Je nach Unternehmenszweck und Betriebsart können unterschiedliche Informationen (Assets) „lebensnotwendig“ für Ihr Unternehmen sein. Diese „Lebensadern“ zu ermitteln stellt die oberste Priorität in einem Risiko-Management-Prozess dar.

Durch eine Bedrohungs- und Schwachstellenanalyse werden Assets definiert und es wird eine Bestandsaufnahme darüber erstellt, ob und wie diese Werte geschützt sind.

Grundsätzlich kostet „Awareness“ und manche internen Maßnahmen kein Geld, sondern Zeit und Fleiß.

Ein erprobtes Mittel ist die Weiterbildung der Mitarbeiter. 2/3 der Schäden werden durch mangelhaftes Verhalten seitens der MA vergrößert oder provoziert.

Erarbeitung eines Notfallplans bei einem Cyberangriff.

Um erste Schwachstellen zu identifizieren, lohnen sich Screening-Tools, die für wenig Geld ein Ergebnis liefern, welches auf offene Schwachstellen in der IT-Sicherheit hinweist.

Präzise Ergebnisse liefert eine individuelle und umfangreiche Prüfung durch eine spezialisierte IT-Security Beratung.

Viele Statistiken bemessen dem Fehlverhalten von Mitarbeitern eine große Bedeutung bei. Rund 2/3 aller Cybervorfälle sind auf Fahrlässigkeit (z. B. falsche Einschätzung der Situation), Unterlassung oder sogar Vorsatz von Mitarbeitern zurückzuführen.

Mitarbeiter können im Bereich der Informationssicherheit regelmäßig geschult werden. Dies kann effizient und kostengünstig dargestellt werden und ist höchst effektiv, wenn es darum geht, die Wahrscheinlichkeit eines Cybervorfalls erheblich zu mindern.

Je nach Unternehmenszweck und Betriebsart können unterschiedliche Vermögenswerte (Assets) lebensnotwendig für das Unternehmen sein.

Eine Schutzbedarfsanalyse hilft hier weiter und dient als Grundlage beim Aufbau einer generellen Strategie.

Assets können z. B. sein: personenbezogene Daten, Prozesse, Verfahrenstechniken oder – ganz offensichtlich – die eigene IT-Infrastruktur.

Wichtig ist zunächst nicht in Panik zu geraten und wohlüberlegte und besonnene Entscheidungen zu treffen. Dennoch ist gerade Zeit der entscheidende Faktor.

Liegt ein Notfall-Plan vor? Wenn nein:

• Wer bekommt welche Verantwortlichkeiten?
• Welche Dienstleister werden konsultiert? Gibt es bestehende Kontakte oder Vereinbarungen mit Dienstleistern?
• Sind es die richtigen Dienstleister? Wenige Systemhäuser haben in dem Bereich der Incident Response ausreichende Kompetenzen.

Die Cyber-Versicherung übernimmt im Kern viele Risiken, die in der Informationssicherheit drohen. Diese Fülle an Leistungen ist an Bedingungen und Voraussetzungen geknüpft. Offensichtlich werden diese bei einem Blick in die „Ausschlüsse und Obliegenheiten“ (Verhaltensanweisungen) der Verträge. Dazu gehören noch die Definition des Versicherungsfalls und die Auslöser.

Z. B. sehen einige Verträge recht komplexe „State of the Art“-Klauseln vor oder verlangen nach einem qualifizierten Back-up-, Patch- oder Berechtigungsmanagement, welches häufig operativ kaum darstellbar ist und zu Diskussionen im Schadensfall führen kann.

Die Definition eines versicherten Ereignisses stellt die Weichen für eine Regulierung des Schadens. So müssen bestimmte Bedingungen erfüllt sein, damit ein regulierbarer Schaden vorliegt.

Es gibt in einzelnen Szenarien durchaus Überschneidungen und Kollisionen mit anderen Versicherungsformen wie z. B. mit der Vertrauensschadenversicherung (VSV) oder mit IT (Haftpflicht)-Policen.

Im Versicherungsmarkt setzt sich allerdings eine Bereinigung der Cyber-Risiken in nicht Cyber-Versicherungsverträgen fort. So werden Inhalte aus Cyber-Risiken aus den konventionellen Versicherungsformen ausgeschlossen, um a.) „unkalkulierbare“ Risiken zu eliminieren und b.) die Cyber-Versicherungslösung als „stand-alone“ Lösung zu etablieren.

Gerade für Unternehmen <1.000.0000 EUR Umsatz werden i. d. R. „Standard-Lösungen“ von Versicherern entwickelt, die möglichst viele Bedürfnisse von Unternehmen aus allen Branchen decken.

Nicht selten gibt es trotz der Cyber-Versicherung Bedürfnisse, die nicht von den „Standard-Lösungen“ erfasst werden. Auch sind einige Obliegenheiten nicht kompatibel zu den operativen Aktivitäten der Kunden. Dies muss geprüft werden, um herauszufinden, ob Ihre Cyberversicherung zu Ihrem Unternehmen passt.

Im Kern verfügen alle Produkte über eine Deckung für Assisstance-Dienstleistungen, Haftpflicht- und Eigenschäden. Die Begrifflichkeiten und Inhalte der Versicherungsprodukte sind allerdings höchst unterschiedlich.

Selbst renommierte Vergleichsportale und Ratingagenturen schaffen es nicht eine tiefe, einheitliche und verständliche Vergleichsgrundlage zu schaffen.

Wichtige inhaltliche Unterschiede der allgemeinen Bedingungen werden weniger berücksichtigt, sind aber maßgeblich für einen passenden Deckungsschutz.

