Cyber-Versicherung
SICHER VOR CYBER-RISIKEN
Die Folgen einer digitalen Attacke können enorme Schäden und Kosten verursachen
Cyber-Risiken nehmen stetig zu und verursachen immer mehr Kosten
Vor dem Hintergrund einer wachsenden Digitalisierung und Vernetzung sowie trotz zunehmender Aufklärung vor Cyber-Gefahren und neuer Abwehr-Maßnahmen nach zahlreichen medienwirksamen Hacker-Angriffen: von einer deutlichen Mehrheit der Entscheidungsträger in Wirtschaft und Politik werden unterschiedlichste Cyber-Bedrohungen weiterhin als eines der größten Risiken für die Menschen in Deutschland eingestuft.
77 Prozent der Entscheidungsträger stufen die Gefahr durch Datenbetrug im Internet als hohes Risiko ein. Damit liegt dieses Bedrohungsszenario aus Sicht der Entscheidungsträger seit 2013 konstant unter den Top-3-Risiken für Ihr Unternehmen.
Zunehmende Bedeutung von Cyber-Sicherheit durch Corona-Pandemie
Durch die Corona-Pandemie ist die Bedeutung der Cyber-Sicherheit verstärkt in den Fokus der Öffentlichkeit gelangt. Die Verbreitung der Homeoffice-Arbeit und die starke Vernetzung erhöhen die Angriffsfläche für Cyber-Kriminelle. Um dieser Herausforderung zu begegnen, hat ein Großteil der Entscheidungsträger spezielle IT-Sicherheitsmaßnahmen getroffen. Auch wenn das Risiko, das von Mitarbeitenden im Homeoffice ausgeht, insgesamt als eher gering eingeschätzt wird, bestehen bei einem Teil der Verantwortlichen Zweifel am Risikobewusstsein ihrer Mitarbeiter.
"Der Druck auf Unternehmen und Politik, Cyber-Sicherheit in Führungspositionen zu priorisieren, wächst – auf der nationalen wie auf der internationalen Ebene. Aufsichtsräte, Unternehmens- und Behördenleitungen spielen eine Schlüsselrolle und stehen in der Verantwortung."
Die größten Cyber-Risiken für die Menschen in Deutschland 2021
Komplette Wirtschaft betroffen: Milliardenschäden durch Cyberangriffe
05.08.2021 - Die Zahl der Hackerangriffe auf deutsche Unternehmen ist nach Angaben des Bundesverbandes der Deutschen Industrie so hoch wie nie zuvor. Und sie sei in der Corona-Pandemie weiter gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien.
Cyberangriffe mit Erpressungssoftware spielten dabei eine große Rolle. Der BDI hat deshalb ein Nationale Wirtschaftsstrategie gefordert. Mit der Problematik setzt sich auch die Studie „Wirtschaftsschutz und Cybercrime“ des Branchenverbands Bitkom auseinander, die in Berlin auf einer der Bundespressekonferenz vorgestellt wurde. Demnach werden jedes Jahr Schäden in Höhe von 223 Milliarden Euro verursacht.
Einfallstore für Cyber-Angriffe
Die meisten Cyber-Attacken erfolgen über E-Mails. Kriminelle setzen dabei auf fehlendes Gefahrenbewusstsein der Empfänger
Unter Malware versteht man schadhafte Software, wie Viren, Trojaner oder Würmer. Sie zerstört Dateien oder versendet geheime Informationen. Webbasierte Angriffe hingegen geschehen über den Internet-Browser, zum Beispiel Firefox oder Safari. Hier wird mit unsichtbaren Fallen versucht, die Daten von Besuchern der Website zu stehlen. DDoS-Attacken sind multiple Angriffe auf ein IT-System, das dadurch seine Aufgaben nicht mehr erfüllen kann. Das Datennetz wird gezielt überlastet, die Website bricht unter der Last des Angriffs zusammen und steht nicht mehr zur Verfügung.
