Face

2019 Ausgabe 2

Cyber

Titelthema

Vielfältiges „Cyber Space Germany“

Die Digitalisierung ist seit einigen Jahren eines der Top-Themen, das die Wirtschaft bewegt, denn schließlich bietet der Megatrend immense Chancen und Vorteile. So ermöglichen digitalisierte Geschäftsprozesse Unternehmen ein schnelleres, vereinfachtes und vor allem effizienteres Agieren, wodurch sich eine verbesserte Wettbewerbsfähigkeit ergibt. Gleichzeitig entsteht durch die immer weiter fortschreitende Digitalisierung und Vernetzung zwangsläufig allerdings auch eine enorm hohe Abhängigkeit von der IT, was Unternehmen entsprechend verwundbar macht. Ob Systemausfälle, Fehler oder Angriffe, im schlimmsten Fall können solche Vorfälle den Fortbestand eines Unternehmens gefährden. Dabei stellt sich für Firmen aber nicht die Frage, ob derartige Schäden eintreten, sondern lediglich wann und welche Implikationen diese dann konkret haben werden.

Kein Ersatz, sondern Zusatz

Eine spezielle Deckung kann Unternehmen zwar gegen die wirtschaftlichen Auswirkungen von Cyberangriffen schützen, aber entbindet sie nicht von der grundsätzlichen Verpflichtung, Cyberrisiken durch ein professionelles Risikomanagement und entsprechende Sicherheitsmaßnahmen zunächst selbst aktiv zu steuern und zu minimieren. Im klassischen Risikomanagementprozess ist der Risikotransfer über die Versicherung lediglich die letzte Stufe zur Diversifizierung eines vorhandenen Restrisikos. Wenn also nicht eindeutig ersichtlich ist, dass ausreichend professionelle präventive Maßnahmen bereits intern getroffen wurden, ist es sehr unwahrscheinlich, dass ein Versicherer dieses Restrisiko übernimmt. Dies würde quasi einer Feuerversicherung gleichkommen, die für ein bereits brennendes Haus abgeschlossen wird und jenes versichern soll. Es leuchtet ein, dass dies wirtschaftlich wenig sinnvoll wäre.

Abgesichert oder doch nicht?

Kommt es zum Cybervorfall, ist eine spezifische Absicherung für Unternehmen allerdings unverzichtbar, da der Deckungsschutz klassischer Versicherungen (etwa Haftpflicht, Sach- oder Vertrauensschaden) für die Deckung der Cyberrisiken nicht ausreicht. So bieten Haftpflichtdeckungen beispielweise keine Absicherung für die Kosten im Eigenschadenbereich und zielen in der Regel auf Personen- oder Sachschäden ab, die bei Cyberangriffen aber zumeist nicht vorhanden sind. Aufgrund dieses fehlenden physisch bedingten Triggers bieten auch Sachversicherungen keine Deckung, obwohl sie die Kosten einer Betriebsunterbrechung und entstehende Mehrkosten grundsätzlich absichern können. Vertrauensschadenversicherungen, die in ihrem Deckungsumfang im Hinblick auf Computerstraftaten zwar ggf. erweitert werden, umfassen jedoch prinzipiell keine Schadensersatzansprüche Dritter.

Unterschiedliche Voraussetzungen

Geht es um die Absicherung eines Unternehmens, ist vor allem dessen individuelle Risikosituation von Bedeutung – und diese kann nicht nur von Firma zu Firma, sondern vor allem von Branche zu Branche deutlich variieren. Wichtig für die Underwriting-Bewertung ist daher eine Unterscheidung der branchenspezifischen Risiken. Beispielsweise speichern produzierende Unternehmen zwar deutlich weniger personenbezogene Daten als andere Industrien und sind demnach einem grundsätzlich geringeren Haftpflichtrisiko im Falle eines Datenverlusts ausgesetzt, aber sie haben stattdessen zumeist ein deutlich erhöhtes Risiko im Bereich der Betriebsunterbrechung. Denn wenn etwa industrielle Steuerungssysteme in der Produktion verwendet werden, die im schlimmsten Fall netzwerktechnisch über die herkömmliche Büro-IT zu erreichen sind oder eine direkte Anbindung an das Internet haben, können auch externe Angreifer sich relativ leicht Zugang verschaffen und die Produktion beeinträchtigen oder unterbrechen. Anders sieht es wiederum zum Beispiel im Gesundheitswesen aus; hier ist zusätzlich eine deutlich erhöhte Exponierung im Bereich der Haftpflicht gegeben, denn Krankenakten werden zunehmend digitalisiert und enthalten hochsensible personenbezogene Gesundheitsdaten. Bei einem Ausfall des Patientenverwaltungssystems beziehungsweise einer Verschlüsselung der Daten durch Ransomware kommt hierbei außerdem hinzu, dass ohne eine professionelle Notfallplanung in Form fest definierter Verantwortlichkeiten und Kommunikationsabläufe nur allzu leicht Chaos entstehen kann.

