Herr Sieverding, was raten Sie Unternehmen, wenn sie einen Versicherer suchen?

Anzeige

Bei der Suche nach passendem Cyber-Versicherungsschutz für Unternehmen sollten drei Kernfragen im Fokus stehen: Nummer eins: Welche Erfahrung bringt der Versicherer sowie der Krisenberater auf dem Gebiet mit und wie ist der Prozess der Schadenbearbeitung aufgebaut? Um die Cyber-Krise möglichst klein zu halten, sind Expertise und klares, schnelles Handeln entscheidend.

Ole Sieverding ist Product Head Cyber & Data Risks bei HiscoxHiscox

Nummer zwei: Welche Zusatzleistungen sind im Versicherungsschutz inbegriffen? Hiscox bietet etwa kostenfrei für jeden Kunden ein Cyber-Training der Mitarbeiter zur Prävention von Schadenfällen und einen Cyber-Krisenplan mit ersten wichtigen Handlungsanweisungen an.

Außerdem sollte das Bedingungswerk genau geprüft werden und die größten identifizierten Risikoszanarien an den jeweiligen Ausschlüssen und Obliegenheiten vorbeigeführt werden.

Im Fall eine Cyber-Krise sollte eine Cyberversicherung natürlich schnell und unkompliziert den Schaden regulieren. Eine gute Versicherung beschränkt sich aber nicht nur auf die Kostenübernahme nach dem Cyber-Schaden. Die wohl wichtigste Schutz-Komponente ist die unmittelbare Unterstützung im Schadenfall – und auch bereits, wenn der Verdacht einer Cyber-Krise besteht. Wir bieten unseren Kunden deshalb eine durchgängig geschaltete Hotline zu IT-Krisenexperten, die helfen, den Schaden möglichst gering zu halten und schnell zu beheben – und im Verdachtsfall idealerweise einen Schaden ganz zu verhindern. Deshalb sollten Unternehmen bei der Suche nach dem richtigen Versicherungsschutz unbedingt auch darauf achten, dass der gewählte Anbieter über Erfahrung verfügt und auf ein etabliertes Netzwerk an IT-, Rechts- und PR-Experten zurückgreifen kann, um in der Krise professionell helfen zu können.

Die Cyber-Versicherung ist keine Schrank-Police, sondern ein aktiver Teil des Risikomanagements und unterscheidet sich damit stark von einer klassischen Versicherung. Wichtig ist, dass Versicherer und das versicherte Unternehmen aktiv Hand in Hand das Risikomanagement optimieren.

Wie identifizieren Sie die Cyberrisiken von Unternehmen?

Jedes Unternehmen muss seine Cyber-Risiken für sich selbst identifizieren und ständig hinterfragen. In unserer Risikoeinschätzung spielt neben den klassischen Kriterien Tätigkeit und Betriebsgröße die Beurteilung der IT-Sicherheit die entscheidende Rolle. Weitere Faktoren sind etwa die Datenspeicherung, in welchen Ländern das Unternehmen tätig ist sowie die Angebotsdetails wie Versicherungssumme und Selbstbehalt.

Gibt es Branchen, die sie für hoch risikobehaftet halten?

Unabhängig von der Branche besteht für jedes Unternehmen ein erhöhtes Risiko, das über sensible Daten verfügt und dessen Geschäftsmodell von einer funktionierenden IT abhängt. Großunternehmen müssen sich häufiger mit gezielten Attacken auseinandersetzen. Die meisten Hacker gehen aber oportunistisch vor und zielen darauf ab, mit möglichst geringem Aufwand ihr Ziel zu erreichen. Das haben die letzten Angriffswellen wie Locky, Wannacry oder NotPetyra bestätigt. Hier ging es nicht darum, einzelne Unternehmen gezielt zu treffen, sondern möglichst viele Unternehmen gleichzeitig zu erreichen. Manche der attakierten Unternehmen, wie Beiersdorf oder Maersk, sind offenkundig auch noch Wochen nach dem Angriff massiv eingeschränkt und arbeiten unter Hochdruck daran, in den Regelbetrieb zurückzufinden.

Viele Unternehmen beklagen die immer ausgefeilteren Phishing-Attacken. Wie gehen Sie damit um?

Wir empfehlen und bieten unseren Unternehmenskunden regelmäßige Cyber-Trainings für alle ihre Mitarbeiter zur Aufklärung und Sensibilisierung gegenüber Cyber-Gefahren an. Hier lassen wir unsere Erfahrungen aus der Schadenpraxis einfließen und entwickeln die Inhalte stetig weiter. So lassen sich Schadenfälle im Idealfall komplett verhindern.

Anzeige

Denn was oft vergessen wird: Eines der größten Einfallstore für Cyber-Attacken ist der Mensch – diese Tatsache bestätigen unser Hiscox Cyber Readiness Report 2017 und unsere Schadenerfahrung. Ob unbewusst, unwissentlich oder manchmal auch mit Vorsatz – in unserer Praxis sehen wir, dass es oft die eigenen Mitarbeiter sind, die einen Cyber-Schaden auslösen. Deshalb ist Prävention im Rahmen des Cyber-Schutzes so wichtig.