Aus dem Unterricht des CAS Digital Risk Management zum Thema Cyber Insurance mit Max Keller berichtet Sara Etzensperger.

Cyber-Versicherung – braucht es dies?

Cyberattacken, wie „Petya“ und „wanna cry“ haben für grossen Aufruhr gesorgt. Sie können einem Unternehmen einen grossen Schaden zufügen. Es gibt diverse Institutionen, die bereits Opfer von solchen Angriffen geworden sind. Deshalb gibt es auf dem Versicherungsmarkt vermehrt Produkte, welche die Kostenfolgen von Cyberattacken absichern. Aber braucht es eine Cyber-Versicherung? Mit dieser Frage starteten wir. Mit Cyber-Versicherungen für Unternehmen hatte sich die Mehrheit der Klasse noch nicht auseinandergesetzt. Als es um Cyber-Versicherungen für Private ging, war der Standpunkt der Klasse, dass es dies nicht braucht. Was uns Max Keller – Lead Funk RiskLab, Funk Gruppe zu diesem Themengebiet rät, erläuterte er im Verlauf des Unterrichts.

Versicherungen – Basics

Grundsätzlich wird zwischen zwei Versicherungsarten unterschieden:

  • “Leben – Personenversicherungen”, wie Krankentaggeld, Krankenversicherungen usw.
  • “Nicht-Leben-Sach- und Vermögensversicherungen”, wie Cyber-Versicherung usw.

Die Versicherungssumme definiert den Umfang für die Schadensbegrenzung. Die Berechnung der Summe ist jedoch in der Praxis eine der grössten Herausforderungen und muss individuell für den Versicherungsnehmer berechnet werden. Die Kalkulation basiert meistens auf einem Betriebsunterbrechungsschaden. Beim Selbstbehalt geht es darum, welcher Teil des Schadens, der Versicherungsnehmer selber trägt. Beim Abschluss einer Cyber-Versicherung sollten die Zeiten und Fristen berücksichtigt werden. So gibt es eine Wartefrist (der Schaden muss eine gewisse Zeit dauern), eine Haftzeit (für wie lange wird für den Schaden gehaftet), eine Rückwärtsversicherung (gerade bei Cyber-Risiken relevant, weil Schäden manchmal nicht sofort erkannt werden) und eine Nachhaftungsfrist (für zusätzliche Versicherungs-Monate in der Zukunft).

Zeiten und Fristen Cyber-Versicherung

 

Cyber-Risiken – Ursachen und Gefahren

Dank einer Cyber-Versicherung kann sich ein Unternehmen gegen unterschiedliche Risiken absichern. Wiki versteht unter einem Risiko: ein Ereignis (mit möglicher negativer Gefahr), bzw. positiver Auswirkung (Chance).

Versicherbare Risiken CyberVersicherungZu den nicht versicherbaren Auswirkungen gehören “Reputationsschäden” (oft kurzfristig 5-10% Aktienwertrückgang), “Verlust geistigen Eigentums” sowie “Erhöhung von Versicherungsprämien” (meistens um 200% nach einem Vorfall). Diese Risiken sind bei einer Cyber-Attacke nicht zu unterschätzen.

Cyber-Versicherung Framework

Das National Institute of Standards and Technology (NIST) nennt fünf Funktionen des Cyber Security Risk Managements:

NIST Cyber-Ssecurity-Framework

Wenn es um die Identifikation der Cyber-Gefahren (Identify) und Absicherung von Gefahren (Protect) geht, sind die Unternehmen stark. Jedoch bei den anderen Bereichen, wie beim Aufspüren von Cybergefahren (Detect) und der erfolgreichen Bearbeitung (Respond & Recover) fehlen oftmals die Verantwortlichkeiten. Eine Cyber-Versicherung kann genau in diesen Themengebieten unterstützen und gezielt Spezialisten einsetzen.

Weg zur Cyber-Versicherung

Weg zur Cyber-Versicherung

  1. Jedes Unternehmen muss sein Restrisiko beurteilen (Risiken durch interne Massnahmen, wie Risikomanagement, Schulung usw. minimieren)
  2. Prüfung und Analyse der bestehenden Versicherungen und Deckungen, um diese nicht doppelt zu versichern (bspw. Sachversicherungen, Betriebsunterbruchversicherung etc.)
  3. Analyse Versicherungslösungen (aktuelle Versicherungen sind komplex)
  4. Evaluation Versicherungslösungen auf dem Markt
  5. Möglich Schäden in zwei Kategorien aufteilen (Schäden für die Versicherungsdeckung oder selbstgetragene Schäden)
  6. Abschluss der Cyber-Versicherung mit dem richtigen Partner
  7. Max Keller empfiehlt den Unternehmen periodisch ihr Cyber-Risikomanagement zu analysieren und gegebenenfalls die Versicherung anpassen zu lassen

Fazit

Cyberrisiken dürfen in der heutigen Zeit nicht unterschätzt werden und können teilweise durch eine Cyber-Versicherung abgesichert werden. Gewisse Restrisiken bleiben jedoch. Deshalb ist ein angemessenes Risikomanagement von zentraler Bedeutung. Private Personen können auf eine Versicherung verzichten, wenn sie die Risiko-Grundsätze berücksichtigen.