Hochgradig exponiert

Angreifern wird der vollumfängliche Zugang zum Unternehmensnetzwerk vor allem erleichtert, wenn Bereiche, wie Patientenverwaltungssysteme, Medizintechnik, OP und die gewöhnliche Büro-IT, nicht ausreichend segmentiert sind und veraltete Systeme verwendet werden, die nicht regelmäßig gepatcht und upgedatet werden. Aus diesem Grund macht es auch Sinn, dass Krankenakten nochmals schriftlich vorliegen, sollte es tatsächlich zum Cybervorfall kommen. Denn man stelle sich nur vor, dass ein Klinikarzt im Notfall nicht in der Lage ist, Patienten aufgrund fehlender elektronischer Gesundheitsinformationen fachgerecht zu behandeln. Auch wenn Cyberversicherungen grundsätzlich keinen Personenschaden decken, zeigt dieses Beispiel, welche dramatischen Auswirkungen ein Vorfall auf die Betroffenen haben kann. Diese spezifische Betrachtung lässt sich nun auch auf andere Geschäftsmodelle, wie beispielsweise den Einzelhandel, die Finanzbranche oder die Technologiebranche, übertragen. Je nach Geschäftsmodell ergeben sich unterschiedliche Exponierungen, die im Rahmen der Cyberrisikobewertung entsprechend berücksichtigt werden müssen.

Externe Unterstützung

Auch wenn sich Cyberrisiken im Hinblick auf die Geschäftsmodelle von Unternehmen sowie auch in Bezug auf deren Größe durchaus unterscheiden können, eines haben Großkonzerne, Klein- und Mittelstandsbetriebe hierbei gemein: Sie alle können Opfer von Cyberkriminellen werden. Das Risiko besteht heute für jedes Unternehmen – eine Tatsache, der sich insbesondere kleinere Firmen noch stärker bewusst werden müssen, da sie sich aufgrund ihrer Größe zumeist nicht gefährdet sehen. Dies ist allerdings ein Trugschluss, denn Schutzmaßnahmen können bei kleinen Betrieben oftmals nicht in gleichem Umfang und in gleicher Güte umgesetzt werden wie bei größeren Unternehmen. Häufig sind bei diesen zudem hohe Abhängigkeiten von Cloud-Dienstleistern oder anderen IT-Dienstleistern gegeben – ein wichtiger Aspekt, denn ein Cybervorfall muss nicht zwangsläufig aus einem Angriff auf das eigene Unternehmen resultieren, sondern kann auch indirekt über Dritte, wie zum Beispiel einen Dienstleister, verursacht werden. Um allerdings insbesondere mitarbeiterbedingte Cybervorfälle in Zukunft (noch) besser kontrollieren zu können, bieten einige Versicherer, wie auch Chubb, Unternehmen inzwischen Unterstützung bei dieser Herausforderung. Dies kann zum Beispiel in Form kooperierender Dienstleister passieren, die etwa mittels Passwortverwaltungslösungen oder auch Phishing-Simulationen dazu beitragen sollen, Mitarbeiterinnen und Mitarbeiter des Unternehmens zu aktuellen Themen der Informationssicherheit und Cyber Security aufzuklären. Außerdem können für den Schadenfall die Dienste eines globalen Incident Response Managers zur Verfügung gestellt werden, was insbesondere für kleinere Firmen von großem Mehrwert sein kann, da diese intern oftmals nicht über die notwendigen Ressourcen hierfür verfügen. Da die Auswirkungen eines Angriffs durch eine professionelle Handhabung deutlich limitiert und das Schadenpotential dadurch entsprechend minimiert werden kann, ist dies sogar gleich zweifach von Vorteil – einerseits natürlich für das Unternehmen selbst, andererseits zwangsläufig auch für den Versicherer.

Moderne Lösungen benötigt

In diesem Segment sind des Weiteren vor allem einfache und schnelle Versicherungslösungen gefragt, weshalb die Branche inzwischen mit speziellen Online-Produkten für Cyberrisiken reagiert hat, um den Bedürfnissen von Kleinunternehmen besser nachkommen zu können. Solche neuen Weblösungen wie beispielweise Chubb Easy Solutions ermöglichen über eine innovative Plattformtechnologie einen hocheffizienten und gleichzeitig deutlich vereinfachten Angebots- und Policierungsprozess mit zusätzlichen Services und Schnittstellen. Makler können so die eigenen Arbeitsprozesse weiter reduzieren, da sich etwa durch eine technische Risikoanalyse der Quotierungsprozess auf wenige Standardfragen optimiert, die mit ‚Ja‘ oder ‚Nein‘ beantwortet werden. Die Folge: Sie haben einerseits die Möglichkeit, effizienter zu agieren und können dadurch andererseits ihre Unternehmenskunden im kleineren und mittleren Segment (KMU) mit modernen Lösungen bei der Absicherung von Cyberrisiken unterstützen.