Laut der Bitkorn-Studie berichtet jedes fünfte Unternehmen (21 Prozent), dass sensible digitale Daten abgeflossen sind, bei 17 Prozent wurden Informations- und Produktionssysteme oder Betriebsabläufe digital sabotiert. Bei jedem achten Unternehmen wurde die digitale Kommunikation ausgespäht. Angesichts der enormen Schäden sollte man meinen, dass sich gefährdete Unternehmen gegen die unsichtbaren Gefahren wappnen.
Quelle: GDV
Wichtige Fragestellungen für jedes Unternehmen zu Cyber-Gefahren
Ein Unternehmen unterliegt heute mehr denn je dem Risiko der Cyber-Kriminalität. Welche digitalen Systeme werden verwendet, wieviele davon kommunizieren nach außen, wo und in welchem Umfang werden Daten gespeichert ? Diese Fragen müssen bei der Absicherung gegen digitale Bedrohungen im Vordergrund stehen.
Weiterhin wichtig: Welche Schäden können mit welchen Folgen und Kosten für das Unternehmen entstehen? Kann es im schlimmsten Fall zu einer Betriebsunterbrechung mit weiteren Folgekosten kommen? Droht ein Reputationsschaden für das Unternehmen und wie sieht es hier mit weiteren möglichen Folgeschäden aus?
Ein Unternehmen ist gut auf Cyber-Gefahren vorbereitet, wenn diese Kriterien erfüllt sind:
- Das Management ist involviert und Cyber-Sicherheit hat Priorität.
- Verschiedene Stakeholder im Unternehmen haben eine klare Strategie erarbeitet.
- Es gibt einen dezidierten Cyber-Manager bzw. ein Cyber-Team im Unternehmen.
- Das Unternehmen stellt ein adäquates Cyber-Budget zur Verfügung.
- Die Sicherheit innerhalb der Lieferkette wird regelmäßig geprüft und in Verträgen werden KPIs für Cyber-Sicherheit festgehalten.
- Das Unternehmen kann Prozesse verfolgen, dokumentieren und Einflüsse messen.
- Es werden regelmäßig Cyber-Trainings zur Sensibilisierung aller Mitarbeiter durchgeführt.
- Durch simulierte Attacken wird proaktiv die Cyber-Sicherheit getestet.
- Im Unternehmen werden regelmäßig Phishing-Tests durchgeführt.
- Das Unternehmen ist bereit zu lernen, zu reagieren und nach einem Cyber-Vorfall Veränderungen umzusetzen.
- Das Unternehmen ist durch eine Cyber-Versicherung geschützt.
Ein Unternehmen ist akut von Cyber-Gefahren bedroht, wenn diese Ansätze vorherrschen:
x Das Unternehmen beschäftigt sich lediglich ad-hoc mit Cyber-Sicherheit und es gibt keine klaren Verantwortlichkeiten.
x Eine klare Cyber-Strategie existiert genauso wenig wie ein spezielles Budget für Cyber-Sicherheit.
x Es ist eine übermäßige Abhängigkeit von einer Technologie zu beobachten.
x Das Unternehmen reagiert langsam auf Cyber-Angriffe.
x Cyber-Trainings für Mitarbeiter werden nur glegentlich oder lückenhaft durchgeführt.
x Schwachstellen innerhalb der Supply Chain werden nicht evaluiert.
x Cyber-Attacken oder Mitarbeiter-Reaktionen auf Angriffe werden nicht simuliert.
x Die Verantwortlichen im Unternehmen verlassen sich auf herkömmliche Betriebsversicherungen.
Wenn der Ernstfall eintritt...
Was kann eine Cyber-Attacke kosten? Welche Schäden sind tatsächlich abgedeckt?
SZENARIO 1
Diebstahl der Kreditkartendaten eines Online-Shops
Hacker attackieren die Datenbank eines mittelständischen Online-Shops und erbeuten die nicht ausreichend gesicherten Kreditkarten-Daten von 50.000 Kunden.
