Werden neue Cyber-Versicherungen benötigt?

Cyber-Risiken gehören mit zu den grössten Risiken des 21. Jahrhunderts. Geschätzt mehr als neunzig Prozent der Unternehmen werden jährlich Cyber-Attacken ausgesetzt. Datenverlust oder IT-Störungen mit immensen finanziellen Auswirkungen sind die Folge. Kessler, das führende Schweizer Unternehmen für ganzheitliche Risiko-, Versicherungs- und Vorsorgeberatungen, hat dafür ein Team von fünf Personen zusammengestellt, die sich auf dieses Thema rund um Cyber-Versicherungen spezialisiert haben.

thebroker spricht mit Manuel Pachlatko, Teamleader Special Risks und Spezialist für Cyber-Versicherungen bei Kessler, wie man sich gegen Cyber-Risiken schützen kann.

Herr Pachlatko, Kessler ist als Broker für Betriebe ab 50 Mitarbeitenden aktiv. Wie viele Ihrer Kunden haben eine Cyber-Versicherung?

Bei den rund 1’250 Kunden, die Kessler & Co AG betreut, liegt die gegenwärtige Marktdurchdringung im Bereich Cyber bei ca. zwanzig Prozent. Weitere zwanzig Prozent der Kunden befinden sich in der Evaluierungsphase. Einige Kunden erfüllen derzeit die Mindestanforderungen an die Risikoqualität nicht und erhalten somit kein Angebot oder haben sich bewusst gegen einen Risikotransfer entschieden. Branchenspezifisch können wir feststellen, dass es in der Gesundheitsbranche und bei den produzierenden Unternehmen bereits eine deutlich höhere Marktdurchdringung gibt als beispielsweise bei der öffentlichen Hand.

Worin besteht ein effizientes Cyber Risk Management?

In jedem Fall empfehlen wir, eine bestmögliche Transparenz über die Gefährdungslage zu gewinnen. Dieser Vorgang soll zirkulierend unter Berücksichtigung der Mitarbeitenden, der Prozesse und der Technologie durchgeführt werden. Die geschäftlichen, technischen und organisatorischen Risiken müssen identifiziert und verstanden werden. Die Fragen, die gestellt werden müssen, sind die folgenden: Welchen Einfluss hätte ein Cyber-Vorfall auf meine betrieblichen Prozesse? Und: Haben wir technisch und organisatorisch entsprechend vorgesorgt? Nach der Beantwortung dieser Frage empfehlen wir, die identifizierten Grossrisiken zu quantifizieren und einen bewussten Entscheid bezüglich der Übernahme, Vermeidung, Mitigation und Abwälzung zu treffen.

Ein fünfköpfiges Cyber-Team kümmert sich bei Kessler um Cyber-Risiken. Was befähigt Ihr Team, dies zu tun?

Wir beschäftigen neben den Fachspezialisten auch eine Juristin und einen Juristen, die unsere Kundeschaft aktiv in der Schadensabwicklung unterstützen. Die daraus gewonnenen Erkenntnisse zeigen uns nicht nur auf, wie robust und effektiv der Risikotransfer im konkreten Einzelfall funktioniert, sondern sie können auch für noch professionellere Deckungsverhandlungen im Interesse des Kunden verwendet werden. Im besten Fall wird das Vertragswerk im Sinne des Kunden angepasst. Andernfalls ist es uns zumindest möglich, dem Kunden klar aufzuzeigen, wo der bisherige Deckungsschutz greift und wo nicht.

Wir führen regelmässig Risikodialoge mit unseren Kunden und Versicherern. Diese Gespräche orientieren sich üblicherweise am NIST Cyber Security Framework mit den darin enthaltenen Kategorien «Identify», «Protect», «Detect», «Response» und «Recover». Zu jeder dieser Kategorien gibt es detaillierte Informationen, sodass sich ein guter Überblick über die Sicherheit der IT in einem Unternehmen ableiten lässt.

Des Weiteren investieren wir intensiv in die interne und externe Weiterbildung unserer Mitarbeitenden.

Sie testen das Cyber-Risiko bei Unternehmen mittels Marsh Cyber-Risiko-Test. Wie hoch ist das Schadenpotenzial eigentlich?

