Cybercrime: Gefahren begegnen, Risiken minimieren

Cybercrime: Gefahren begegnen, Risiken minimieren

Das Klima für Unternehmen und deren Leitungsorgane wird rauer. Ein funktionierendes Daten-Sicherheitsmanagement liegt schon heute in der Verantwortung der Unternehmensleiter. Stetig zunehmende Cyberrisiken in Verbindung mit einer weitgehenden Verschärfung der Haftungsrichtlinien durch die für 2015 erwarteten Europäischen Datenschutzverordnung bereiten Kopfzerbrechen. Viele Unternehmen in Deutschland sind hierauf bis heute nicht ausreichend vorbereitet. Was tun? Eine Mischung aus gezieltem Risikomanagement und Versicherung der Restrisiken sorgt für bestmöglichen Schutz.

Die Zahl der Cyberangriffe nimmt rasant zu. Eine Cybercrimestudie der KPMG [1] beschreibt, dass es »nicht mehr die Frage ist, ob, sondern lediglich wann und wie eine Attacke gegen das eigene Unternehmen stattfindet« [1]. Dabei werden die Angriffe zunehmend professioneller und unter Einsatz neuester Technologien durchgeführt. Verschärft werden die Risiken für die IT-Sicherheit durch die zunehmenden internationalen Geschäftsbeziehungen in kritische Länder, sowie neue Technologien oder Trends, wie beispielsweise Cloud Computing oder Bring-Your-Own-Device.

Zwar ist die Sensibilität auf die zunehmenden Gefahren zwischenzeitlich gestiegen, doch haben sehr viele Betriebe hinsichtlich ihres IT-Sicherheitsmanagements noch deutlichen Nachholbedarf. Eine aktuelle Studie der Risk Consultants von Corporate Trust 2014 ist vor allem der Mittelstand im Fokus der Angreifer. »In Deutschland wurden 30,8 % der mittelständischen Unternehmen, 23,5 % der Konzerne und 17,2 % der Kleinunternehmen geschädigt« [2]. Dabei stellen Hacker nach dieser Studie aktuell mit 41,5 % die größte Tätergruppe dar, gefolgt von Kunden und Lieferanten mit 26,8 %. Aber auch Vorsatz oder fahrlässiges Handeln eigener Mitarbeiter sind als erhebliche Schwachstelle zu sehen. »Unternehmen sind sich der finanziellen Auswirkungen von Cyberrisiken noch nicht ausreichend bewusst« [2].

Persönliche Haftung des Managements. Die Implementierung eines funktionierenden Sicherheitsmanagements, zu dem selbstverständlich auch die IT-Sicherheit zählt, liegt voll in der Verantwortung der Leitungsorgane. Erleidet ein Unternehmen aufgrund -einer Cyberattacke einen wirtschaft-lichen Schaden, kann dies zu einer -unbeschränkten und persönlichen Haftung des Leitungsorgans mit dem gesamten Privatvermögen führen. Diese Haftung greift bereits bei leichtester Fahrlässigkeit – gesamtschuldnerisch und bei umgekehrter Beweislast.

Verschärfung der rechtlichen Rahmenbedingungen durch die Euro-päische Datenschutzverordnung. Durch die 2015 erwartete Inkraftsetzung der EU-Datenschutzrichtlinie wird eine teilweise drastische Verschärfung der Anforderungen an den Datenschutz einhergehen. Erwartet werden, neben dem Wegfall der Begrenzung auf sensible Daten gem. § 42a BDSG und steigende Bußgelder sowie umfangreiche Mitteilungs- und Dokumentationspflichten innerhalb eines Zeitraums von 24 Stunden ab »begründetem Verdacht« auf eine Datenschutzverletzung.

Strategien zur Risikobegrenzung. Rasant wachsende wirtschaftliche Risiken für Unternehmen und Manager bei verschärften rechtlichen Rahmenbedingungen stehen häufig einem unzureichenden IT-Sicherheitsmanagement der Betriebe gegenüber. Dieses sollte neben rein technischen auch organisatorische und personelle Maßnahmen beinhalten. Zudem verfügen laut Studie von Corporate Trust derzeit noch nicht einmal jedes 20ste der Unternehmen über eine entsprechende Cyberversicherung.

Nur ein ganzheitliches Konzept aus regelmäßigen Sicherheitsaudits durch externe Spezialisten und Absicherung der Restrisiken über eine den individuell den Unternehmensbedürfnissen angepassten Cyberversicherung bringen größtmögliche Sicherheit.

Cyberversicherung – ein geeignetes Mittel zum Risikotransfer?  Auch eine gut funktionierende Cyber Secu-rity bietet keinen hundertprozentigen Schutz vor finanziellen Schäden infolge Cyberschäden.

Knapp fünf Prozent der Betriebe in Deutschland besitzen zurzeit eine adäquate Cyberversicherung, während die große Mehrheit gegen Feuerrisiken versichert ist. Die statistische Wahrscheinlichkeit durch eine Cyberattacke oder durch Fahrlässigkeit einen Datenverlust zu erleiden ist dagegen vielfach höher. Wie ist diese Diskrepanz zu erklären?

