Transparenz zu den finanziellen Cyber-Restrisiken schaffen
Viele Unternehmen kennen aktuell die finanziellen Konsequenzen eines Cyberzwischenfalls nicht. Funk hat einen konsistenten Prozess entwickelt, um die potenziellen Risiken zu bewerten und so Transparenz für die Unternehmensleitung zu schaffen.
Unter der überwiegenden Mehrheit der Experten besteht Konsens, dass die Entwicklung der letzten Jahre im Bereich der Cyberrisiken und der Cyberkriminalität erst den Beginn einer grossen Bedrohung darstellt. Ebenso ist klar, dass trotz der hohen Investitionen in die IT-Sicherheit und der regelmässigen Sensibilisierung der Mitarbeitenden ein hundertprozentiger Schutz nie erreicht werden kann. Die kriminelle Energie und Dynamik der Angreifenden sowie die massiv zunehmende Vernetzung und Komplexität von Systemen sind nur zwei Gründe dafür. Für Unternehmen stellt sich bei dieser Ausgangslage konkret die Frage nach den unternehmensspezifischen Cyber-Restrisiken. Diese lassen sich heute schätzen und auch passgenau nach Branche und Grösse in den Versicherungsmarkt transferieren.
Kontinuierlicher Prozess mit spezialisierten Partnern
Best Practice aus heutiger Sicht kann man vereinfacht wie folgt zusammenfassen:
- die technische IT-Sicherheit kontinuierlich optimieren
- Datenschutzkonformität herstellen und erhalten
- sich in der IT und in dem Geschäftsbetrieb auf den Ernstfall vorbereiten (BCM und Krisenmanagement)
- die Mitarbeitenden kontinuierlich sensibilisieren, sowie
- im Rahmen des Cyber-Risikomanagements das finanzielle Cyber-Restrisiko quantifizieren und bei Bedarf transferieren
Nur so lässt sich beurteilen, ob das IT-System sowie die Aufbau- und Ablauforganisation gängigen Sicherheitsanforderungen genügen und ob der Umgang mit dem Datenschutz im Einklang mit der Rechtsordnung steht.
Um diesen umfassenden Service Unternehmen zugänglich zu machen, arbeitet Funk in der Schweiz und Liechtenstein mit spezialisierten Partner zusammen.
IT-Sicherheit – die letzte Meile konsequent gehen
Im letzten Schritt der ganzheitlichen Behandlung von Cyberrisiken sollten sich Unternehmen den Cyber-Restrisiken bewusst werden. In der Praxis hat sich gezeigt, dass der im Funk RiskLab entwickelte Cyber Risk Calculator (Funk CRC) die Unternehmensleitung wirksam in diesem Prozess unterstützt. Auf Basis konkreter unternehmensspezifischer Informationen werden Schadenswerte ermittelt (Betriebsunterbruch, Kosten für Wiederherstellung, Rechtsberatung und Forensik sowie realistische Diebstahl- und Erpressungssummen usw.). In einem Cyber-Risikodialog werden die Resultate zusammen mit der Unternehmensleitung detailliert überprüft und gegebenenfalls noch angepasst.
Die Unternehmensleitung erhält so eine Entscheidungsgrundlage ob - und wenn ja - zu welchen Konditionen die Cyber-Restrisiken in den Versicherungsmarkt transferiert werden können. Diese letzte Meile ist für die Verantwortlichen elementar. Nur so kann im Schadenfall dargelegt werden, ob das Management die Prozesse im Rahmen des Risikomanagements vollständig abgearbeitet hat und der Entscheid "Versicherung - ja oder nein" gut dokumentiert wurde.
Die Erfahrung der letzten Jahre zeigt, dass der Zeitaufwand für Unternehmen für diese letzte Meile in der Regel in Grenzen gehalten werden kann. Auf Basis von zwei Fragebögen werden die benötigten Daten erhoben und die relevanten Entscheidungsgrundlagen in zwei Sitzungen à ca. zwei Stunden erarbeitet.
Verschärfung der Datenschutzgesetze
Die gfs-Studie zeigt auf, dass knapp die Hälfte der befragten Firmen Geschäftsgeheimnisse und drei von fünf Firmen personenbezogene Kundendaten verwalten. Dies sind schützenswerte Daten, die im Rahmen der neuen Gesetzgebung besonderer Behandlung und besonderen Schutz bedürfen. Datenschutz ist damit zu einem Veraltungsratsthema geworden. Dabei geht es nicht nur um die Reputation des Unternehmens - verstärkt steht auch die Reputation der einzelnen Verwaltungsräte respektive der Geschäftsleitungsmitglieder selbst im Fokus. Die aktuelle Verschärfung der Datenschutzgesetzgebung hat aber auch zur Sensibilisierung beigetragen. Die vorgesehenen Strafen bei fahrlässigem oder gar vorsätzlich destruktivem Umgang mit Daten, können für Unternehmen schmerzhafte finanzielle Folgen haben.
Beschränktes Angebot an intelligenten Cyberversicherungen für Unternehmen
Bei Cyber-Versicherungen sind Standardprodukte ebenso wenig zielführend wie pauschale, undifferenzierte Versicherungssummen. Erst seit kurzer Zeit sind umfassende und kundenfreundliche Versicherungslösungen für Unternehmen erhältlich.
Prüfenswerte Versicherungslösungen haben aufgrund unserer Erfahrung sowohl Versicherungs- als auch Serviceelemente. Bei den Versicherungselementen ist darauf zu achten, dass nicht nur klassische Schäden durch Cyberkriminalität (Diebstahl, Erpressung etc.) gedeckt sind, sondern auch Schäden, die durch unsachgemässe Bedienung von Steuerungssystemen durch eigene Mitarbeitende entstanden sind. Ebenso ist es zunehmend von Bedeutung, dass auch Cloudlösungen in der Versicherungsdeckung eingeschlossen sind, da immer mehr Unternehmen Elemente der IT in externe Clouds auslagern.
Zentrale Serviceelemente beinhalten primär ein gutes verständliches Wording (AVB), welche die Bedürfnisse des Unternehmens in den Mittelpunkt stellen. In diesem Zusammenhang ist die "Beweislastumkehr" von zentraler Bedeutung. Cyberangriffe können komplexe technische Vorgänge darstellen, die selbst umgehend angeforderte Forensiker nur teilweise nachvollziehen können. Mit der erwähnten "Beweislastumkehr" liegt die Beweislast (Cyberangriff ja oder nein) beim Versicherer und nicht beim Kunden. Auch eine bewährte Cyber-Notfallorganisation muss der Versicherer glaubhaft darstellen können. Es geht dabei um organisatorische Elemente (Notfallnummer, Reaktionszeit etc.) sowie die richtigen Partner. Wir legen als beratenden Broker Wert darauf, dass auch die bestehenden IT-Security-Partner des Unternehmens im Cyber-Krisenteam eine wichtige Rolle erhalten. So ist sichergestellt, dass lokales Know-how schnell verfügbar ist und nicht unbekannte "Consultants" wichtige Zeit verlieren.
Sollte sich das Unternehmen letztlich für eine Cyber-Versicherung entscheiden, so ist mit dieser Information höchst vertraulich umzugehen. Da Cyber-Versicherungen in der Regel Leistungen bei Erpressung beinhalten, ist die Information bezüglich dem Vorhandensein einer solchen Versicherung nur dem kleinst möglichen Kreis innerhalb des Unternehmens zugänglich zu machen.