Große Unternehmen, große Risiken

Während Online-Quotierungsoptionen für den KMU-Bereich eine moderne Lösung darstellen, bedarf es bei größeren Unternehmen aufgrund ihrer Komplexität hingegen einer anderen Handhabung. Denn die häufig global tätigen Konzerne verfügen netzwerktechnisch über vielfältige Verbindungen zwischen einzelnen Standorten und werden in Bezug auf ihre IT entweder zentral oder dezentral gesteuert. Aus diesem Grund sind hier gesonderte Risikodialoge – in enger Abstimmung mit dem Bereich Risk Engineering – vonnöten, um das spezifische Cyberrisiko des Unternehmens zu identifizieren und entsprechend zu bewerten. Zu beachten ist auch, dass insbesondere große Unternehmen häufiger im Fokus der Öffentlichkeit stehen und dadurch für komplexe, zielgerichtete und effektive Angriffe, sogenannte Advanced Persistent Threats (APTs), besonders exponiert sind. Hierfür gab es in der Vergangenheit bereits zahlreiche Beispiele, bei denen vertrauliche Daten, wie persönliche Informationen über die Mitarbeiterinnen und Mitarbeiter der Firma und deren Familien, E-Mails, Informationen über Gehälter der Führungskräfte und weitere hochsensible Daten, entwendet wurden. Einige betroffene Unternehmen sahen sich in Folge dessen sogar noch mit Erpressungsversuchen durch Cyberkriminelle konfrontiert. Großkonzerne sind in Sachen Cyberversicherung nach aktuellem Stand am besten aufgestellt, dennoch besteht sowohl hier als auch bei kleinen und mittelständischen Firmen häufig noch Nachholbedarf. Eine wichtige Voraussetzung ist oftmals jedoch, dass Unternehmen – unterstützt auch durch Versicherer und Makler – ein (noch) besseres Verständnis für die Einschätzung der eigenen Cyberrisiken und die Abstimmung der darauf folgenden Schutzmaßnahmen erhalten.

Am Puls der Zeit

Da wohl keine Risikoart so dynamisch ist wie die der Cyberrisiken, hat sich infolgedessen auch der Markt hinsichtlich entsprechender Versicherungslösungen in nur wenigen Jahren extrem verändert und ist noch immer permanent in Bewegung – genau wie die Gefahren selbst, die die neuen digitalen Anwendungen mit sich bringen. Aus diesem Grund besteht auch die Notwendigkeit, Lösungen und Produkte fortlaufend an den Cybermarkt und damit an die Bedürfnisse von Unternehmen anzupassen. Seien es nun potentielle neue Deckungen in Bereichen wie Reputationsschäden oder im Hinblick auf Social Engineering beziehungsweise Fake President Fraud – die Möglichkeiten, die der Markt bietet oder künftig bieten könnte, sind vielfältig. Nicht zuletzt mag dies aber auch auf die Herausforderungen zutreffen, die das „Cyber Space Germany“ birgt…

Benedikt Klingenheben

benedikt.klingenheben@chubb.com

Jürgen Schmitz

juergen.schmitz@chubb.com

Über die Autoren


Über Benedikt Klingenheben
Benedikt Klingenheben ist seit September 2018 Cyber Underwriter bei Chubb in Düsseldorf und im neuen Segment Middle Market zuständig für die Region West. Der Kaufmann für Versicherungen und Finanzen sowie Master-Absolvent in Versicherungswesen von der Technischen Hochschule Köln ist zusätzlich „Associate of (ISC)2“ mit einer Spezialisierung im Bereich „Information Security Leadership & Operations“.

Über Jürgen Schmitz
Jürgen Schmitz ist Senior Cyber Underwriter bei Chubb in Frankfurt im neuen Segment Middle Market und zuständig für die Regionen Mitte und Süd. Der Volljurist und zugelassene Rechtsanwalt war zuvor 17 Jahre als Senior Underwriter Financial Lines, Commercial D&O, im Unternehmen tätig und hatte zusätzlich dazu noch die Position des Datenschutzbeauftragten inne.

Archiv

Sie möchten eine ältere Ausgabe der Face lesen? Dann stöbern Sie bitte durch das Archiv und laden sich die entsprechende Ausgabe als PDF herunter.

Zum Archiv

Anmeldung Face

Sie möchten in Zukunft darüber informiert werden, wann die neue Ausgabe der Face hier zu lesen ist? Dann melden Sie sich bitte hier an, gerne lassen wir Ihnen eine Nachricht zukommen.