Im Bereich der deutschen Wirtschaft sind erfolgreiche Cyberangriffe längst angekommen. Es ist müßig, sich noch darüber zu unterhalten, welches Unternehmen ein finanzielles Opfer einer Cyberattacke wird und welches nicht. Längst geht es doch nur noch darum, sich die Frage zu stellen, wann der Zeitpunkt eintritt. Spätestens dann sollten sich die Verantwortungsträger in den Unternehmen die Frage stellen, ob sie sich überhaupt mit einer Cyberversicherung gegen die existenzbedrohenden Folgen für ihr Unternehmen einer erfolgreichen Cyberattacke abgesichert haben und noch viel wichtiger, ob sie dieses auch richtig getan haben.
Reinald Budke-Homburg von der HDI Versicherung AG – Jahreis & Kollegen in Osnabrück beschreibt in diesem Gastbeitrag anschaulich, was Cyberversicherungen im Ernstfall leisten können, wie Sie die richtige Versicherungswahl treffen und vor allem, wie Sie einen Schaden bestmöglich vermeiden.
Betrachten wir die Cyberkriminalität wie jedes andere Risiko für ein Unternehmen, stellen wir fest, dass es zum Beispiel ein Brandschutzkonzept gegen Feuerschäden gibt oder eine Einbruchmeldeanlage gegen den unerlaubten Zutritt in ein Gebäude. Weitere Sicherheitsvorkehrungen für den Arbeitsschutz oder gegen Betriebsunterbrechungen durch Naturkatastrophen sind auch installiert. Diese vorkehrenden und weitere Maßnahmen sind mit der Zeit getroffen worden, weil negative Erfahrungen nach derartigen Ereignissen für die Unternehmen und die Verantwortungsträger teilweise erhebliche Auswirkungen nach sich zogen, die sich dann auch durch Umsatzreduzierungen und sich dadurch verschlechternden Handelsbilanzen am Jahresende widerspiegelten. In diesem Zusammenhang sollten sich Unternehmensleiter mit den Sorgfaltspflichten eines ordentlichen und gewissenhaften Geschäftsleiters (§93 AktG und § 43 GmbHG) wieder einmal beschäftigen.
An dieser Stelle muss und sollte jedoch auch einmal die Beraterqualität im Verhältnis zum Versicherungsnehmer beleuchtet werden. Welchen Umfang des Versicherungsschutzes kann der Berater richtigerweise beim Risikoträger durchsetzen und was ist der Versicherungsnehmer bereit, für seinen richtigen Umfang an Versicherungsschutz finanziell aufzuwenden? Um den passenden Versicherungsschutz sicherzustellen, kann dies auch eine umfangreiche strukturelle Anpassung des eigenen Betriebes bedeuten. Die hauseigene IT-Infrastruktur sicherheitstechnisch umfangreicher zu organisieren, stellt dabei einen Kernkompetenzbereich dar. Diese Fragestellungen sind elementar und auch bekannt, beispielsweise aus dem Brandschutz mit erforderlichen Sprinkleranlagen oder in der Gebäudeversicherung mit erhöhten Werten und den erforderlichen Einbruchschutzmaßnahmen. Hier bedarf es einer Transferleistung für Schutzkonzepte gegen Cyberkriminalität analog sonstiger bekannter risikomindernder Maßnahmen betriebsgefährdender Risiken.
Übertragen wir diese Sichtweise auf eine Cyberversicherung zum Schutz vor den finanziellen Folgen einer erfolgreichen Cyberattacke, werden wir feststellen, dass es nicht einfach damit getan ist, eine Cyberversicherung abzuschließen, sondern sich mit der richtigen Cyberversicherung zu beschäftigen. Soforthilfe im Notfall, Datenwiederherstellungskosten, forensische Untersuchungen, Kosten für PR-Maßnahmen im Krisenfall, Abwehr von Erpressungsversuchen, Entfernung von Schadsoftware und sehr viele weitere Kostenpositionen für den Eigen- und Fremdschaden sind hier nur beispielhaft als Leistungsinhalte einer Cyberversicherung aufgelistet.
Stellen wir nunmehr die These auf, dass der Versicherer einen Cyberschaden zu hundert Prozent vertragskonform bezahlt und reguliert hat, so werden die Verantwortlichen des geschädigten Unternehmens danach feststellen, welche Schäden trotzdem noch beim Unternehmen anhängig bleiben können. Geschädigte Firmenverantwortliche berichten davon, dass die Reputation nicht komplett wiederhergestellt wurde, ein Jahr später nach der Betriebsunterbrechung nicht alle Kunden zurückgekommen sind, der Bußgeldbescheid direkt aus der „Bilanz bezahlt“ wurde oder die Gesellschafter ein Verfahren gegen den Geschäftsleiter angestrengt haben, weil der Geschäftsführer eine Fehleinschätzung der Unternehmens-IT vorgenommen hat.
Wir schlussfolgern, dass es Sinn macht, einen Schaden erst gar nicht entstehen zu lassen!
