Risiko Cyber – Ohne Prävention keine Versicherung

Wohl oder übel wird man sich leider auch mit einem effizienten Umgang der Lösegeldforderungen beschäftigen müssen, die von den Kriminellen gestellt worden sind.

Das es sinnvoll sein wird durch den Abschluss einer Betriebsunterbrechungsversicherung den finanziellen Einbruch abzufedern manifestiert sich mehr und mehr in den Köpfen der Geschäftsleitungen. Unterschätzt werden nach wie vor diejenigen Schäden, die bei Dritten, vor allen den Kunden, ausgelöst werden und zu Schadenersatzforderungen führen können. Die stattgefundene Verletzung der DSGVO ermöglicht derartige Ansprüche auf immateriellen Schadenersatz. Dazu gesellen sich die unangenehmen Berichtspflichten an die Datenschutzbehörden und die vorgeschriebenen Informationspflichten für die Kundenklientel.

Nicht zu reden von den Folgewirkungen aus Reputationsschäden, die den zukünftigen Unternehmenserfolg auf Dauer beeinträchtigen können. Insgesamt eine ganze Reihe von Maßnahmen und Aktivitäten die zu setzen sein werden, und das unter immensem Zeitdruck. Ohne professionelle Hilfe und tatkräftige Unterstützung erfahrener Fachkräfte ist das so gut wie unmöglich.

Mangelnde Sensibilisierung der Belegschaft

Aktuell berichtet der Markt von extrem vielen Großschäden, Sicherheitslücken und die Unaufmerksamkeiten von Mitarbeiterinnen und Mitarbeitern werden massiv und massenhaft ausgenützt und führen häufig zu Schäden im siebenstelligen Bereich. Beim Bedrohungsszenario weit oben steht die mangelnde Sensibilisierung der Belegschaft. Da heißt es dann man wolle als Geschäftsführung die eigenen Leute vor allzu vielen Schulungen, die ja auch zu anderen Themen wie die DSGVO, Compliance allgemein, Geldwäsche, etc. durchzuführen sind, schonen. Bei der Vielzahl an Aufgaben die täglich zu bewältigen sind, eine nachvollziehbare Haltung. Zweifellos bleibt aber so die gefährdetste Einbruchstelle für Attacken weit offen.

Gemeinden tragen das gleiche Risiko und sind vermehrt Cyber-Angriffen ausgesetzt. Das wird dort oft nicht als echte Bedrohung gesehen und Cyber-Versicherungen für entbehrlich erachtet. Aufgrund der gestiegenen Schadenfälle gerade bei Gemeinden sind diese zunehmend bei den Risikoträgern weniger gerne gesehen, werden fallweise aber gezeichnet.

Unverändert unterschätzt ist das Risiko der persönlichen Haftung der Geschäftsleiter aus der Verletzung ihrer diesbezüglichen Sorgfaltspflichten durch Unterlassung schadensverhindernder und -reduzierender Vorsichtsmaßnahmen.

Die Umsetzung der Cyber-Sicherheits-Richtlinie NIS 2 der EU wird jedenfalls im Oktober 2024 erfolgen und betrifft mehr Unternehmen als vielfach angenommen. Weil nämlich der Betrieb entweder selbst unter die Bezeichnung einer wesentlichen oder wichtigen Einrichtung fällt, oder mit Kunden zusammenarbeitet, die diesen Segmenten zuzuordnen sind, wenn man diese Zusammenarbeit fortsetzen will.

Ein Lob ist hier für die Wirtschaftskammer auszusprechen, welche seit Monaten bei verschiedenen Veranstaltungen dazu informiert. Gemeinsam mit den zuständigen Behörden wird in regelmäßigen Kontakten der Austausch gepflegt um zu eruieren was da durch die nationale Gesetzgebung kommen wird und wie man sich daher aufstellen sollte. Mit Sicherheit wird der Zeitrahmen sehr eng, schließlich werden im Herbst des kommenden Jahres Nationalratswahlen stattfinden, was dieses Vorhaben nicht gerade erleichtern wird.

Die Strafen werden wie in der DSGVO drakonisch hoch ausfallen und dann eben nicht das Unternehmen betreffen, sondern die Geschäftsführer persönlich.