Der Marsh Cyber-Risiko-Test ist eines von vielen nützlichen Instrumenten, um einen Überblick über die Cyber-Resilienz zu bekommen. Auch unabhängig von diesem Test wird eine Cyber-Attacke gegenwärtig als eine der bedrohlichsten Gefährdungen eingestuft. So wird z. B. in den USA laut dem aktuellen «AXA Future Risk Report» das Cyberrisiko erstmals als grösste Gefahr eingeordnet. Im Rest der Welt belegt dieses Risiko den zweiten Rang. Dieser Trend reflektiert beispielhaft die weltweit zunehmende Abhängigkeit von der IT und dem Internet. Das jeweilige Schadenpotenzial wird speziell bei böswilligen Angriffen, die laut dieser Marsh-Untersuchung achtzig Prozent aller Vorfälle ausmachen, als hoch eingestuft.

Sind alle finanziellen Schäden versicherbar?

Neben Reputationsschäden, die kaum oder schwierig zu quantifizieren sind, sind gewisse Kumulschäden auch nicht versicherbar. Als Beispiel sei hier ein in kriegerischer Absicht durchgeführter Cyber-Angriff erwähnt, wie er durch Russland mit grosser Wahrscheinlichkeit in der Ukraine bereits ausgeführt wurde.

Gehört nach wie vor der unachtsame Umgang von Mitarbeitenden mit E-Mails und Internet zu den grössten Cyber-Risiken?

Das ist tatsächlich nach wie vor der Fall. Das «Einfallstor Nummer eins» für Ransomware-Trojaner sind kompromittierte E-Mails. Klare Richtlinien der Unternehmen zum Umgang mit dem Internet können hier Abhilfe schaffen. Das Internet soll im geschäftlichen Kontext beispielsweise nicht für private Zwecke genutzt werden dürfen. So soll Familienmitgliedern sollte kein Zugriff auf die Geschäftslaptops gewährt werden. Das heisst, dass das Sicherheitsbewusstsein der Mitarbeitenden laufend geschult und gestärkt werden muss. Es nützt aber nur teilweise, die Mitarbeitenden bei der Neueinstellung auf die internen Weisungen aufmerksam zu machen oder jährliche Cyber-Sicherheitsschulungen zu organisieren. Nur das regelmässige und systematische Ansprechen der Probleme fördert langfristig das interne Sicherheitsbewusstsein. Dieses sollte Teil der Unternehmenskultur werden.

Gewisse Broker müssen Cyber-Risiken aus der Berufshaftpflicht entfernen. Dafür braucht es neue Cyber-Versicherungen. Was halten Sie davon?

Die Berufshaftpflicht hat zum Ziel, durch Drittpersonen verursachte Vermögensschäden zu decken, die etwa durch eine Pflichtverletzung bei Unternehmensabläufen entstanden sind. Es ist wichtig, Klarheit zu schaffen, welche Risiken mittels welcher Versicherung gedeckt sind. Wir nennen das in der Fachsprache «affirmative» versus «silent». Ein an sich anerkanntes Schadenszenario darf nicht in eine Deckungslücke fallen.

Welche Massnahmen zur Prävention empfehlen Sie?

Neben den bereits genannten Massnahmen raten wir, die «Anatomie» eines Cyber-Schadens zu kennen. Jeder Angriff hat verschiedene Phasen. Der Ernstfall soll mittels eines sogenannten «Wargame» vorgängig durchexerziert werden. Wir sind der Ansicht, dass sich Vorbereitung immer auszahlt. Aber auch mit den gründlichsten Vorbereitungen ist man in einem Cyber-Vorfall nicht vor unbekannten Entwicklungen gefeit. Diese kommen in einer bereits sehr angespannten Situation auf die Entscheidungsträger zu. Es empfiehlt sich deshalb, vorgängig externe Partnerschaften einzugehen. Das richtige Team an seiner Seite zu wissen, kann eine grosse Hilfe, wenn nicht sogar entscheidend sein.

Den hundertprozentigen Cyber-Schutz mittels Cyber-Versicherungen gibt es wohl nicht, oder doch?

Nein, es ist nur eine Frage der Zeit, bis ein Unternehmen Opfer eines Cyber-Angriffs wird. Die Frage ist also nicht ob, sondern in welchem Ausmass ein Unternehmen betroffen sein wird.

Der Verwaltungsrat haftet für den von Dritten verursachten Schaden, wenn nicht nachweisbar ist, dass er die gebotene Sorgfalt angewendet hat. Wann haftet der Verwaltungsrat bei Cyber-Schadenfällen?

Die Gesetzesgrundlage für einen Organhaftpflichtfall gilt auch bei einem Cyber-Vorfall. Ist seitens des Entscheidungsträgers ein Versäumnis, eine Unterlassung oder ein Fehler nachweisbar, der den Aktionären bzw. dem Unternehmen einen Schaden zugefügt hat, kann der Schaden bei der natürlichen Person eingeklagt werden.