Ist das im Gefahrenbereich der Cyberkriminalität auch möglich? Ist es auch möglich, sich mit präventiven Maßnahmen gegen erfolgreiche Cyberattacken zu schützen, wie zum Beispiel mit einer Brandmeldeanlage gegen Feuerschäden oder einer Einbruchmeldeanlage gegen Einbrüche?
Cyber Security ist ein andauernder Prozess, der unter der Verantwortlichkeit des Geschäftsleiters angesiedelt ist und in jeder Jahresbudgetplanung für das Unternehmen die entsprechende Wertstellung genießen sollte. Zur Verantwortlichkeit des Geschäftsleiters gehört unter anderem auch das Controlling der IT im Unternehmen. Diese gehört nicht allein in die Verantwortung des IT-Leiters bzw. des externen IT-Dienstleisters.
Gut positionierte und mit umfangreichen Präventionsmaßnahmen für die Versicherungsnehmer ausgestattete Cyberversicherer helfen dabei, aktiv statt passiv einen Cyberschaden nicht entstehen zu lassen. Dem Grunde nach wollen Versicherer nicht das Geldwechselgeschäft Prämie gegen Versicherungsleistung. Zurecht, wie wir erfahren haben, denn trotz einer einwandfreien Schadensregulierung bleiben diverse finanzielle Risiken beim Geschädigten hängen. Die richtigen Cyberversicherer stellen in Ihren Policen Mitarbeiterschulungsprogramme mit Wissensüberprüfungen und entsprechenden Zertifikaten, einen Mail-Support für verdächtige Mails und weitere Sicherheitstools zur Verfügung. Aufgrund der Anzahl der Schadensverursachung durch die User, die Mitarbeiter, ist das Awarenesstraining der Human Firewall eines der wichtigsten Maßnahmen gegen erfolgreiche Cyberattacken. Des Weiteren geben innovative Versicherer den Geschäftsleitern Controlling-Tools unter anderem mit einem Monitoring für die IT-Abteilung oder den externen IT-Dienstleister an die Hand oder inkludieren in die Prämie oder gegen Mehrprämie Security-Baseline-Checks oder IT-Prozess-Dialoge zur jährlichen Kontrolle der IT-Systeme. Hierbei sind jedoch die Größe und der Umfang des Unternehmens auch entscheidend. Für den internen oder externen IT-Verantwortlichen eines KMUs kann so ein Report auch unterstützend mithelfen, Fehler in der IT-Struktur aufzudecken. Beispielhaft können hier nicht durchgeführte Softwareaktualisierungen, kritische offene Ports, veraltete Verschlüsselungseinstellungen beim Mailserver und weitere Schwachstellen identifiziert werden. Die öffentliche Sichtbarkeit der Unternehmens-IT ist auch für fremde Dritte mit diversen Tools und Einstellungen möglich, die dieses Wissen für gezielte Angriffsszenarien nutzen können und werden. Es darf festgehalten werden, dass die Unternehmens-IT in den Verantwortungsbereich des Geschäftsleiters gehört, also Chefsache ist und dementsprechend auch die benötigte Aufmerksamkeit verdient.
Nicht irgendeine Cyberversicherung hilft weiter, sondern das Bewusstsein über die sich weiter verschärfende Situation für Cyberattacken auf Unternehmen. Die Wahl für die richtige Cyberversicherung kann nachweislich dabei helfen, einen Cyberschaden nicht eintreten zu lassen. Sollte es dennoch zu einer erfolgreichen Cyberattacke mit monetären Folgen für ein Unternehmen kommen, stehen diverse Leistungsbausteine zur Absicherung zur Verfügung. Der Geschäftsleiter sollte sich bei der Auswahl des Versicherers durch den Umfang der Versicherungsleistungen leiten lassen und auch von einer eher höheren als zu niedrig gewählten Versicherungssumme. Die Cyberversicherung reguliert auch Drittschäden, also Haftpflichtansprüche, die beispielhaft durch eine Identitätsübernahme verursacht wurden. Ebenso sollte ein umfangreiches Präventionspaket inkludierter Bestandteil in der Versicherungsprämie sein. Betriebswirtschaftlich muss die Prämie berücksichtigt werden. Diese wiederum kann durch einen erhöhten Selbstbehalt gemindert sein.
Cybercrime ist ein millionenfaches und millionenschweres unternehmerisches Risiko, welches nicht abstrakt vorhanden ist, sondern tagtäglich stattfindet und eine konkrete Gefährdungslage darstellt. Einen Schaden nicht eintreten zu lassen, muss das Ziel eines jeden sorgfältig handelnden Geschäftsleiters eines Unternehmens sein.
Holen Sie sich neue Impulse für Ihren Alltag! Wir geben in diesem Seminarprogramm zum Thema Führung & Management praktische Tipps und passende Seminarempfehlungen, mit denen Sie Ihre größten Herausforderungen im Daily Business erfolgreich meistern.
Kommentare
Keine Kommentare