken) sind diese in der Versicherungsdeckung nicht inbegriffen.
Eine Übersicht ist auch in einem anderen Blog der HWZ zu finden.
5 Punkte… und die Cyber Insurance ist abgeschlossen
- Das Unternehmen kennt das Restrisiko. Denn nur die Versicherung dieser Risiken ist für das Unternehmen optimal: Cyberrisiken ./. mitigierende Massnahmen (z.B. Ausbau der Infrastruktur oder Schulung der Mitarbeiter) = Restrisiko (Versicherbare Auswirkungen)
- Analyse der bestehenden Versicherungen und Deckungen, um diese nicht nochmals zu versichern (z.B. Sachversicherungen, Betriebsunterbruchversicherung etc.)
- Evaluation Versicherungslösungen (aktuelle Versicherungen sind komplex und erklärungsbedürftig)
- Die Firma ist sich im Klaren, ob mögliche Schäden (teilweise) selbst getragen werden oder diese durch die Versicherungsdeckung gedeckt werden sollen.
- Das Unternehmen analysiert periodisch sein Cyber Risikomanagement und lässt die Versicherung gegebenenfalls anpassen.
Aufgrund der Komplexität ist der Beibezug von Spezialisten ratsam.
Cyber Risikomanagement… darin sind wir gut
Eine Cyberversicherung schützt vor Gefahren, jedoch sind Unternehmen verantwortlich, ein gutes Risikomanagement einzuführen. Das National Institute of Standards and Technology (NIST) nennt fünf Funktionen des Cyber Security Risk Managements:
Unternehmen kümmern sich meistens nur um präventive Schutzmassnahmen wie die Identifikation der Cybergefahren (Identify) und die Absicherung dieser Gefahren (Protect). Vernachlässigt werden hingegen das Aufspüren von Cybergefahren (Detect) und die Bearbeitung wenn Angriffe erfolgreich sind (Respond & Recover). Zudem ist der laufenden Verbesserung der internen Prozesse Beachtung zu schenken.
… und die Erkenntnisse sind:
Cyberrisiken sind vielseitig. Diese können mit der Cyber Insurance versichert werden. Denn die Versicherung von Restrisiken ist sinnvoll.
Mit einem guten Risikomanagement werden Cybergefahren erkannt und die Unternehmen sind auf Angriffe vorbereitet.