Cyberrisiken haben in den vergangenen Jahren eine stärkere strategische und operationelle Bedeutung erlangt. Einerseits ist die Gefahr eines Betriebsunterbruchs durch die zunehmende Digitalisierung bedeutend gestiegen. Hierauf müssen Unternehmen sich vorbereiten. Im Ernstfall können Stunden oder wenige Tage entscheidend dafür sein, ob sich ein Unternehmen von einem Angriff erholen kann oder nicht.

Partner-Inhalte
 
 
 
 
 
 

Der Gastautor: Leotrim Jasiqi, Head of Financial Experience bei WTW Schweiz.

Anderseits nehmen die Anforderungen auf regulatorischer Seite zu. Ein Beispiel hierfür ist das revidierte Datenschutzgesetz, welches per 1. September 2023 in Kraft treten wird. Es verbessert den Schutz persönlicher Daten, gewährt neue Rechte und bringt damit zusätzliche Verpflichtungen für Unternehmen mit sich.

Pensionskassen sind attraktive Angriffsziele

Von den operativen und rechtlichen Risiken von Cyberattacken sind zum Beispiel Pensionskassen stark betroffen, denn sie verwalten besonders schützenswerte Daten. Dass sie zu den grössten Investoren am Aktien- und Immobilienmarkt gehören, macht sie zusätzlich zu attraktiven Angriffszielen. Blickt man jedoch auf die Schadenstatistiken, zeigt sich schnell, dass auch andere Geschäftszweige für Attacken attraktiv sind.

Egal, ob Finanz-, Gesundheitswesen oder Industrie – ein Betrieb, der schützenswerte Daten nicht ausreichend absichert, läuft über kurz oder lang Gefahr, einem erfolgreichen Cyberangriff zum Opfer zu fallen. Zusätzlich zur Prävention durch eine widerstandsfähige IT-Infrastruktur wäre daher ein umfassendes Risikomanagement die ideale Ergänzung, um das Reputationsrisiko zu minimieren und eine Ausgangslage zu schaffen, in der eine Cyberversicherung eine finanzielle Absicherung ermöglicht.

Mit Blick auf die Dynamik im Bereich Cyber bedeutet ein ganzheitliches Risikomanagement, alle Bausteine permanent im Auge zu behalten, um beim Versagen eines Bausteins auf die Verfügbarkeit eines anderes setzen zu können.

Für ein optimales Risikomanagement sollte man sich frühzeitig mit potenziellen Risiken auseinandersetzen. Vereinfacht gesagt, geht es um die Schritte Identifizierung, Quantifizierung, Prävention und Abwälzung, sprich Versicherung. Bei dieser Analyse kann die Unterstützung durch einen externen Berater sinnvoll sein. Gestützt auf Daten und Fakten werden die individuellen Risikomerkmale erhoben und mit Branchen-Benchmarks verglichen. Unter Einbezug der vorgängig umgesetzten Sicherheitsmassnahmen unterstützt die Analyse Versicherer bei der Risikoprüfung und der Prämienkalkulation.

Individuelles Cyberverlustpotenzial berechnen

Geht es um die Risikoermittlung und Prognose im Bereich Cyber sowie massgeschneiderte Versicherungslösungen, helfen quantitative Methoden. Das individuelle Cyberverlustpotenzial und finanzielle Optimierungen werden dabei anhand einer breiten Schadenstatistik und unter Berücksichtigung der individuellen Risikomerkmale berechnet. So wird es Unternehmen ermöglicht, das Risiko eines Netzwerkausfalls zusätzlich zur Haftung für Datenverletzungen interaktiv zu modellieren und verschiedenen Risikostrategien gegenüberzustellen.

Ganz auf Technologie und Daten dürfen sich Unternehmen aber nicht verlassen. Der Faktor Mensch bleibt bei der Cybersicherheit entscheidend. Entsprechend gehören regelmässige interne Sicherheitstest mit scheinbaren Phishing-Mails zu den Präventionsmassnahmen. So können Schwachstellen identifiziert und entsprechende Sensibilisierungsund Weiterbildungsmassnahmen geplant werden. Ebenso gehören Pläne für den Erhalt der Geschäftskontinuität sowie Krisenpläne für Zwischenfälle zum Risikomanagement. Diese theoretischen Szenarien sollten für den Ernstfall getestet werden, um die Reaktionszeiten so kurz wie möglich zu halten.

Bleiben Cyberrisiken versicherbar?

Wer eine Cyberversicherung abschliessen will, sollte sich bewusst sein, dass die Versicherer einen gewissen Reifegrad bei der IT-Sicherheit voraussetzen. Zudem sind je nach Unternehmensgrösse bestimmte Mindestselbstbehalte eingeführt worden und das Prämienniveau ist in der letzten Zeit weiter gestiegen. Verständliche Schritte, blickt man auf das stark angestiegene Risiko für einen Versicherungsfall aufgrund einer erfolgreichen Cyberattacke.

Ob Versicherungen auch in Zukunft bereit sein werden, entsprechende Risiken abzusichern, ist offen. Zwar wird aktuell ein Rückgang der durchschnittlichen Ransomware-Zahlungen verzeichnet und die Unternehmen investieren kontinuierlich in die Verbesserung der technologischen Massnahmen. Gleichzeitig ermöglichen künstliche Intelligenz oder Quantencomputing ganz neue Angriffsmethoden. Wie schnell diese Technologien für die Verteidigung nutzbar sein werden, muss sich dann jeweils zeigen.

Dieser Beitrag ist erstmals am 2. März 2023 erschienen im HZ Insurance Special «Cyber Risk» unter dem Titel «Cyberrisiken clever absichern».