Auf Cyber-Risiken vorbereitet sein

Schnell gelesen:

In der heutigen Welt kommt jedes Unternehmen mit elektronischen Daten in verschiedener Form in Berührung – es handelt sich um Daten auf Mobiltelefonen, Rechnern, Servern oder um online verarbeitete Daten. In allen diesen Fällen ist eine Gesellschaft Cyber-Risiken ausgesetzt, die im Zuge der Entwicklung der modernen Informationstechnologien immer mehr ein Bestandteil unseres Lebens werden. Falls die angeführten Risiken tatsächlich eintreten, kann dies nicht nur zu Verlusten an Daten über Kunden, Partner oder Arbeitnehmer oder zu einem Gewinnverlust der betroffenen Gesellschaft führen, sondern auch zu der Schädigung eines über Jahre aufgebauten Renommees und zu einem Vertrauensverlust bei eben jenen Kunden.

So wie auch Firmen versuchen ihre Tätigkeit zu verbessern und effektiver zu gestalten, so beurteilen auch Hacker ihre Erfolge und Misserfolge und arbeiten an neuen, effektiveren Instrumenten für neue, folgenreichere Angriffe. Nach Schätzungen von Fachleuten werden in 2017 Erpressungsversuche von Unternehmen durch Hacker in Form einer sog. „Ransomware” deutlich zunehmen – hierbei handelt es sich um Malware, die einen Zugang zu einem befallenen Computer verhindert. Ein solches Programm fordert in der Regel die Bezahlung eines Lösegeldes für eine Zugänglichmachung des Rechners. Für die Zukunft ist mit einer wachsenden Aggressivität von Malware und Viren zu rechnen.

Mit Blick auf diese Tatsachen sollte ein Unternehmen auf solche Risiken vorbereitet sein und die Auswirkungen solcher Angriffe abmildern können – z.B. in Form einer Versicherung gegen Cyber-Risiken. Eine Versicherung kann Cyberangriffe zwar nicht verhindern, jedoch kann sie das Unternehmen vor den schlimmsten Folgen bewahren, die für eine betroffene Gesellschaft fatal sein können. Eine Versicherung von Cyber-Risiken ist daher ein wichtiger Bestandteil eines IT-Sicherheitsplans und kann die Fähigkeit von Firmen verbessern, die Folgen solcher Angriffe zu bewältigen, einschließlich steigender Anforderungen staatlicher Stellen. Aktuell wird diesbezüglich die Datenschutz-Grundverordnung (GDPR – General Data Protection Regulation) diskutiert, eine zum 25. Mai 2018 in Kraft tretende Verordnung, die für die gesamte EU eine Revolution in Sachen Datensicherheit bedeutet und insbesondere Strafen und Sanktionen für ihre Verletzung erhöht. Und gerade diese Strafen und Sanktionen seitens des Staates sind Gegenstand einer Versicherungsdeckung im Rahmen einer Versicherung von Cyber-Risiken. Bereits allein der Prozess der Vereinbarung der gegenständlichen Versicherung kann der Gesellschaft nützliche Informationen über das Niveau der Sicherheit, über mögliche Risiken und Instrumente zu deren Minimalisierung gewähren.

Eine Versicherung von Cyber-Risiken deckt insbesondere folgende Tatsachen und Kosten ab:

Unterstützung bei IT-Auswirkungen

Aufwendungen für Spezialisten für Cyber-Risiken
Kosten für Dienstleistungen zum Zwecke der Gewährleistung einer Erneuerung, einer erneuten Erfassung oder Neuerschaffung von elektronischen Daten.

Unterstützung bei der Schädigung des guten Rufes

Aufwendungen für fachliche Leistungen zur Verhinderung oder Abmilderung eines ungünstigen Einflusses auf den guten Ruf der Gesellschaft
Aufwendungen für fachliche Leistungen zur Verhinderung oder Abmilderung eines ungünstigen Einflusses auf den guten Ruf einer konkreten, für die Gesellschaft arbeitenden Person
Aufwendungen zur Mitteilung eines Verlustes oder einer nicht autorisierten Weitergabe von Informationen an Geschädigte oder die zuständige Regulierungsbehörde

