Cyberschutzversicherung
Beinahe alle Aktivitäten des täglichen Lebens können heute über das Internet abgewickelt werden. Online-Shopping und Online-Banking sind im Alltag angekommen. Diese Entwicklung trifft aber längst nicht nur auf Privatleute, sondern auch auf Firmen zu. Das Schlagwort Industrie 4.0 verheißt bereits eine zunehmende Vernetzung diverser geschäftlicher Vorgänge über das Internet.
Trotz dieser eindeutigen Entwicklung werden Cyberrisiken immer noch unterschätzt, da sie als etwas Abstraktes wahrgenommen werden. Für kleinere und mittelständische Unternehmen (KMU) kann dies ein gefährlicher Trugschluss sein, da gerade hier Cyberattacken existenzbedrohende Ausmaße annehmen können. So wird noch häufig gefragt, was Cyberrisiken eigentlich sind.
Warum sind Cyberrisiken so schwer greifbar?
Als mehr oder weniger neuartiges Phänomen stellen Cyberrisiken Unternehmen und Versicherungsgesellschaften vor besondere Herausforderungen. Nicht nur die neuen Schadenszenarien sind abstrakter oder noch nicht bekannt. Häufig sind immaterielle Werte durch Cyberrisiken in Gefahr. Diese wertvollen Vermögensgegenstände sind nur schwer zu bewerten.
Obwohl die Gefahr durchaus wahrgenommen wird, unterschätzen viele Firmen ihr eigenes Risiko. Das liegt unter anderem auch an den Veröffentlichungen zu Cyberrisiken. In der Presse finden sich unzählige Berichte von Cyberattacken auf namhafte und große Unternehmen. Den Weg in die Presse finden eben nur spektakuläre Fälle. Die dort genannten Schadenszenarien werden dann für das eigene Unternehmen als unrealistisch eingestuft. Die für die KMU nicht minder gefährlichen Cyberattacken werden nur sehr selten publiziert.
Aufgrund der fehlenden öffentlichen Meldungen von Sicherheitsvorfällen an Sicherheitsbehörden und wegen der fehlenden Presseberichte fällt es schwer, Fakten und Zahlen zur Risikolage zu erheben. Aber ohne diese Grundlage fällt es schwer, in entsprechende Sicherheitsmaßnahmen zu investieren.
Erklärungsleitfaden anhand eines Ursache-Wirkungs-Modells
Häufig nähert man sich dem Thema Cyberrisiko anlass- oder eventbezogen, also wenn sich neue Schadenszenarien wie die weltweite WannaCry-Attacke entwickeln. Häufig wird auch akteursgebunden beleuchtet, wer Angreifer oder Opfer sein kann. Dadurch begrenzt man sich bei dem Thema häufig zu sehr nur auf Cyberkriminalität. Um dem Thema Cyberrisiko jedoch gerecht zu werden, müssen auch weitere Ursachen hinzugezogen werden.
Mit einer Kategorisierung kann das Thema ganzheitlich und nachvollziehbar strukturiert werden. Ebenso hilft eine solche Kategorisierung dabei, eine Abgrenzung vorzunehmen, für welche Gefahren Versicherungsschutz über eine etwaige Cyberversicherung besteht und für welche nicht.
Die Universität St. Gallen hat in ihrer Studie "Cyber-Risk: Risikomanagement und Versicherbarkeit" ein leicht nachvollziehbares Ursache-Wirkungs-Modell für Cyberrisiken aufgestellt:
| I. Nicht kriminelle Ursachen | Erläuterung und Beispiele: |
| Höhere Gewalt | Stromausfall, Brand, Überschwemmung, Sturm |
| Technisches Versagen | Hardware-Versagen, Software-Fehler |
| Menschliches Versagen | Versehentliches Veröffentlichen von Informationen |
|
II. Kriminelle Ursachen |
Erläuterungen und Beispiele: |
| Physischer Angriff | Physischer Datendiebstahl. |
| Hackerangriff | DoS-Attacken, Malware, Keylogger. |
| Erspressung |
Ransom waren, Drohung über Veröffentlichung/Verkauf von Daten/Informationen. |
Die Ursachen sind dabei die Risiken, während finanzielle bzw. nicht finanzielle Verlust die Wirkungen sind. Cyberrisiken werden demnach in zwei Hauptursachen eingeteilt: die nicht kriminellen Ursachen und die kriminellen Ursachen. Beide Ursachen können dabei in drei Untergruppen unterteilt werden.
Nicht kriminelle Ursachen:
Höhere Gewalt
Häufig hat man bei dem Thema Cyberrisiko nur die kriminellen Ursachen vor Augen. Aber auch höhere Gewalt kann zu einem empfindlichen Datenverlust führen oder zumindest die Verfügbarkeit von Daten einschränken, indem Rechenzentren durch Naturkatastrophen wie beispielsweise Überschwemmungen oder Erdbeben zerstört werden. Ebenso Stromausfall.
Menschliches Versagen
Als Cyberrisiken sind auch unbeabsichtigtes und menschliches Fehlverhalten denkbar. Hierrunter kann das versehentliche Veröffentlichen von sensiblen Informationen fallen. Möglich sind eine falsche Adressierung, Wahl einer falschen Faxnummer oder das Hochladen sensibler Daten auf einen öffentlichen Bereich der Homepage.
Technisches Versagen
Auch Hardwaredefekte können zu einem herben Datenverlust führen. Neben einem Überhitzen von Rechnern sind Kurzschlüsse in Systemtechnik oder sogenannte Headcrashes von Festplatten denkbar.
Kriminelle Ursachen:
Hackerangriffe
Hackerangriffe oder Cyberattacken sind in der Regel die Szenarien, die die Presse dominieren. Häufig wird von spektakulären Datendiebstählen auf große Firmen oder von weltweiten Angriffen mit sogenannten Kryptotrojanern berichtet. Opfer kann am Ende aber jeder werden. Ziele, Methoden und auch das Interesse sind vielfältig. Neben dem finanziellen Interesse können Hackerangriffe auch zur Spionage oder Sabotage eingesetzt werden. Mögliche Hackermethoden sind unter anderem: Social Engineering, Trojaner, DoS-Attacken oder Viren.
Physischer Angriff
Die Zielsetzung eines physischen Angriffs ist ähnlich dem eines Hackerangriffs. Dabei wird nicht auf die Tools eines Hackerangriffs zurückgegriffen, sondern durch das physische Eindringen in Unternehmensgebäude das Ziel erreicht. Häufig sind es Mitarbeiter, die vertrauliche Informationen stehlen, da sie bereits den notwendigen Zugang zu Daten haben.
Erpressung
Obwohl die Erpressung aufgrund der eingesetzten Methoden auch als Hackerangriff gewertet werden könnte, ergibt eine Differenzierung Sinn. Erpressungsfälle durch Kryptotrojaner sind eines der häufigsten Schadenszenarien für kleine und mittelständische Unternehmen. Außerdem sind auch Erpressungsfälle denkbar, bei denen sensible Daten gestohlen wurde und ein Lösegeld gefordert wird, damit sie nicht veröffentlicht oder weiterverkauft werden.
Kommentar schreiben