https://klardenker.kpmg.de/wie-sie-sich-richtig-gegen-cyberangriffe-versichern/ Wie Sie sich richtig gegen Cyberangriffe versichern KEYFACTS - Cyberangriffe verursachen Millionenschäden - Nur jedes 10. Unternehmen ist versichert - Im Angriffsfall zählt die Erstreaktion Cyberkriminelle entwenden oder manipulieren vertrauliche Daten, schleusen Schadsoftware in das Netzwerk oder legen Produktionsanlagen lahm. Dabei verursachen sie Schäden in Millionenhöhe, das zeigen die Fälle von Sony Pictures und dem Deutschen Bundestag. Doch lohnt sich eine Cyberversicherung? Gemessen an der Wirtschaftsleistung sind diese Schäden nirgends so hoch wie in Deutschland. 40 Prozent der Unternehmen waren in den vergangenen zwei Jahren von Cyberkriminalität betroffen. Der Gesamtschaden beläuft sich auf circa 54 Milliarden Euro. Dennoch sichern sich nur 10 Prozent der deutschen Unternehmen dagegen ab. In den USA und in Großbritannien gehören Cyberversicherungen zu den Trendprodukten. In Deutschland 1/5
bieten inzwischen 13 Versicherer Cyberpolicen für Geschäftskunden an. Die Angebote unterscheiden sich teilweise erheblich. Was man vor einem Abschluss wissen muss Cyberversicherung werden als Standard- oder Individuallösung angeboten. Die Deckungssumme ist bei allen Versicherern begrenzt. Die größte Flexibilität wird bei ausbleibender Minimalgrenze der Deckungssumme und einer Maximalgrenze bei 100 Millionen Euro erreicht. Der Eigenanteil des Versicherungsnehmers auch im Hinblick auf vorab definierte Ausfallzeiten ist meistens verhandelbar. Sämtliche Anbieter übernehmen die Kosten für das Abwehren unberechtigter und das Begleichen berechtigter Schadensersatzansprüche Dritter, außerdem die Haftpflicht infolge von Hackerangriffen, Denial-of-Service-Attacken, Datenschutzverletzungen oder nicht funktionierender digitaler Kommunikation. 40 % der Unternehmen waren in den vergangenen zwei Jahren von Cyberkriminalität betroffen. Was sind die kritischen Fälle? Bei der Sabotage von IT-Anlagen begleichen nur wenige Anbieter den Schaden, den Kosten für Ersatzleistungen, Reparaturen oder Neuanschaffungen verursachen. Auch bei Lösegeldzahlungen ist das Bild uneinheitlich Cyber-Erpressungsversuche treten oft auf, vorrangig mit sogenannter Ransomware. Für fast alle Anbieter sind dies zumindest theoretische Regulierungsfälle. Nur ein Versicherer schließt derartige Zahlungen explizit aus. Ebenso wenig zahlen alle Anbieter bei klassischem Internetbetrug oder Urkundenfälschung. Letztere ist ein probates Mittel, um bei Fake-President-Betrugsmaschen beispielsweise die Freigabe von Zahlungsanweisungen durch Mitarbeiter vorzutäuschen. Eine Lücke besteht außerdem bei Reputationsschäden. Da diese gravierende Folgen haben können, decken einige Versicherer dieses Risiko ausdrücklich nicht ab. Vorsicht bei den Regelungen zu Cyberangriffen auf verbundene Dritte Das betrifft zum Beispiel Cloud-Anbieter oder Geschäftspartner, die Unternehmensdaten nutzen oder bereitstellen. Die Frage ist, wie verbundene Dritte zu definieren sind: Sind davon auch Konzerngesellschaften betroffen? Wie sind Minderheitsbeteiligungen geregelt? Das Bild ist hier heterogen. Ausdrücklich nicht abgesichert werden bei fast allen Versicherern Personen- und 2/5
Sachschäden, auch Strafzahlungen nach Verurteilungen sind bei vielen nicht gedeckt. Im Schadensfall ist die Erstreaktion besonders kritisch Oft versuchen Unternehmen Cybervorfälle eigenständig aufzuarbeiten, selbst wenn sie nicht über ausreichend Kapazitäten und Fachwissen verfügen. Das führt zu höheren Schäden, da es die Aufklärung verzögert. Unklare Zuständigkeiten, Fehler in Beweissicherung und Kommunikation haben oft irreparable Auswirkungen. Versicherer verlangen deshalb eine schnelle Reaktion über den Notfall-Service. Dieser besteht aus einer Hotline, oft ergänzt durch eine Cyber-Assistance mit IT-Forensik- Experten. Mit ihrer Erfahrung und globalen Netzwerken stellen sie eine schnelle, koordinierte und angemessene Reaktion der Beteiligten sicher. Selbst wenn zeitgleich an mehreren Standorten Maßnahmen erforderlich sind. Häufig kooperieren sie mit spezialisierten Wirtschaftskanzleien. IT-Forensiker stellen die komplexen technischen Sachverhalte verständlich dar und ermöglichen klare Aussagen nach innen und außen. Sie wissen auch, für welche Einzelfragen weitere technische Spezialisten, beispielsweise für Fragen zu proprietärer Software, einzubeziehen sind. Eine Risikoanalyse ist für Unternehmer unumgänglich Grundsätzlich lohnt sich das Abschließen einer Cyberpolice. Doch der Versicherungsnehmer muss konkrete Risikoszenarien definieren und prüfen. Nur so ist zu gewährleisten, dass er bekommt, was er sich von einer Cyberversicherung erhofft. Zudem empfiehlt es sich, Sicherheitskonzepte einzuführen und Mitarbeiter für Cyberrisiken zu sensibilisieren. Denn deren Achtsamkeit kann das Risiko eines Cyberangriffs senken. 3/5
Alexander Geschonneck Partner, Forensic Nachricht schreiben Unsere Services ZUSAMMENGEFASST» Gemessen an der Wirtschaftsleistung sind diese Schäden nirgends so hoch wie in Deutschland. «Der Schaden durch Cyberangriffe geht in die Millionenhöhe, doch nur jedes 10. Unternehmen in Deutschland entscheidet sich für eine Cyberversicherung. Der IT-Forensik-Experte erklärt warum: Nicht jeder Schaden wird von der Versicherung übernommen. Im Falle eines cyberkriminellen Angriffs heißt es dann schnell und vor allem richtig reagieren. Mitarbeiterschulungen und die Implementierung von Sicherheitskonzepten stellen dabei eine nicht zu unterschätzende Größe dar. KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KMPG International Cooperative ("KPMG International"), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Recht vorbehalten. 4/5
5/5