Die Rolle der Cyber-Versicherung
Ersetzt eine Cyber-Versicherung einen guten IT-Schutz? Nein. Ersetzt ein guter IT-Schutz eine Cyber-Versicherung? Auch nein! Cyberrisiken zählen heute zu den grössten und unberechenbarsten Gefahren für Unternehmen. Ein Datenverlust, blockierte IT-Systeme, fehlgeleitete Zahlungen, eine Lösegeldforderung oder hohe Wiederherstellungskosten können verheerend sein. Das Thema IT-Sicherheit in einem Betrieb muss deshalb Chefsache sein und gesamtheitlich angegangen werden.
Eine gesamtheitliche Betrachtung bedeutet, dass die IT-Sicherheit aus Sicht Betrieb, aus Sicht der Mitarbeitenden und aus Sicht der Versicherung geprüft wird. Dabei wollen die Versicherungen heute je länger je genauer wissen, wie die IT-Sicherheit im Betrieb aufgestellt ist. Unternehmen ohne klare Konzepte im Bereich der Datensicherung, Zugriffsrechten (Backup), Aktualisierung der Systeme (Update, Patches) und Schutzmassnahmen (Firewall, etc.) erhalten zunehmend keine Angebote mehr für eine Cyber-Versicherung oder nur noch zu erhöhten Prämien. Die gesamtheitliche Betrachtung fängt also definitiv beim Betrieb und Personal an.
Betrieb und Personal
Kaum ein Betrieb ist heute unabhängig von digitalen Daten. Wer hier nur an grössere Datenmengen oder Maschinen am Netz denkt, greift zu kurz. Bereits ein lahmgelegter E-Mail-Server oder eine fehlgeleitete Zahlung im eBanking kann verheerende Auswirkungen für einen Betrieb haben.
Wir empfehlen, mit Ihrem IT-Dienstleister über den passenden Schutz zu sprechen. Überlegen Sie sich, welche Daten und Abläufe für Ihr Unternehmen zentral sind und wie Sie im Fall eines Angriffs darauf reagieren könnten.
Bereits durch einfache Massnahmen lässt sich das Risiko senken.
- Verwenden Sie sichere Passwörter und gehen Sie sicher mit diesen um. Geben Sie Ihren Angestellten ein Mindest-Standard bei den Passwörtern vor. Implementieren Sie die Nutzung von 2-Faktoren-Authentifizierung.
- Besonders schützenswerte Daten sollten verschlüsselt werden.
- Backup-Konzept: Sichern Sie Ihre Daten regelmässig ausserhalb des eigenen Netzwerks - und dies über einen längeren Zeitraum hinweg (Tages-/Wochen-/Jahressicherungen).
- Updates: Aktualisieren Sie Ihre Betriebssysteme und Programme regelmässig.
- Antivirus und eine Firewall gehören zur Grundausstattung.
Zum IT-Schutz gehört auch der Einbezug der Mitarbeitenden. Eine gute Schulung sowie regelmässige Sensibilisierung zum Beispiel an Team-Sitzungen oder mittels einer Phishing-Kampagne ist die Basis dafür, dass die Mitarbeitenden – notabene die grösste Gefahrenquelle– aktiv mithelfen im Thema IT-Sicherheit.
Hackerangriff und Social Engineering
Doch auch der beste IT-Schutz bietet keine 100%ige Sicherheit. Unternehmen, welche abhängig sind von der unmittelbaren Verfügbarkeit von digitalen Daten (Kundendaten, E-Mail, etc.) oder welche über eine kritische Infrastruktur am Netz (Maschinen, Server, Webseiten, etc.) haben, sollten angesichts der weiter zunehmenden Cyber-Angriffen eine Cyber-Versicherung zumindest ernsthaft prüfen.
Unter einem Cyber-Angriff wird dabei nicht nur der klassische Hackerangriff oder die Schadsoftware verstanden, auch die vorsätzliche Handlung von Angestellten, die fehlerhafte Bedienung des Computernetzwerkes und Social Engineering kann versichert werden. Unter Social Engineering versteht man die zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, wie z. B. zur Preisgabe von vertraulichen Informationen, zu Zahlungen von (falschen) Rechnungen oder zum Kauf von Produkt zu bewegen. Dabei wird das persönliche Umfeld des Opfers ausspioniert, falsche Identitäten vorgetäuscht oder Verhaltensweisen wie Autoritätshörigkeit ausgenutzt.
Unabhängig vom Vorgehen kann ein Hackerangriff sehr hohe Kosten verursachen: Datenwiederherstellung, Betriebsunterbruch, Vermögensverlust bei eBanking-Hacking, aber auch IT-forensische Dienstleistungen, Krisenkommunikation und teilweise Lösegeldforderungen werden von Cyber-Versicherungen übernommen.
Die Rolle der Cyber-Versicherung
Die Cyber-Versicherung übernimmt also Kosten, wenn ein Angriff nicht verhindert werden konnte. Der eingangs erwähnte Schutz mittels Massnahmen im Betrieb oder Schulungen der Mitarbeitenden sind dabei von enormer Bedeutung, um die Folgen eines Cyberangriffs zu minimieren. Eine solide Datensicherung beispielsweise ermöglicht es einem KMU, schneller wieder auf die IT-Systeme zuzugreifen und den Betrieb wieder aufzunehmen. Oder anders ausgedrückt: Die beste Versicherung nützt nichts, wenn aufgrund fehlender Datensicherungen sämtliche Daten unwiederbringlich verloren sind.
Die Rolle der Cyber-Versicherung ist deshalb klar: Sie ergänzt die Schutzmassnahmen, ersetzt diese aber nicht. Auch verhindert eine Versicherung keine Cyberangriffe, sondern kann nur deren Folgen bewältigen.
Wichtig hierzu: Die Cyberversicherungen stellen Anforderungen an die IT-Sicherheit in einem Betrieb. In den Versicherungsbedingungen unter «Obliegenheiten» werden organisatorische oder technische Vorschriften definiert. Werden diese Obliegenheiten nicht eingehalten, kann eine Offerte abgelehnt werden oder – nach Vertragsabschluss – die Übernahme von Schadenzahlungen gekürzt /verweigert werden.