Welche Bedeutung haben die Rechenschaftspflicht und die damit verbundene Dokumentation der datenschutzrechtlichen Massnahmen für die Unternehmensführung?

Eine ungenügende Handhabung dieser Pflichten setzt das Unternehmen finanziellen und rechtlichen Risiken aus. Insbesondere der Verwaltungsrat unterliegt dabei einem gewissen Risiko. Denn er hat gemäss Art. 716a OR die unentziehbare und unübertragbare Aufgabe der Oberaufsicht über die Gesellschaft. Das beinhaltet die Ausgestaltung eines angemessenen Risikomanagements, wozu auch die Cyber Security gehört.

Das am 25. September 2020 revidierte und 2022 in Kraft tretende Datenschutzgesetz DSG beinhaltet härtere Sanktionen bei Pflichtverletzungen der verantwortlichen Organe. Private Personen werden mit bis zu 250’000 Franken gebüsst. Wofür?

Für einen vorsätzlicher Verstoss – wobei Inkaufnahme eines Verstosses wohl bereits genügt – gegen die Anforderungen im revidierten Datenschutzgesetz. Die Bestimmung, gegen wen eine Busse als Privatpersonen ausgesprochen werden kann, steht indes nicht im DSG, sondern im Art. 29, im Strafgesetzbuch. Diese Bestimmung legt fest, welche natürliche Person – darunter fallen auch die faktischen Organe – bestraft werden kann, wenn gegen eine Pflicht verstossen wird, die das Unternehmen regelt.

Cyber-Risiken können sich viral verbreiten und gleichzeitig mehrere Unternehmen betreffen. Was tun Cyber-Versicherungen in einem solchen Fall?

In diesem Fall wird von einem Kumulereignis gesprochen, wie das vorhin erwähnte Beispiel eines Cyber-Angriffs auf die Ukraine. Ein solches kann die Versicherungsunternehmen teuer zu stehen kommen. Es gibt dazu weitere prominente Beispiele wie die Attacken auf die IT-Dienstleister SolarWinds, Microsoft oder zuletzt Kaseya. Es ist demnach unerlässlich, diese Risiken aktiv zu identifizieren, zu quantifizieren, zu modellieren und das Portfolio somit zu kontrollieren.

Die einfachste Methode ist es, die Höchsthaftung für ein Ereignis zu aggregieren. Diese ist aktuell aber nicht durchsetzbar. Ansonsten ist eine Modellierung dieser Ereignisse anzustreben. Das wirkt sich auf die Prämie als auch Limite aus und hat darauf Einfluss darauf, ob überhaupt ein Angebot unterbreitet werden kann. Dafür müssen die Versicherer allerdings erst eine gute Datengrundlage schaffen.

Für die Versicherungswirtschaft gelten reine Vermögensschäden aus Social Engineering nicht als klassische Cyber-Risiken (beispielsweise Vermögensschaden in Form einer Banküberweisung an einen fingierten Empfänger). Für diesen Fall empfiehlt sich eine Vertrauensschadenversicherung. Worum handelt es sich dabei?

Das hängt sehr vom Anbieter ab. Es gibt mittlerweile eine Vielzahl von Versicherern, die bereit sind, Cyber Crime mittels eines Nachtrags in die Cyber-Versicherungen einzuschliessen. Die Deckung wird allerdings meist an strenge vertragliche Auflagen geknüpft. Das ist problematisch, weil im Schadenfall meist genau die dafür nötigen Auflagen nicht vollständig erfüllt wurden und die Deckung demnach entsprechend entfallen würde.

Eine Vertrauensschadenversicherung (Crime) wurde indes entwickelt, um Wirtschaftskriminalität aller Art zu versichern. Dieses Produkt deckt unmittelbare Schäden und Kosten, die z. B. durch eine Rechnung mit Zahlungsanweisung an den falschen Empfänger entstanden sind. Diese Fälle machen notabene die Mehrheit der Meldungen beim Nationalen Zentrum für Cybersicherheit NCSC im ersten Halbjahr 2021 aus.

Das Interview hat Binci Heeb geführt.

Lesen Sie dazu auch: Homeoffice: Weniger Einbrüche, mehr Cyberkriminalität und Untragbar für Versicherungen: Ransomeware-Attacken erreichen Schäden in Milliardenhöhe