Gefahren durch Cyberkriminalität ändern sich ständig
Für Unternehmen wird die Cyberversicherung immer wichtiger, je mehr sie auch im Netz ihre Dienstleistungen und Produkte anbieten. Die Prävention durch Technik reicht diesbezüglich längst nicht mehr aus, so erklärt Ole Sieverding, Product Head Cyber & Data Risks beim Spezialversicherer Hiscox, im Interview mit dem Versicherungsboten.
Versicherungsbote: Was sind die typischen Fälle für eine Cyber-Versicherung?
Anzeige
Ole Sieverding: In unserer täglichen Arbeit als Spezialversicherer haben wir es mit ganz unterschiedlichen Fällen zu tun. Die Bandbreite unserer Kunden, die einer Cyber-Attacke zum Opfer gefallen sind, ist sehr groß. Zu unseren Kunden gehören Selbstständige, Startups und mittelständische Firmen genauso wie Großunternehmen. In der Schadenbearbeitung sehen wir zurzeit viele Arten von Ransomware, also Schadsoftware, die Dateien auf infizierten Endgeräten verschlüsselt. Ransomware versteckt sich häufig in E-Mail-Anhängen, aber auch hinter Werbebannern im Internet. Da genügt schon ein einziger Klick darauf und der Zugriff auf die eigenen Daten ist weg. Die Verschlüsselung ist dabei so raffiniert, dass sie mit vertretbarem Aufwand nicht zu knacken ist.
Daneben beschäftigen uns gerade vermehrt DoS-Attacken, bei denen Cyber-Kriminelle den Zugang zu Websites blockieren. Da viele Unternehmen dieselben Provider für ihre Domain nutzen, sind hier häufig mehrere Seiten gleichzeitig betroffen. Auch vermeintliche Big Player sind nicht sicher. In den USA war zum Beispiel zuletzt der Netzwerkdienstleister Dyn von einem DoS-Angriff betroffen und Dienste wie Twitter, Paypal, Netflix und Spotify waren für Millionen Nutzer über Stunden nicht erreichbar. Wirklich existenzbedrohend wird solch ein Angriff bei kleinen und mittleren Unternehmen, vor allem, wenn diese ihre Produkte über eine eigene Website verkaufen. Ist beispielsweise nach einer Cyber-Attacke die Website eines Onlineshops für Designerkleidung über mehrere Tage nicht mehr erreichbar, kann allein der Ertragsausfall eine 6-stellige Summe ausmachen. Darüber hinaus können Kosten für die Computerforensik und das Krisenmanagement aufkommen.
Generell sollte jedes Unternehmen, das über sensible beziehungsweise geschäftsrelevante Daten verfügt, über eine Cyber-Versicherung nachdenken. Folgende Überlegungen können dabei helfen, das Für und Wider einer Cyber-Versicherung abzuwägen: Jedes Unternehmen sollte zunächst für sich selbst klären, welche Daten seine „Kronjuwelen“ sind und was im schlimmsten Fall passiert, wenn diese nicht mehr zugänglich sind oder abhandenkommen. Auch über den größtmöglichen Schaden sollte man sich im Klaren sein. Die Antworten auf diese Fragen bilden eine Entscheidungsgrundlage, um gemeinsam mit dem Makler nach einem passenden Versicherungsschutz zu suchen.
Warum brauchen Unternehmen mittlerweile ganz dringend einen Schutz in diesem Segment?
IT-Sicherheit lässt sich heutzutage nicht mehr rein technisch lösen. Früher war man der Ansicht, dass eine gute Firewall und ein Virenschutzprogramm einen ausreichenden Schutz bieten. Mittlerweile haben aber nicht nur die Angreifer massiv dazugelernt, auch die Abhängigkeit von der IT ist wesentlich höher. Diese zwei Parameter wirken sich direkt auf das mögliche Schadenausmaß aus. Selbst wenn die IT gut ausgestattet ist und immer auf dem aktuellsten Stand gehalten wird, garantiert das keine hundertprozentige Sicherheit. Deshalb ist es wichtig, dass Unternehmen über eine Cyber-Police zusätzlich für den Ernstfall vorsorgen.
Dabei sollten Versicherungsnehmer ihre Police nicht dahingehend auswählen, ob der entstandene Schaden möglichst schnell bezahlt wird, sondern sich genau über die angebotenen Beratungs- und Assistance-Leistungen informieren. Ein wichtiger Bestandteil des Cyber-Schutzes sollten die Präventionsleistungen sein. Hier geht es darum, die Unternehmen auf Sicherheitslücken hinzuweisen und auch dafür zu sensibilisieren, dass es nicht immer nur technische Einfallstore sind, durch die die Cyber-Kriminellen Zugang zu den Firmendaten erhalten. So sind zum Beispiel eigene Mitarbeiter mit wenig IT-Wissen oft die größere Gefahr, da sie – oft aus Unwissenheit – recht lax mit Daten umgehen. Im Schadenfall steht der Versicherer dann idealerweise auch mit Rat und Tat zur Seite, um schnelle und kompetente Hilfe zu leisten. Nur wer umgehend reagiert, kann das Ausmaß eines Angriffs eindämmen, die Schadenhöhe geringer halten und die IT gezielt aufrüsten. Unsere Erfahrung zeigt, dass Unternehmen mit einer akuten Cyber-Krise in der Regel überfordert sind. Hier knüpfen Cyber-Assistance-Leistungen wie eine 24/7-Krisenhotline an, über die sich Betroffene direkte und unbürokratische Unterstützung von Experten holen können.
