Cyberrisikomanagement – die letzte Meile konsequent gehen
Nach drei massiven globalen Cybercrime-Wellen im vergangenen Jahr (WannaCry, NotPetja, Bad Rabbit) und der Erkenntnis, dass mit den Sicherheitslücken Meltdown und Spectre praktisch alle Systeme gefährdet sind, bleiben pragmatische Lösungen gefragt.
Unter der überwiegenden Mehrheit der Experten besteht Konsens, dass die Entwicklung der letzten Jahre im Bereich der Cyberrisiken und der Cyberkriminalität erst den Beginn einer grossen Bedrohung darstellt. Ebenso ist klar, dass auch mit hohen Investitionen in die IT-Sicherheit und die Sensibilisierung der Mitarbeitenden nie ein hundertprozentiger Schutz erreicht werden kann. Die kriminelle Energie und Dynamik der Angreifenden sowie der massiv zunehmenden Vernetzung und Komplexität von Systemen sind nur zwei Gründe dafür. Für Unternehmen stellt sich bei dieser Ausgangslage konkret die Frage nach den unternehmensspezifischen Cyberrestrisiken. Diese lassen sich heute abschätzen und auch passgenau nach Branche und Grösse in den Versicherungsmarkt transferieren.
In der Praxis hat sich gezeigt, dass der im Funk RiskLab entwickelte Cyber Risk Calculator (Funk CRC) die Unternehmensleitung wirksam in diesem Prozess unterstützt. Auf Basis konkreter, unternehmensspezifischer Informationen werden Schadenswerte ermittelt (Betriebsunterbruch, Kosten für Wiederherstellung, Rechtsberatung und Forensik sowie raealistische Diebstahl- und Erpressungssummen usw.). In einem Cyberrisikodialog werden die Resultate zusammen mit der Unternehmensleitung detailliert überprüft und gegebenfalls angepasst.
Die Unternehmensleitung erhält so eine Entscheidungsgrundlage ob – und wenn ja – zu welchen Konditionen die Cyberrestrisiken in den Versicherungsmarkt transferiert werden sollen. Diese letzte Meile ist für die Verantwortlichen elementar. Nur so kann im Schadenfall dargelegt werden, ob das Management die Prozesse im Rahmen des Risikomanagements vollständig abgearbeitet hat und der Entscheid "Versicherung - ja oder nein" lückenlos dokumentiert wurde.
Worauf ist bei Versicherungslösungen zu achten?
Bei Cyberversicherungen sind Standardprodukte ebenso wenig zielführend wie pauschale, undifferenzierte Versicherungssummen. Erst seit kurzer Zeit sind umfassende und kundenfreundliche Versicherungslösungen für Unternehmen erhältlich. Prüfenswerte Versicherungslösungen umfassen aufgrund der Erfahrung von Funk sowohl Versicherungs- als auch Serviceelemente. Bei den Versicherungselementen ist darauf zu achten, dass nicht nur klassische Schäden durch Cyberkriminalität (Diebstahl, Erpressung etc.) gedeckt sind, sondern auch Schäden, die aufgrund unsachgemässer Bedienung von Steuerungssystemen durch eigene Mitarbeitende entstehen. Ebenso ist es zunehmend von Bedeutung, dass auch Cloudlösungen in der Versicherungsdeckung eingeschlossen sind, da immer mehr Unternehmen Elemente der IT in externe Clouds auslagern. Zentrale Serviceelemente beinhalten primär ein gut verständliches Wording (AVB), welche die Bedürfnisse des Unternehmens in den Mittelpunkt stellen. In diesem Zusammenhang ist die "Beweislastumkehr" von zentraler Bedeutung. Cyberangriffe können komplexe technische Vorgänge darstellen, die selbst umgehend angeforderte Forensiker nur teilweise nachvollziehen können. Mit der erwähnten "Beweislastumkehr" liegt die Beweislast (Cyberangriff ja oder nein) beim Versicherer und nicht beim Kunden. Auch eine bewährte Cyber-Notfallorganisation muss der Versicherer glaubhaft aufzeigen können. Es geht dabei um organisatorische Elemente (Notfallnummer, Reaktionszeit etc.) sowie die richtigen Partner.
Als beratender Broker legt Funk Wert darauf, dass auch die bestehenden IT-Security-Partner des Unternehmens im Cyber-Krisenteam eine wichtige Rolle erhalten. So ist sichergestellt, dass lokales Know-how schnell verfügbar ist und nicht unbekannte "Consultants" wichtige Zeit verlieren.