Cyberversicherungen fangen viele Risiken ab. Einen 100%-Schutz kann man jedoch nie garantieren. Restrisiken können u. a. vorsätzlich schädigende Straftaten des Managements oder der Mitarbeiter sein oder Ausfälle in der öffentlichen Infrastruktur.

„Höchstmöglich“ – Das ist die Antwort von vielen Beratern. Richtig wäre allerdings, nicht ins Blaue hinein eine Deckungssumme zu wählen und zu hoffen, dass diese ausreicht, sondern die Deckungssummen anhand von Cyber-Risk-Management-Methoden zu ermitteln. Daher empfiehlt sich in diesem Fall eine Business Impact Analyse (BIA), um die Summen einzugrenzen und zu dokumentieren. Denn zwischen €1.000.000 und €10.000.0000 Versicherungssumme liegen in der Regel mehrere tausend Euro an Beitragsprämien.

Die Cyber-Versicherung ersetzt nicht die Pflicht, das Niveau der Informationssicherheit im Unternehmen auf dem höchst möglichen Stand zu halten. Um nicht als Auffangbecken für solche „Versäumnisse“ zu dienen, haben die Versicherer zur Zeit recht hohe Anforderungen an Ihre Informationssicherheit.

Neben dem üblichen Virenschutz und dem Einsatz aktueller Firewall-Technologie werden weitere Bereiche in den Aufnahme-Fragebögen der Versicherer abgefragt. So genießt u. a. die Schulung von Mitarbeitern eine immer höhere Priorität und auch nach Notfallplänen und qualifizierten Back-up Systemen wird gefragt.

Ein Fragebogen kann je nach Versicherer zwischen 7- 70 Fragen beinhalten und soll dem Versicherer ein bestmögliches Bild über das zu versichernde Risiko geben.

Neben Fragebögen kommen immer mehr „Screening-Tools“ (B. SSL/TSL) zum Einsatz, die das Underwriting des Versicherers unterstützen.

Auch Audits seitens der Versicherer oder externer Spezialisten kommen ab einer gewissen Risikogröße zum Einsatz. Faktoren können Unternehmensumsatz, hohe Deckungssummen oder spezielle Risiken/Branchen sein.

Ein Vorschaden ist grundsätzlich kein Ausschlusskriterium. Hier sind einige Versicherer flexibel und evaluieren die Situation neu.

Maßgeblich sind natürlich die „Learnings“ und Maßnahmen, die aus dem Cyber-Vorfall mitgenommen wurden.

Mit Einschränkungen in den Bedingungen, reduzierten Deckungssummen oder erhöhten Selbstbehalten muss gerechnet werden.

Häufig sind „Hacker“ der erste Gedanke und tatsächlich geht von dieser organisierten Kriminalität eine große Gefahr aus. Laut FBI macht die Cyberkriminalität erstmals mehr Umsatz als der internationale Drogenhandel.

Auch Fehler von Mitarbeitern oder Dritten (Providern), z. B. durch fehlerhafte Datenweitergabe an Dritte, fehlerhaften Umgang mit der eigenen IT oder auch einfache Systemausfälle, können zu einem Schaden führen.

Häufig entsteht der Eindruck, dass nur Unternehmen mit erheblichen Werten das Ziel der Angreifer sind. Die Berichterstattung der Medien über spektakuläre Angriffe auf bekannte Unternehmen bestärken diesen Eindruck. Dies bildet allerdings nur einen nicht messbaren Bruchteil der Angriffe auf Unternehmen aller Art und Größe dar.

Zu denken, man wäre für Angreifer uninteressant, wäre eine fatale Fehleinschätzung. Letztlich geht es den Angreifern um Profit. Ob sie sich diesen durch eine Ransomware-Attacke auf ein Logistik- oder auf ein produzierendes Unternehmen holen ist ihnen egal.

Letztlich hat jedes Unternehmen sog. Assets. Mindestens die sensiblen Mitarbeiterdaten zählen gem. DSGVO/GDPR zu den besonders schützenswerten Assets, denn ihre Veröffentlichung zieht hohe Sanktionen nach sich.

Geld ist der Top-Motivator.

Dann folgen Motive wie: Vandalismus, Anerkennung, Wettbewerb, Politik, Ethik, Informationsbeschaffung und weitere individuelle Gründe.

Die Herangehensweise kann höchst unterschiedlich sein. Das Ergebnis ist meist eine Ransomware-Attacke. Hierbei werden durch ein Programm, Software und Daten des angegriffenen Unternehmens verschlüsselt und quasi in Geiselhaft genommen. Eine Wiederherstellung ist dann meist nur mit einem „Schlüssel“ (Code) möglich, für den der Angreifer Geld verlangt.

Bei einem umfassenden Angriff haben die Angreifer häufig Zugriff auf alle Daten des Unternehmens – unter anderem auch auf Wirtschaftsdaten – und richten danach dann die Höhe ihrer Lösegeldforderung. Verhandlungen gestalten sich i. d. R. schwierig.

Häufig wird neben dem vermutlich ohnehin schon katastrophalen Stillstand des Betriebs auch mit der endgültigen Löschung der Daten gedroht oder sogar mit einer Veröffentlichung von besonders schützenswerten Daten. Hier richtet sich die Strategie der Angreifer an der Betriebsart aus.

Kurz und knapp: Erwarten Sie keine Hilfe vom Staat – vor allem keine operative, die Ihnen dabei hilft, Ihr Unternehmen wieder in Gang zu setzen.

Zwar informiert das Bundesamt für Sicherheit in der Informationstechnik im großen Umfang über alle Themen aus diesem Bereich, dennoch gibt es keine „mobile Einsatztruppe“ oder sonstige operative Unterstützung.

Behörden und Polizei ermitteln selbstverständlich bei den Straftaten.