Mehr als ein Drittel der Schweizer KMU sind laut einer gemeinsamen Studie der IT-Verbände der Schweiz und des Bundes von Cyber-Attacken betroffen. Es ist zudem davon auszugehen, dass die Einführung der Datenschutz-Grundverordnung (GDPR) die Cyber-Risiko-Wahrnehmung zusätzlich steigert. Wie sollen nun KMU-Verantwortliche mit Cyber-Risiken umgehen?
Grundsätze des Risikomanagements gelten auch für Risiken der Interkonnektivität: Identifizieren, Bewerten, Beherrschen, Monitoren und Transferieren des Restrisikos. Das Prinzip, diese Risiken zu quantifizieren – nach Schadenhöhe und Eintrittswahrscheinlichkeit – und die darauffolgende Entscheidung zu fällen, Schäden selber zu tragen oder zu einem Risikoträger zu transferieren, finden auch im Zusammenhang mit Cyber-Risiken Anwendung.
Versicherungen sind Bestandteil des Risiko-Transfermarktes – dies gilt auch für die Cyber-Versicherungen – und macht ein einzelnes Unternehmen und eine Volkswirtschaft resilienter. Nach einem Schaden besteht Anrecht auf finanzielle Entschädigung, im Rahmen der vertraglich vereinbarten Deckung. Firmen sind dadurch schneller wieder operationell, und die Volkswirtschaft kann wieder schneller auf Voll-Last operieren.
Spezialisierte Dienstleistungen für Prävention wie zum Beispiel Penetrations-Tests, Security-Checks, Monitoring und Intervention sind für viele KMU-Verantwortliche nur erschwinglich, falls ein Pooling-Mechanismus in Form einer Versicherung besteht. Besser bekannt sind diese Mechanismen aus der Krankenversicherung und den versicherten Dienstleistungen des Gesundheitssystems.
Es stellt sich zudem die Frage, ob sich eine Cyber-Versicherung lohnt oder ob man entsprechende Rückstellungen bilden oder Schäden gar aus dem Cashflow bezahlen kann und will. Man sollte sich darum ein Bild machen, wie wahrscheinlich man gewisse Cyber-Szenarien einschätzt und wie hoch ein finanzieller Schaden daraus ausfallen kann.
Am offensichtlichsten sind dabei die Gewinneinbussen und Kosten durch einen Cyber-Betriebsunterbruch. Business-Continuity-Management und Disaster-Recovery-Kosten sind versicherbar. Dies gilt auch für forensische
Abklärungen durch Sachverständige, System-Wiederherstellungs-Kosten, Krisenkommunikation und PR-Kosten, Benachrichtigungskosten des eigenen Kundenstamms und der Lieferanten oder Haftpflichtansprüche durch Dritte, die durch Entwendung und Missbrauch von Daten in Mitleidenschaft gezogen wurden. Eine wichtige Einschränkung besteht: Der Wert der Daten, zum Beispiel geistiges Eigentum, kann nicht über eine Cyber-Versicherung gedeckt werden. Man sollte für sich zudem definieren können, wie hoch der Selbstbehalt in einem Schadenfall sein darf.
Um all diese Fragen zu beantworten, empfiehlt es sich, einige Cyber-Szenarien im eigenen Betrieb durchzuspielen und sich über die Deckungsbedürfnisse klar zu werden. Nur so ist es möglich, als kompetenter Kunde die passende Deckung und den nötigen finanziellen Schutz einzukaufen und Schwächen der angebotenen Cyber-Produkte zu identifizieren und letztlich mit dem Anbieter zu verhandeln.
Die Versicherer können als Botschafter der Idee einer Cyber-Hygiene angesehen werden, da sie Mindestanforderungen an die IKT-Sicherheit in ihren Vertrags-Obliegenheiten definieren. Über Obliegenheiten und Selbstbehalte werden die Unternehmen motiviert, in IKT-Sicherheit zu investieren.
Als risikobewusste Gesellschaft sollten wir das Ziel haben, Cyber-Versicherungen für alle interessierten Unternehmen zugänglich und erschwinglich zu machen – in der Schweiz gibt es in der Zwischenzeit um die zehn Anbieter von KMU-Cyber-Versicherungsprodukten – dies kommt letztlich allen zugute.