IT-Ausfälle, Spionage oder Datenmissbrauch können Unternehmen Millionen kosten. Wie hoch sollten die Deckungssummen sein?
Das lässt sich so pauschal nicht sagen. Die optimale Deckungssumme ist bei jedem Unternehmen eine andere. Zur Bestimmung ist es hilfreich, mit dem Makler anhand einiger Fragen eine Risikoanalyse durchzuführen. Wie abhängig ist mein Unternehmen von der IT und wie bringe ich sie nach einer Cyber-Attacke wieder zum Laufen? Daraus lässt sich meist ganz gut ableiten, welche Kosten für eine System- und Datenwiederherstellung zu veranschlagen wären. Dann sollte der Unternehmer darüber nachdenken, wie lange der Betrieb durch einen Hackerangriff im schlimmsten Fall stillstehen würde. Wie hoch wären etwa die Kosten für eine mehrtägige Betriebsunterbrechung?
Berücksichtigt werden sollte auch, ob das Unternehmen über Kunden- und Mitarbeiterdaten verfügt, die Cyber-Kriminelle erbeuten könnten. Je nach Umfang der Datensätze können hier bei einer Attacke hohe Kosten für die Aufklärung der Einzelfälle sowie die gesetzliche Informationspflicht der Betroffenen entstehen. Zuletzt wurden etwa 43 Millionen Nutzerdaten des Web-Baukastens Weebly entwendet. Ausschlaggebend ist aber natürlich auch die Brisanz der Datensätze. Handelt es sich „nur“ um die E-Mail-Adressen der Kunden, oder sind deren Kreditkartendaten oder Patientenakten in die falschen Hände geraten? Das hat natürlich auch Auswirkungen auf das Vertrauen der Kunden und darauf, ob sie auch nach einer Cyber-Krise noch beim betroffenen Onlineshop einkaufen oder sich im entsprechenden Krankenhaus behandeln lassen möchten.
Dazu kommen mögliche gesetzliche Schadenersatzansprüche Dritter, wie zum Beispiel von Lieferanten, die mittelbar von einer Cyberrechtsverletzung betroffen sind. Eine Versicherung sollte dann auch einen passiven Rechtsschutz beinhalten, um unbegründete Ansprüche abzuwehren, und berechtigte Schadenersatzforderungen abdecken. Makler und Kunde wägen dann zwischen allen genannten Aspekten ab und kommen so auf die für das jeweilige Unternehmen passende Deckungssumme.
Sind die Produkte im Bereich Cyber-Versicherung schon ausgereizt oder gibt es noch Risiken, die bisher noch gar nicht angefasst wurden? Können Sie hierfür Beispiele nennen?
Cyber-Kriminalität ist mittlerweile ein sehr lukratives und ebenso agiles Geschäft, das sich laufend weiterentwickelt. Die Gefahren ändern sich ständig und entsprechend muss auch die Deckung in kurzen Abständen angepasst werden. Insofern wird es immer neue Risiken geben, mit denen sich die Versicherungsnehmer und die Versicherungsbranche auseinandersetzen müssen. Es werden täglich neue Fälle bekannt, bei denen bekannte Methoden der Cyber-Kriminellen auf ein neues Level gebracht werden.
Ein aktueller Artikel berichtet zum Beispiel über einen Trojaner namens Exotic, der auch ausführbare Dateien, also etwa Windows Prozesse, einnehmen und verschlüsseln kann. Bisher infizierten Trojaner „nur“ starre Daten wie von JPG- oder Word-Dateien. Die neuen Viren machen dem infizierten System die Nutzung von Anwendungen und Programmen unmöglich. Dieses Beispiel zeigt, dass die Cyber-Versicherung sicherlich eine der dynamischsten Sparten ist, bei der sich die Gefährdungslage innerhalb kürzester Zeit signifikant verändern kann.
Anzeige
Steckbrief: Ole Sieverding ist seit 2013 für Hiscox Deutschland tätig und veranwortet als Product Head Cyber & Data Risks den Bereich Cyberrisiken und Datenmissbrauch. Sieverding stieg als Underwriter für berufliche Risiken beim Spezialversicherer ein und übernahm den Relaunch des D&O-Produkts (Directors & Officers) sowie die Projektleitung bei der Einführung des modularen Produktansatzes. Zudem war er bei Lloyd’s of London im Hiscox London Market Casualty Team tätig. Sieverding hat an der University of Westminster in London studiert und besitzt einen Abschluss in Corporate Finance von der International School of Management Dortmund.