Die Gründe dafür sind vielschichtig. Diese sind insbesondere…

  • Mangelnde Transparenz und Information zu den Produkten
  • Geringe Vergleichbarkeit bestehender Konzepte
  • Mangelndes Bewusstsein im Umgang mit Cyberrisiken
  • Fehlende Erfahrungswerte zu versicherungsrelevanten Szenarien

Gerade eine individuell auf die Bedürfnisse angepasste Cyberpolice kann existenzielle Unternehmensrisiken absichern und zugleich die Leitungsorgane vor persönlicher Inanspruchnahme beispielsweise von Investoren oder -Eigentümern schützen. Aus Unternehmersicht ist eine Cyberpolice daher schon deshalb hochinteressant, um im Extremfall nicht auf die D&O-Police zurückgreifen zu müssen.

Struktur einer Cyberversicherung. Die Komplexität von Cyberrisiken führt dazu, dass sich auch der Versicherungsschutz diesen Herausforderungen anpassen muss. Dabei kristallisieren sich zunehmend drei grundsätzliche Bausteine der Absicherung heraus:

1. Cyberhaftpflicht.
Die Cyberhaftpflicht greift bei Inanspruchnahme durch Dritte infolge einer Datenschutzverletzung auf Grundlage von »Gesetz« oder »Vertrag«. Gängige Policen bieten mitunter lediglich die Absicherung von »gesetzlichen« Schadensersatzansprüchen. Eine solche Absicherung ist oft unzureichend. Führt eine Datenpanne beispielsweise zu einem Schadensersatzanspruch aus der Verletzung einer Geheimhaltungsvereinbarung oder -einem nicht erfüllten Service Level -Agreement, ist meist die Absicherung einer »vertraglichen« Haftung erforderlich. Zudem sollten auch verschuldens-unabhängige Haftungstatbestände berücksichtigt werden.

Bei Unternehmen der IT-Branche ist zudem zu prüfen, in welchem Umfang die Cyberhaftpflicht bereits im Rahmen der bestehenden Betriebs- und Vermögensschadenhaftpflicht enthalten ist. Moderne IT-Haftpflichtpolicen decken die Haftungsrisiken bereits weitgehend ab, so dass hier die Schnittstellen zwischen den Policen klar zu regeln sind.

2. Cyberkostenschäden – Krisenmanagement mit 24h HOTLINE.

Bei der überwiegenden Zahl der Cyber-schadensfälle handelt es sich um reine Kostenschäden. Gerade vor dem Hintergrund der künftig verschärften Melde- und Berichtspflichten kommt es auf schnelles und organisiertes Handeln an, um den gesetzlichen Pflichten zu genügen und Bußgelder zu begrenzen beziehungsweise zu verhindern. Herzstück ist die Kooperation mit einem Krisen-Managementunternehmen, welches über eine 24h-HOTLINE dem Versicherungsnehmer bei »begründetem Verdacht auf eine Datenpanne« zur Verfügung steht.

Die wesentlichen Deckungselemente sind:

  • KRISENHOTLINE mit 24/365 Erreichbarkeit
  • Kosten für forensische Untersuchungen
  • Meldung bei betroffenen Dritten oder Regulierungsbehörden
  • Kreditüberwachungskosten
  • Honorare externer Anwälte
  • Call-Center-Kosten
  • Kosten für Krisenmanagement und Public-Relations-Maßnahmen (Reputationskosten)

3. Cybereigenschäden.
Neben den genannten Haftungs- und Kostenszenarien stehen auch eine Fülle möglicher »Eigenschäden« auf der Liste der versicherbaren Risiken. Hierzu gehören insbesondere…

  • Wiederherstellung von Daten und Netzwerken
  • Ausgaben in Verbindung mit Erpressung und Lösegeldforderungen
  • Finanzielle Schäden bei Umleitung von Zahlungs- oder Warenströmen

Sogar Vertragsstrafen in Verbindung mit der Verletzung von vertraglichen Geheimhaltungs- und Datenschutzvereinbarungen sind zwischenzeitlich bei einigen Anbietern kein Tabu mehr.

Resümee. Datensicherheit auf hohem Niveau ist bei regelmäßigen Sicherheitsaudits möglich. Die Absicherung der Restrisiken über eine adäquate Ver-sicherungslösung ebenfalls. Handlungsbedarf ist also gegeben. SCHUNCK als spezialisierter Versicherungsmakler mit seinen Partnern wie die SEC Consult  bieten umfassende Beratungskompetenz, die es zu nutzen gilt.

 

Schunck GroupSCHUNCK – we insure IT

Die SCHUNCK GROUP gehört zu den zehn größten deutschen Versicherungsmaklern. Seit 1998 betreibt sie ein eigenes Competence Center Informationstechnologie und ist damit einer der größten unabhängigen Spezialmakler der Branche. Ob Cloud Computing, Risk Management, Softwareentwicklung oder Datensicherheit: mit eigenen IT-Spezialisten bietet das Unternehmen ein weitreichendes eigenes Bedingungswerk zu Sonderkonditionen. Flaggschiff ist die »SCHUNCK Net Risk«, die Rundum-Versicherungslösung für IT-Unternehmen. In diesem Jahr wurden neben anderen richtungsweisenden Neue-rungen eine beitragsfreie und umfassende Cyber-Haftpflicht und eine optionale zusätzliche Cyber-Eigenschadenkomponente für die Kunden ergänzt.

 


Peter Janson,
Competence Center IT,
Schunck

www.schunck.de

 

[1] 2013 KPMG Cybercrimestudie
[2] Studie: Industriespionage 2014 der Corporate Trust  

 

Bild: © Maksim Kabakow /shutterstock.com 

Weitere Artikel zu