Hinweis
Das Kreditkartenunternehmen weist den Shop-Betreiber nach festgestellten Unregelmäßigkeiten auf den möglichen Datendiebstahl hin.
Security-Initiative & Betriebsunterbrechung
Nach Bestätigung des Angriffs werden die Ursachen gesucht, die Systeme desinfiziert und gehärtet. Der Online-Shop bleibt währenddessen geschlossen.
| Kosten IT-Forensik | 40.000 Euro |
| Kosten Betriebsunterbrechung | 50.000 Euro |
Kundeninformation und Ersatzkarten
Der Shop-Betreiber muss alle betroffenen Kunden über den Diebstahl ihrer Daten informieren. Alle potenziell betroffenen Kunden erhalten neue Kreditkarten.
| Kosten | 80.000 Euro |
Vertrauenskrise
Die Presse berichtet über den Diebstahl der Kreditkartendaten, der Online-Shop verzeichnet daraufhin einen erheblichen Umsatzrückgang und muss mit gezielter Öffentlichkeitsarbeit gegensteuern.
| Krisenkommunikation | 30.000 Euro |
Aufarbeitung
Die Strafverfolgungsbehörden ermitteln. Das Kreditkartenunternehmen nimmt den Shop-Betreiber für die Ausstellung der Ersatzkarten in Regress.
| Vertragsstrafen | 50.000 Euro |
| GESAMTKOSTEN |
250.000 Euro |
Der Umsatzrückgang ist dabei nicht gedeckt.
SZENARIO 2
Ransomware - Angriff mit Verschlüsselungs-Trojaner
Hacker attackieren die IT-Systeme eines Maschinenbauers. Sie wollen die gesperrten Rechner erst wieder freigeben, wenn sie Lösegeld bekommen.
Angriff
Alle Rechner und die vernetzten Produktionssysteme funktionieren nicht. Auf den Bildschirmen der Steuerungsrechner erscheint lediglich eine Nachricht der Erpresser.
IT-Forensik und Datenwiederherstellung
Nach Rücksprache mit Polizei und Staatsanwaltschaft zahlt das Unternehmen kein Lösegeld. IT-Spezialisten arbeiten mehrere Tage daran, den Trojaner von allen Systemen zu entfernen; anschließend müssen sie alle Daten über Sicherungskopien wiederherstellen.
| Kosten | 80.000 Euro |
Betriebsunterbrechung
Bis die Systeme wieder laufen, kann das Unternehmen nicht produzieren. Die Mitarbeiter aus Fertigung und Verwaltung bleiben zuhause.
| Kosten für 5 Tage | 50.000 Euro |
Information von Kunden und Vertragspartnern
Die IT-Forensiker können nicht ausschließen, dass auch Daten entwendet wurden. Somit wären Betriebsgeheimnisse von Vertragspartnern betroffen, die vorsorglich informiert werden müssen.
| Kosten | 20.000 Euro |
Vertrauenskrise
Der Ruf des Unternehmens nimmt in wichtigen Kundenbranchen Schaden; einige Kunden wenden sich ab und der Umsatz sinkt spürbar.
| Krisenkommunikation | 50.000 Euro |
| GESAMTKOSTEN |
200.000 Euro |
Der Umsatzrückgang ist dabei nicht gedeckt.
