Der Begriff «Cyber-Risiko» ist nicht eindeutig definiert. Im Fokus stehen in erster Linie zielgerichtete Angriffe auf Daten oder IT-Systeme unter Ausnutzung von Informations- und Kommunikationstechnik (Hackerangriffe). Finanziell können sich Cyber-Risiken in unterschiedlichen Kosten wie Haftungsansprüchen von Kunden oder anderen Drittparteien, Umsatzverlusten (direkt oder über Reputationsschaden), Zusatzkosten für Notifikation, Bussgeldern und rechtliche Gebühren auswirken.
Schäden können signifikant, in gewissen Fällen sogar existenzbedrohend sein. Es gab eine massive Zunahme im Hinblick auf die Frequenz und auch dem Ausmass von Cyber-Schäden über die letzten Jahre hinweg. Dieser Trend setzt sich ungebremst fort. Aufgrund der durch Covid-19 ausgelösten Gesundheitskrise mussten unzählige Unternehmen praktisch über Nacht ihre IT-Infrastruktur in die Wohnzimmer der eigenen Mitarbeiter ausweiten. Dies war eine unabdingbare Notwendigkeit, um die Kontinuität im Geschäftsbetrieb sicherzustellen.
Aber wie sollen Unternehmen das Risikomanagement konkret angehen? Eine holistische Herangehensweise ist von essentieller Bedeutung. Diese verlangt, dass ein besonderes Augenmerk auf den Faktor Mensch, den rapiden technischen Fortschritt mit disruptivem Charakter und die zunehmenden Konnektivitäten gelegt wird. Die Bewältigung der Risiken sollte demnach nicht auf einer eindimensionalen Ebene stattfinden. Vielmehr müssen die Risikofaktoren in regelmässigen Abständen neu analysiert und angegangen werden.
Cyber-Versicherungen sind ein integraler Teil dieses Lösungsansatzes. Nicht nur aufgrund des klassischen Risikotransfers und der damit verbundenen bilanziellen Volatilitätsreduktion, sondern auch wegen den entsprechenden Dienstleistungen und dem Wissen, welche die Versicherer mitbringen. Ausgestaltung, Deckungen und Prämien unterscheiden sich sehr stark zwischen den jeweiligen Anbietern. Die Herausforderung für Unternehmen ist, die individuellen Cyber-Risiken und die Exponierung zu identifizieren und dazu passende Versicherungsdeckungen zu finden. Ohne einen geordneten Prozess wird der Versicherungseinkauf zu einem Blindflug.
Mit steigender Nachfrage lancieren alle grossen Versicherer neue Produkte. Dadurch werden diese zum Kundenvorteil aus preislicher Sicht kompetitiver. Mehrere grosse Schadenfälle tragen jedoch aktuell dazu bei, dass die Prämien ansteigen und wir einem härteren Versicherungsmarkt entgegensteuern. Dies zeigt sich auch darin, dass die Versicherer die Risiken der Kunden genauer prüfen und selektiver Neugeschäfte zeichnen.
Cyber-Versicherungen sind zu Recht im Trend. Das hilft auch, der Nachfrage nach Innovation auf dem Versicherungsmarkt zu entgegnen. Die Exponierung eines Unternehmens zu Cyber-Risiken ist unter anderem abhängig von Grösse, Tätigkeitsbereich sowie Abhängigkeiten in der Wertschöpfungskette.
Ein Ereignis kann entweder intern oder extern erfolgen. Einerseits durch eigene Mitarbeitende (Fehler oder Missbrauch), durch externe Angreifer oder aufgrund einer technischen Panne. Verursacher von Cyber-Zwischenfällen können Alleinakteure, organisierte Kriminalität oder sogar Staaten sein. Unautorisierter Zugriff von aussen (Hacking) kann auf unterschiedlichste Arten erfolgen, beispielsweise durch:
– Physischen Zugang und Installation von Hardware oder Abgreifen von Daten.
– Denial of Service (DoS) durch Angriffe auf ein Computersystem und gezielte Überlastung.
– Schadprogramme (Malware), die unerwünschte oder schädliche Funktionen ausführen.
– Phishing über fingierte Webseiten oder E-Mails, um an Daten zu gelangen.
– Logische Bomben mittels kleinerer Fehler, die über Zeit zu grösseren Korruptionen führen.
Insbesondere die Vorfälle durch Schadsoftware haben in den letzten Jahren markant zugenommen. Die globale Gesundheitskrise hat dabei nochmals zu einer Verschärfung der Problematik geführt.
Bei der Analyse von Cyber-Risiken sollte nicht nur das eigene Unternehmen kritisch betrachtet werden. Outsourcing Partner, Lieferanten und Abnehmer, sowie auch technologische Veränderungen (z. B. intelligente Stromnetze, teilautomatisierte digitale Wirtschaft) führen dazu, dass sich die Risikolandschaft kontinuierlich verändert. Einen Fokus sollte daher auch auf die Versorgungsinfrastruktur (Elektrizität, Finanzsysteme, Telekommunikation, Internetinfrastruktur) gelegt werden.
Zusätzlich sollte in Anbetracht gezogen werden, dass die heutige Nutzung des Internets nicht mehr dem ursprünglichen Konzept entspricht. Die hohe Anzahl an Nutzern und Daten wurde so nicht antizipiert. Das hat zur Konsequenz, dass die Komplexität der Systeme und deren Interdependenzen weiterhin rasant steigen. Ein weiterer wichtiger Punkt betrifft die Diversität der Bedrohungslandschaft.
