Die größte Sicherheitslücke in Unternehmen steht nicht etwa im Serverraum, sondern sie sitzt am Schreibtisch. Genau aus diesem Grund zielen viele Cyber-Attacken heute nicht mehr auf Systeme, sondern ganz bewusst auf Menschen. Ein Angriff im Postfach lässt sich nie ausschließen. Eine Cyberversicherung kann die daraus entstehenden Schäden minimieren.
Angreifer zunehmend professioneller
Social Engineering heißt das Vorgehen, bei dem Angreifer gezielt menschliche „Schwächen“ wie Hilfsbereitschaft oder Zeitdruck ausnutzen, um ihre Ziele durchzusetzen. Auch Unternehmen geraten nicht selten mit erstaunlich einfachen Methoden ins Visier von Cyber-Kriminellen. Meist brauchen sie dafür nicht einmal mehr komplexe Schadensoftware. Eine gut formulierte Mail, die zur richtigen Zeit an die richtige Person geschickt wird, reicht oft aus. Die scheinbar routinemäßige Zahlungsaufforderung eines vermeintlichen Lieferanten oder täuschend echte Login-Links sind typische Beispiele aus der Praxis.
Hinzu kommt, dass Angreifer eben zunehmend professioneller werden: Tonalität und Gestaltung weisen weniger offensichtliche Fehler auf. Die Mails sind so überzeugend, dass selbst erfahrene Mitarbeiter nicht zögern, entsprechende Verbindung herzustellen oder Anlagen zu öffnen. Erst wenn der Schaden bereits eingetreten ist, bemerken Unternehmen, dass Daten abgeflossen oder Zahlungen fehlgeleitet wurden. Und KI erlaubt die laufende Verfeinerung der Methoden. Was gleich bleibt, ist das Einfallstor: der Mensch.
Zunehmende Regulierung
Entsprechend gewinnt das Thema auch regulatorisch an Gewicht. Da die steigende Zahl erfolgreicher Cyber-Angriffe nicht nur wirtschaftliche Folgen für einzelne Unternehmen hat, sondern ganze Lieferketten und Infrastrukturen betroffen sein können, hatte die Europäische Union schon vor einigen Jahren mit der einer weiteren Richtlinie (NIS-2) auf diese Entwicklung reagiert. Diese wurde im vergangenen Dezember in ein umfangreiches Gesetzeswerk auf nationaler Ebene gegossen.
Die Anforderungen an die Cyber-Sicherheit sind damit ausgeweitet worden. Deutlich mehr Unternehmen sind künftig verpflichtet, sich stärker mit der eigenen IT auseinanderzusetzen. Das Gesetz fordert unter anderem ein systematisches Risikomanagement, klare Zuständigkeiten, Meldepflichten bei Sicherheitsvorfällen sowie Maßnahmen zur Schulung von Mitarbeitern.
Ganzheitlicher Ansatz gefragt
Es reicht nicht mehr aus, sich allein auf technischen Schutz zu verlassen. Die Problematik erfordert ein ganzheitlicher Ansatz, der Organisation, Prozesse und Menschen gleichermaßen einbezieht.
Da die Verantwortung ausdrücklich auf Leitungsebene liegt, wird Cyber-Sicherheit zu einer unternehmerischen Kernaufgabe. Gleichwohl kommen im Stress des Alltags auch bei gut eingerichteten Systemen Entscheidungsfehler vor. Deshalb ist es sinnvoll, zumindest deren Folgeschäden zu begrenzen.
Auf Ebene von Versicherungslösungen stehen zwei Themen im Fokus: Die Haftpflicht und die Frage der technischen Intervention und Schadensbegrenzung.
Im Bereich der Haftpflicht geht es einerseits um die Schadensregulierung gegenüber geschädigten Dritten, andererseits um mögliches Fehlverhalten von Führungskräften, die im Rahmen spezieller D&O-Versicherungen separat reguliert werden.
Wann eine Cyberversicherung Sinn macht
Für die Kosten einer möglichst schnellen Wiederherstellung der Geschäftsfähigkeit – also eher die technische Seite des Problems ist die Cyber-Versicherung da. Der Leistungsumfang einer solchen Versicherung erstreckt sich also zunächst primär auf die Eigenschäden, die einem Unternehmen nach einer Attacke entstehen.
Soweit nicht bereits über eine separate Vermögensschadenhaftpflichtversicherung gedeckt reguliert sie jedoch auch Vermögensschäden, die Dritten zugefügt werden. Ein Cyber-Versicherungsvertrag übernimmt also je nach Versicherer, Tarif und vereinbartem Umfang verschiedene Kosten:
● Wiederherstellungskosten und Betriebsunterbrechungsschäden,
● Kosten für IT-Forensik
● Kosten für Krisenmanagement und für PR-Beratung
● Kosten für Rechtsberatung
● Regulierung von Schadensersatzforderungen und Vertragsstrafen
● Übernahme von Lösegeldzahlungen sowie
● Kosten für Sicherheitsverbesserungen
Ausschlüsse
Auch gute Tarife können natürlich nicht alles absichern. Ausgeschlossen sind in der Regel:
▶ Vorsätzliche Handlungen
▶ Verletzung von Wettbewerbsrecht
▶ Auswirkung von Krieg und Terror
▶ Folgen behördlicher Vollstreckungen
▶ Geldbußen und Geldstrafen
Die Aufzählung ist nicht abschließend. Einige der genannte Punkte können jedoch, je nach Bedingungswerk, auch eingeschlossen sein bzw. mitversichert werden.