Abmilderung der finanziellen Folgen

Schäden und Aufwendungen für eine Rechtsvertretung im Zusammenhang mit der Verletzung des Schutzes personenbezogener Angaben oder vertraulicher Informationen der Gesellschaft
Schäden und Aufwendungen für eine Rechtsvertretung bei einer Verletzung der Netzsicherheit
Verpflichtungen gegenüber den Aufsichtsorganen
Schäden und Aufwendungen für eine Rechtsvertretung bei einer Verletzung von Rechten des geistigen Eigentums Dritter oder einer Fahrlässigkeit bei der Verwaltung eines elektronischen Inhaltes von Medien (wählbar)
Bezahlung von Beträgen an Dritte, die mit einer Bedrohung der Sicherheit der Systeme der Gesellschaft drohen (wählbar)
Verlust eines Gewinnes der Gesellschaft wegen einer Unterbrechung der Funktionen des Systems oder des Netzes in Folge einer Verletzung der Sicherheit des Systems (wählbar)

Wichtiger Teil der Versicherungsdeckung ist eine Gewährleistung einer Kooperation der mit der Versicherung an der Regelung der Lage zusammenarbeitenden Spezialisten 24 Stunden täglich, 7 Tage pro Woche.

Auch wenn Cyber-Risiken vor allem Unternehmen betreffen, die mit großen Datenmengen arbeiten, wie E-Shops, IT-Unternehmen, Medienunternehmen, Telekommunikationsunternehmen, Strom-, Wasser-, Wärme- und Gasversorger, Banken oder Krankenhäuser, so kann ein Cyberangriff doch jede Gesellschaft treffen.

Als Beispiel eines möglichen Schadens im Zuge von Cyber-Risiken sei an dieser Stelle ein Fall aus der Tschechischen Republik von 2016 genannt: ein Mitarbeiter eines Mobilfunkanbieters entwendete personenbezogene Daten von mehr als einer Million Kunden seines Arbeitgebers. Die tschechische Datenschutzbehörde entschied, dass der Mobilfunkanbieter die Daten seiner Kunden nicht hinreichend abgesichert hatte, und erlegte diesem eine Strafe in Höhe von CZK 3.600.000 auf. In diesem Fall verfügte die gegenständliche Gesellschaft nicht über eine Versicherung von Cyber-Risiken, zudem verletzte sie bei der Regelung des Falles zahlreiche Regeln des Krisenmanagements. Hätte die Gesellschaft über eine Versicherung von Cyber-Risiken verfügt, wäre die Angelegenheit unter Mitwirkung der Versicherungsgesellschaft abgewickelt worden und die Gesellschaft hätte einen geringeren finanziellen Verlust erlitten. Darüber hinaus wäre in diesem Fall das Renommee der Gesellschaft nicht in einem solchen Umfang geschädigt worden und die durch die Datenschutzbehörde auferlegte Strafe wäre durch die Versicherung in Abhängigkeit vom vereinbarten Versicherungslimit bezahlt worden.

Aus den angeführten Risiken folgt, dass eine Versicherung von Cyber-Risiken auch in der Tschechischen Republik ein gängiger Bestandteil des Versicherungsschutzes eines Unternehmens werden sollte – im Interesse einer besseren Bewältigung eines Daten-Leaks oder eines Hackerangriffes. Eine Versicherung von Cyber-Risiken kann die negativen Auswirkungen solcher Ereignisse für die versicherte Gesellschaft deutlich abmildern. Unsere Gesellschaft ist gern bereit für Ihr Unternehmen ein maßgeschneidertes Versicherungsangebot zu gewährleisten, eine entsprechende geeignete Versicherung abzuschließen und zu verwalten. Wichtiger Bestandteil der Unterlagen für eine Ausfertigung eines entsprechenden Versicherungsangebotes und die nachfolgende Vereinbarung eines Versicherungsvertrages ist ein Fragebogen des Versicherers, mit dem der Versicherungsgesellschaft Informationen zur Verfügung gestellt werden: Insbesondere Informationen zum bestehenden Datenschutz im Unternehmen, Informationen zu einer Erneuerung von Daten, zu Speicherkopien, zu einem Zugang zu den Daten, ob die Netzverwaltung und die Computer- und Sicherheitssysteme durch einen Dritten verwaltet werden, und nicht zuletzt Informationen über etwaige bisherige Schäden.