Cyber-Attacken ziehen immer Folgekosten nach sich. Diese variieren markant in Auswirkung und Höhe. Neben den finanziellen Schäden, die das Unternehmen erleidet, muss auch die Exponierung gegenüber Drittparteien und mögliche daraus resultierende Verpflichtungen beachtet werden. Ebenso zu beachten gilt der potenzielle Reputationsverlust nach erfolgtem Angriff.
Die Analyse von Cyber-Risiken ist nicht trivial, da sich diese wie oben aufgezeigt mit einer grossen Geschwindigkeit verändern und sich Unternehmen sowohl vor bekannten und nicht bekannten externen und internen Attacken schützen müssen. Dies bedeutet, dass die Identifikation, Beurteilung und Bewältigung von Risiken in ein kontinuierliches Risikomanagement eingebettet werden sollten.
Der eigens von Aon entwickelte Cyber-Loop visualisiert die vier zentralen Schritte auf dem Weg zu einer umfassenden Cyber-Resilienz.
In den meisten Unternehmen werden die einzelnen Schritte unabhängig voneinander verfolgt. Nur im Zusammenspiel ergibt sich jedoch ein Gesamtbild und das Unternehmen wird erst so in die Lage versetzt, eine optimale Abwehrstrategie entwickeln zu können.
Cyber ist ein relativ junges Produkt, verglichen mit traditionellen Sparten wie Transport- oder Gebäudeversicherungen. Ausgestaltung, Namensgebung und Deckungsumfang gestaltet sich pro Versicherer sehr unterschiedlich. Im Grundsatz beinhaltet diese jedoch drei Versicherungsbausteine:
Eigenschäden
– Betriebsunterbrechung (Ertragsausfall und fortlaufende Kosten)
– Wiederherstellungskosten (Reparatur oder Wiederherstellung von Daten, Programmen oder Systemen)
– Kosten für Krisenmanagement (u. a. IT-Forensik, PR-Beratung, Rechtsberatung)
– Erpressung (Beratung und Lösegeld)
Drittschäden
– Datenschutzrechts- und Vertraulichkeitsverletzungen (DSG und DSGVO)
– Persönlichkeitsrechtsverletzung
– Verletzung geistiger Eigentumsrechte
– Netzwerksicherheitsverletzungen
Weitere mögliche Deckungsinhalte
– Benachrichtigungskosten
– Call-Center-Kosten
– Kundenbindungsaktionen
– Vertragsstrafen der Payment Card Industry
– Kreditkartenmonitoring
– Behördliche Verfahren
– Entschädigungen mit Strafcharakter, Bussgelder usw.
– Cyber-Diebstahl und Cyber-Betrug
Eine Cyber-Deckung wird, wie bereits erwähnt, nicht nur wegen dem Aspekt des Bilanzschutzes eingekauft, sondern auch aufgrund der Möglichkeit des Zuzugs von externer, spezifischer Expertise über den Versicherer im Ereignisfall. Im Rahmen der Cyber-Versicherung werden die Kosten für IT-Spezialisten übernommen, welche die Unternehmen bei der Bewältigung des Krisenfalles unterstützen. Auch wenn man über eigene Spezialisten verfügt, so sind diese Ressourcen in der Regel doch nur auf den Normalbetrieb ausgelegt. Im Schadenfall werden deshalb vermutlich personelle und technische Unterstützung von Dritten benötigt.
1. Cyberrisiko-Assessment für die Bestimmung des Maturitätsprofils.
2. Begleiteter Workshop mit Vertretern der Abteilungen Risikomanagement/Versicherungen, IT, Rechtsabteilung, um in einem ersten Schritt für das Thema zu sensibilisieren und ein gemeinsames Verständnis zu schaffen, inwieweit ein Cyber-Risikomanagement bereits implementiert ist und welche Regelungen die Verträge mit Outsourcing-Partnern (z. B. Haftpflicht) beinhalten usw.
3. Darauf aufbauend sollte die Exponierung im Detail beurteilt werden.
4. Nach der Identifizierung und Beurteilung der Risiken sollten die existierenden oder fehlenden Risikobewältigungsmassnahmen besprochen, berücksichtigt und umgesetzt werden (SLA, BCP, interne Kontrollen, Richtlinien z. B. für Datenschutz usw.).
5. Falls die Versicherung von Cyber-Risiken ein Thema wird, sind folgende Punkte zu adressieren:
a. Soll Versicherung zum Zweck des Bilanzschutzes eingekauft werden oder wegen der Dienstleistungen im Ereignisfall?
b. Welche Limiten werden benötigt (Beantwortung auf Basis des durchgeführten Cyberrisiko-Assessments)?
c. Was ist der Risikoappetit (Eigentragung, Selbstbehalt)?
d. Einholung von Quotierungen
e. Entscheid ĂĽber Risikotransfer
«AQUA & GAS» gibt es auch als E-Paper. Abonnenten, SVGW- und/oder VSA-Mitglieder haben Zugang zu allen Ausgaben von A&G.
Den «Wasserspiegel» gibt es auch als E-Paper. Im SVGW-Shop sind sämtliche bisher erschienenen Ausgaben frei zugänglich.
Kommentare (0)