Von Dr. Michael Faske

In unserem zweiteiligen Blog erörtern wir, wie Firmen sich nach einem Zwischenfall von Cyber-Kriminalität schnellstmöglich wieder erholen, was eine Cyber-Versicherung ist und was konkret nach einen „Incident“ zu tun ist.

Das Risiko für Firmen, Opfer von Cyber-Attacken zu werden, wächst.

Risikoexperten auf der ganzen Welt betrachten Cyber-Zwischenfälle erneut als eines der drei grössten globalen Geschäftsrisiken, wie aus dem „Allianz-Risikobarometer 2016“ hervorgeht.[1] Die Verfasser des Berichts schätzen, dass Cyber-Kriminalität die globale Wirtschaft ungefähr 445 Milliarden US-Dollar kostet. Pro Jahr.

Die Schweiz bleibt dabei nicht verschont, wie wir bei der Cyber-Attacke auf einige Online-Stores im März 2016 sehen konnten. Die Attacke war die grösste koordinierte DDOS-Attacke (Distributed Denial of Service), die man bisher hierzulande gesehen hat [2]. Nur eine Woche später wurde die Schweiz überproportional stark von 393 Attacken innert 24 Stunden heimgesucht. [3]

Zu den Auswirkungen von Cyber-Kriminalität gehören:

• Potenzielle Gewinnverluste verursacht durch Betriebsunterbrüche
• Wirtschaftliche Schäden aufgrund von Haftungsansprüchen (die bspw. nach einer Verletzung des Datenschutzes auftreten können)
• Eine Reputationsschädigung der Firma

Die neuesten Cyber-Attacken durch die Ransomwares „WannaCry“ und „Petya“ betrafen Organisationen weltweit und sektorenübergreifend: Finanzdienstleistungen, Stromversorgung, Medien, Telekommunikation, Life Sciences, Transport sowie Regierungsbehörden. Das globale Ausmass der „Petya“-Attacke bestätigt Bedenken, dass „WannaCry“ kein isoliertes Ereignis war. Kurz: jede Firma ist gefährdet.

Um Cyber-Widerstandsfähigkeit zu erreichen, sind, wie in unserer jährlichen 2016 EY-Umfrage zu Informationssicherheit [4] beschrieben, drei Schritte erforderlich: Erkennen, Widerstehen und Reagieren. Sich lediglich auf die Prävention und Früherkennung zu konzentrieren, reicht im Kampf gegen die Cyber-Kriminalität nicht aus. Aufgrund der erhöhten Wahrscheinlichkeit einer Cyber-Attacke müssen Firmen gleichermassen darauf vorbereitet sein, reagieren zu können, wenn diese stattfindet. Ein fundierter Reaktionsplan stellt eine effiziente und wirksame Analyse und Behebung der Attacke sicher und mindert finanzielle Schäden und Reputationsrisiken.

Viele Firmen haben jedoch noch immer Probleme damit, Cyber-Bedrohungen zu handhaben und verwenden zunehmend eine sogenannte Cyber-Versicherung, um ihr Risiko zu managen.

Die Cyber-Versicherung ist ein relativ neues Produkt, das weltweit schnell an Interesse gewonnen hat. Eine Cyber-Versicherungs-Police ist vergleichbar mit der Standard-Versicherungspolice für Geschäftsunterbrüche (BI, Business Interruption). Diese deckt die Verluste, wenn Geschäftsabläufe durch eine physische Störung unterbrochen werden, wie dies bei einem Feuer oder einer Naturkatastrophe (direkt oder indirekt durch die Lieferkette der Firma) der Fall sein kann.

Die Quantifizierung einer Forderung aufgrund eines Geschäftsunterbruchs ist allerdings komplex, speziell in Bezug auf Schäden durch Cyber-Attacken. Ebenso komplex ist die Feststellung der Verantwortlichkeiten der Versicherung als auch der versicherten Firma, dem Opfer des Cyber-Angriffs. Des Weiteren verfügt das Management normalerweise über beschränkte Erfahrung und Kapazität bei der Analyse von Cyber-Attacken, da ihr Fokus abwechselnd auf das Krisenmanagement und die Wiederherstellung des Betriebsbereitschaft gerichtet ist. Die Versicherungspolice einer Firma kann die Annahme externer Hilfe für die Analyse des Cyber-Zwischenfalls sowie die Schadenskalkulation abdecken und beispielsweise in den Geltungsbereich der Deckung für professionelle Honorare fallen.

Es gibt ein paar allgemeine Punkte, die bei einer Cyber-Versicherung zu berücksichtigen sind:

• Fristen: Sie müssen eingehalten werden, andernfalls ist die Police nicht wirksam.
• Allgemeine Geschäftsbedingungen: Was ist durch die Police abgedeckt und was nicht?
• Grobe Fahrlässigkeit: Eine Firma muss beweisen können, dass sie ihr Bestes getan hat, um den Vorfall zu vermeiden. Sie muss entsprechende Mittel einsetzen, der Abschluss einer Versicherung reicht nicht aus.
• Eine angemessene Untersuchung: Nach dem Vorfall ist sie von wesentlicher Bedeutung, um den Schaden zu minimieren und zu gewährleisten, dass die Anforderungen der Cyber-Versicherungs-Police eingehalten werden. Die Versicherung wird für den erlittenen Schaden nicht mehr als nötig bezahlen wollen.

Über den Autor

Autor: Dr. Michael Faske

Dr. Michael Faske ist seit 2006 Leiter der Abteilung „Fraud Investigation and Dispute Services“ bei Ernst & Young Schweiz. Er hat langjährige Berufserfahrungen in den Bereichen Fraud Investigations, mit Schwerpunkt in den Branchen Finanzdienstleistungen und Pharmazeutik; weitreichende Erfahrung bei der Beurteilung von Compliance, Risk Management, internem Kontrollsystem und Audit-Aktivitäten sowie mit Anti-Bestechungs- und Anti-Korruptions-Programmen.

[1] http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometer2016.pdf
[2] http://www.tagesanzeiger.ch/wirtschaft/unternehmen-und-konjunktur/digitec-reicht-wegen-hackerangriff-strafanzeige-ein/story/13546298
[3] https://www.nzz.ch/nzzas/nzz-am-sonntag/cyber-attacken-kriminelle-erpressen-schweizer-online-shops-ld.9083
[4] http://www.ey.com/Publication/vwLUAssets/ey-global-information-security-survey-2016-pdf/%24FILE/GISS_2016_Report_Final.pdf