Risikoadäquaten Cyber-Versicherung mit weitreichenden Präventionskonzepten

Es gilt daher die Voraussetzungen zur Erlangung einer risikoadäquaten Cyber-Versicherung mit weitreichenden Präventionskonzepten zu schaffen. Nicht unerwähnt darf dabei bleiben, dass die Geschäftsleitungen im Sinne der Erfüllung ihrer Sorgfaltspflichten ohnehin ein internes Kontrollsystem einzurichten haben, das heißt diese Sicherheiten auch ohne beabsichtigten Abschluss einer Cyber-Versicherung zu gewährleisten müssen. Insofern daher ein doppelter Nutzen bei der Vorbeugung, zumal der Abschluss einer Cyber-Versicherung ganz ohne Zweifel zu einer effizienten Prävention zu zählen ist.

Einschlägige Cyber-Versicherer stellen ein ganzes Konvolut an Maßnahmen zur Verfügung, um den Abschluss einer Versicherung zu ermöglichen und auch während der Vertragslaufzeit ein gewisses Maß an Sicherheit zu gewährleisten.

So etwa im Zuge der Anbahnung ein Scan des Betriebes von außen, dessen Bericht, sollten Schwachstellen gefunden werden, gegen einen geringen Kostenbeitrag oder sogar kostenlos zur Verfügung gestellt wird.

Weiter erhalten Neukunden über den betreuenden freien Berater eine Gratis-Lizenz für die Nutzung einer Schulungsplattform ein Jahr hindurch.

Regelmäßige Schulungen, die der Versicherungsnehmer seinen Mitarbeiterinnen und Mitarbeitern entweder kostenlos oder mit erweiterten Funktionen für den Versicherungsnehmer gegen Entgelt zugänglich machen kann, sollen weiter den sorgfältigen Umgang des Mitarbeiterkreises mit den sensiblen Themen unterstützen helfen.

Sollten im versicherten Unternehmen bestimmte nachhaltige Präventionsdienstleistungen durchgeführt werden, kann das zur Reduzierung eines Selbstbehaltes im Versicherungsvertrag führen, die bis dessen gänzlichem Entfall des Selbstbehaltes gehen kann. Eine auch dauerhafter Check des Risikos wird kostenlos durch Scans von außen gefördert und mit einem umfassenden Bericht zur Abarbeitung von Schwächen unterstützt. Gegen Beiträge vervollständigen zudem Schulungsplattformen, Online-Trainings und Vorträge, Sicherheitsberatungen sowie Audits das Programm.

Professionelles Schadenservice ist eine unabdingbare Voraussetzung

Besonders hinzuweisen ist auf Angebote die gegen eine geringe Gebühr Zugang zum Schadenservice eines Versicherers zu erhalten, auch ohne dass bereits eine Cyber-Versicherung besteht. Sofort-Hilfe im Anlassfall garantiert. Dies garantiert im Anlassfall den Zugriff auf ein professionelles Netzwerk von Experten. Allein der Zugang zur Expertise gesuchter Fachleute ist Goldes wert. Ohne deren Einsatz ist eine erfolgversprechende Schadenbekämpfung gar nicht denkbar.

Professionelles Schadenservice ist eine unabdingbare Voraussetzung für ein erfolgreiches Agieren im Anlassfall. Schnelligkeit ist zur Schadensbegrenzung besonders wichtig. Cyber-Krisen verlangen eine zielgerichtete Steuerung und Anleitung aller Beteiligten durch alle anfallenden Herausforderungen und setzen ein entsprechend leistungsfähiges Dienstleister-Netzwerk voraus, das durchgängig geprüft und optimiert wird. Krisenmanagement vor Ort kann bei Großereignissen eine zusätzliche Unterstützung bringen.

Generell ist zu sagen, das Cyber-Attacken ganz bestimmt nicht aufhören werden, dazu ist dieses kriminelle Geschäftsfeld einfach zu leicht und lukrativ, das Risiko erwischt zu werden gering, die Strafandrohungen bei den hohen Schäden geradezu lächerlich.

Den gesamten Beitrag lesen Sie in der AssCompact Jänner-Ausgabe!