Das Risiko zwischen Bildschirm und Rückenlehne
Vor Abschluss einer Cyberversicherung können Unternehmen auch selbst Vorsorgen treffen.
Manfred Kainz. Wohnung und Haus sichert man gegen Schäden. Ein Cyberangriff bezweckt letztlich einen Einbruchdiebstahl, nur nicht physisch, sondern übers Netz. Cyberversicherung ist also ähnlich einer Einbruchdiebstahlversicherung, eben auf virtueller Basis. So vergleicht es Harald W. Neuberger im Gespräch mit dem Börsen-Kurier. Laut dem allgemein beeideten und gerichtlich zertifizierten Sachverständigen und Spezialisten für Cyber-, D&O-, Sachversicherungen und Großschadensmanagement seien Einbruchdiebstahlversicherung und Cyberversicherung in der Konzeption ziemlich gleich: die eine für die analoge Welt, die andere eben für die digitale. Und manche Berufsgruppen (wie in der Finanzdienstleistung) und Einrichtungen verwalten große sensible Datenmengen. Was sie zu attraktiven Angriffszielen und „dankbaren Opfern“ für Cyberangriffe macht, so der Geschäftsführer der Versicherungsberatungs-Gesellschaft m.b.H weiter.
Risiko managen
Wobei für jedermann gilt: Vor Abschluss einer Cyberversicherung müssen jedenfalls ein paar To-do‘s zur Sicherheit gemacht werden. Cyberversicherung ist nur der letzte Schritt im gesamten Riskmanagement von Unternehmen und in manchen Branchen weniger komplex als in anderen, die stärker gefährdet sind: vom Risiko des Diebstahles sensibler, personenbezogener Daten, vom Imageschaden, der einem daraus am Markt entsteht, und von Ansprüchen aus Schäden bei betroffenen Kunden. Jeder (Unternehmer) könne versicherungsmäßig eine individuelle Lösung für sich finden. Umso günstiger, wenn das „technische Gesamtpaket“ (Stichwort Auslagerung in Clouddienstleiter oder externe Rechenzentren) in seinem Unternehmen stimmt, so der Experte. Dazu gehört mindestens regelmäßiges Firewall-Update und regelmäßiger Wechsel der Passwörter. Und da ist man schon beim „Risikofaktor Mensch“, den man nicht unterschätzen darf, warnt Neuberger. Was für Chefs heißt: Die Mitarbeiter zum Thema Cybergefahren sensibilisieren und zu regelmäßigen Sicherungsroutinen verpflichten. Das könne schon sehr viel bringen. Denn es geht um Bewusstsein und Vorbeugung. Denn wenn man die Cyberversicherung im Falle des Falles braucht, „steckt der Karren schon im Dreck“ und kann sehr kostspielig werden.
Gesichter des Schadens
Weil der Cyberschaden unterschiedliche Gesichter hat. Da ist ein nicht zu unterschätzender Reputationsschaden, wenn man Kunden über ein Datenleck verständigen muss. Für jeden gehackten Datensatz, über den die Kundschaft (und die Datenschutzbehörde) informieren muss, könne man rund 100 Euro veranschlagen, kalkuliert der Sachverständige. Bei vielen Kunden kann da einiges zusammenkommen. Und es ist die Frage, ob einem die Kunden bleiben. Dazu kommt der Betriebsunterbrechungsschaden, wenn Abläufe lahmgelegt sind. Und eventuell Lösegelderpressung und eventuelle Strafzahlungen und Schadenersatzansprüche von Dritten. Wenn man das alles überstanden hat, wird es möglicherweise kostspieliger Werbemaßnahmen zur Behebung des Imageschadens, der schlimmer als Schadenersatzansprüche sein kann, bedürfen.
Vorinvestitionen
Will man all das möglichst vermeiden, kann und sollte man schon vorm Verhandeln einer Cyberversicherung zuallererst in die eigene Datensicherheit, Sicherungssysteme/-prozesse und in Mitarbeitersensibilisierung investieren. Cyberversicherer bieten Schulungen im Paket mit an. Auch die Möglichkeit (mit externen Cyberforensikern) Risiko- und Schadensszenarien durchzuspielen und digitale Schulungstools für Mitarbeiter werden angeboten. „Das größte Risiko lauert zwischen Bildschirm und Rückenlehne“, formulieren es nicht umsonst Kriminalisten. Denn wenn „das Problem Mensch auf den falschen Knopf drückt“, nützt das beste technische System nichts. Niemand ist vor infizierten Bewerbungsschreiben, Phishingfallen und Lieferantenbetrug sicher, aber man kann mit Wissen darüber und mit Sensibilisierung zumindest Vorsorge treffen. Freiwillige Fortbildung und regelmäßige (Mitarbeiter-)Schulung zu dem Thema empfiehlt sich auch deshalb, weil Cybercrime immer ausgefeilter wird. Oft sind Systeme schon wochenlang infiltriert und infiziert (und schon Schaden entstanden) bis es zu Erpressung kommt.
Foto: Pixabay / kalhh