Quelle: GDV-Report (Lebenrisiken im Mittelstand 2020)
Sichern Sie jetzt Ihr Unternehmen umfassend ab
Vermeiden Sie hohe Bußgeldzahlungen und die persönliche Haftung der Repräsentanten
Diese Leistungen können Sie im Falle einer Cyber-Attacke erwarten:
Produkt-Leistungen - Alleinstellungsmerkmale
- Weltweite Deckungszusage
- Selbstbehalt nur für die ersten 6 Stunden (statt 12 Stunden)
- Mitversicherung von Mitarbeitern im Home-Office
- Zahlung der Kosten einer Betriebsunterbrechung für max. 360 Tage
- Vorauszahlung von 25 % der Versicherungssumme bei eingetretener Betriebsunterbrechung
- Übernahme von Bußgeldzahlungen bei Datenschutzverletzungen
- Übernahme von möglichen Sachschäden
- Übernahme von Lösegeldzahlungen
- Übernahme des Risikos 'Fake President' (zum Schutz des CEO)
- Übernahme des Risikos Cloud-Ausfall (ohne Sublimit)
- Übernahme des Risikos Cyber-Erpressung (ohne Sublimit)
- Vertrauensschadenversicherung bei einem zielgerichteten Angriff
- D & O Vermögensschadenhaftpflicht inkludiert
Assistance-Leistungen - Alleinstellungsmerkmale
- Schulung und Coaching der Mitarbeiter
- Übernahme der Schadenabwicklung
Kostenübernahme bei Schäden im eigenen Unternehmen
Entstehen Ihrem Unternehmen Schäden durch Hackerangriffe oder weil die Behörde Ihren Betrieb aufgrund von Datenschutzverletzungen vorübergehend schließt, können in der Regel diese Kosten übernommen werden:
- Kosten für die Wiederherstellung der Daten und der Funktionsfähigkeit des Computersystems
- Kosten und den entgangenen Gewinn durch eine daraus entstehende Betriebsunterbrechung
- Kosten für eine Betriebsunterbrechung aufgrund einer behördlichen Stilllegungsverfügung wegen Datenschutzverletzungen
- Informationskosten, wenn Sie Kunden über den Verlust von Daten informieren müssen
- Kosten für die Behebung einer Sicherheitslücke, die für einen Cyber-Angriff ursächlich war
Kostenübernahme bei Schäden, die Dritten entstanden sind
Es wird im Schadenfall zunächst überprüft, ob und in welcher Höhe Sie haftpflichtig gemacht werden können und wehrt unberechtigte Ansprüche ab. Besteht der Anspruch zu Recht, können unter bestimmten Umständen diese Kosten übernommen werden:
- Verletzungen der Vertraulichkeit von Daten, digital und physisch, wenn z. B. ausgedruckte Dokumente gestohlen werden
- Netzwerksicherheitsverletzungen, wenn z. B. von Ihrem Computer aus Hackerangriffe auf Computer Ihrer Kunden gestartet wurden
- Verstößen gegen das Marken-, Persönlichkeits- oder Wettbewerbsrecht in der digitalen Kommunikation
- Vertragsstrafen von Kreditkarten-Unternehmen, die diese verhängen, wenn z. B. die Kreditkartendaten Ihrer Kunden in Ihrem Online-Zahlportal durch Hacking in fremde Hände gelangen
Wichtige zusätzliche Serviceleistungen:
Support und Schadensermittlung:
Im Schadensfall stehen Ihnen die Experten über eine Hotline rund um die Uhr für die Schadens- und Ursachenermittlung zur Verfügung und helfen Ihnen, schnellstmöglich wieder handlungsfähig zu werden. Nach Rücksprache können Sie auch einen externen Datenspezialisten hinzuziehen, der Schadensursache sowie -höhe ermittelt und Sie zu schadensmindernden Maßnahmen berät – auch wenn Sie einen konkreten Verdacht haben.
Hierzu steht Ihnen ein umfassendes Dienstleisternetzwerk zur Verfügung - bestehend aus:
- IT-Forensikunternehmen
- Rechtsanwälten
- Kommunikationsberatern
Krisenkommunikation:
Nach vorheriger Abstimmung werden die Kosten eines Krisenkommunikationsberaters übernommen, um Reputationsschäden zu verhindern oder zu mindern und auf Wunsch wird Ihnen ein geeigneter Dienstleister empfohlen.
Risikoexpertise durch Risk Consulting
Durch Ingenieure mit marktübergreifendem Know-how
Auf Wunsch kostenloser 360° Risk Management Workshop
Lassen Sie sich jetzt zu diesen Themen beraten und sorgen Sie für einen umfassenden Firmen-Schutz