Unter der überwiegenden Mehrheit der Experten besteht Konsens, dass die Entwicklung der letzten Jahre im Bereich der Cyberrisiken und der Cyberkriminalität erst den Beginn einer grossen Bedrohung darstellt. Ebenso ist klar, dass trotz der hohen Investitionen in die IT-Sicherheit und der regelmässigen Sensibilisierung der Mitarbeitenden ein hundertprozentiger Schutz nie erreicht werden kann. Die kriminelle Energie und Dynamik der Angreifenden sowie die massiv zunehmende Vernetzung und Komplexität von Systemen sind nur zwei Gründe dafür. Für Unternehmen stellt sich bei dieser Ausgangslage konkret die Frage nach den unternehmensspezifischen Cyber-Restrisiken. Diese lassen sich heute berechnen und passgenau nach Branche und Grösse in den Versicherungsmarkt transferieren.
Unternehmen wollen Transparenz zu finanziellen Cyber-Restrisiken
Best Practice aus heutiger Sicht kann man vereinfacht wie folgt zusammenfassen:
- die technische IT-Sicherheit kontinuierlich optimieren
- Datenschutzkonformität herstellen und erhalten
- sich in der IT und in dem Geschäftsbetrieb auf den Ernstfall vorbereiten (BCM und Krisenmanagement)
- die Mitarbeitenden kontinuierlich sensibilisieren, sowie
- im Rahmen des Cyber-Risikomanagements das finanzielle Cyber-Restrisiko regelmässig quantifizieren und bei Bedarf transferieren.
Im letzten Schritt der ganzheitlichen Behandlung von Cyberrisiken sollten sich Unternehmen den Cyber-Restrisiken bewusst werden. In der Praxis hat sich gezeigt, dass der im Funk RiskLab entwickelte Cyber Risk Calculator (Funk CRC) die Unternehmensleitung wirksam in diesem Prozess unterstützt. Auf Basis konkreter unternehmensspezifischer Informationen werden Schadenswerte ermittelt (Betriebsunterbruch, Kosten für Wiederherstellung, Rechtsberatung und Forensik sowie realistische Diebstahl- und Erpressungssummen usw.). In einem Cyber-Risikodialog werden die Resultate zusammen mit der Unternehmensleitung detailliert überprüft und gegebenenfalls noch angepasst.
Die Unternehmensleitung erhält so eine Entscheidungsgrundlage ob - und wenn ja - zu welchen Konditionen die CyberRestrisiken in den Versicherungsmarkt transferiert werden können. Diese letzte Meile ist für die Verantwortlichen elementar. Nur so kann im Schadenfall dargelegt werden, ob das Management die Prozesse im Rahmen des Risikomanagements vollständig abgearbeitet hat und der Entscheid «Versicherung – ja oder nein» gut dokumentiert wurde.
Die Erfahrung der letzten Jahre zeigt, dass der Zeitaufwand für Unternehmen für diese letzte Meile in der Regel in engen Grenzen gehalten werden kann. Auf Basis von zwei Fragebögen werden die benötigten Daten erhoben und die relevanten Entscheidungsgrundlagen in maximal zwei Sitzungen erarbeitet.
Eine aktuelle Studie der gfs zeigt auf, dass knapp die Hälfte der befragten Firmen Geschäftsgeheimnisse und drei von fünf Firmen personenbezogene Kundendaten verwalten. Dies sind schützenswerte Daten, die im Rahmen der neuen Gesetzgebung besonderer Behandlung und besonderen Schutz bedürfen. Datenschutz ist damit zu einem Verwaltungsratsthema geworden. Dabei geht es nicht nur um die Reputation des Unternehmens - verstärkt steht auch die Reputation der einzelnen Verwaltungsräte respektive der Geschäftsleitungsmitglieder selbst im Fokus. Die aktuelle Verschärfung der Datenschutzgesetzgebung hat aber auch zur Sensibilisierung beigetragen. Die vorgesehenen Strafen bei fahrlässigem oder gar vorsätzlich destruktivem Umgang mit Daten, können für Unternehmen schmerzhafte finanzielle Folgen haben.
Bei Cyber-Versicherungen sind Standardprodukte ebenso wenig zielführend wie pauschale, undifferenzierte Versicherungssummen. Umfassende und kundenfreundliche Versicherungslösungen für Unternehmen sind zwar erhältlich, grundsätzlich jedoch nur für Unternehmen mit guter Cyberfitness.
Prüfenswerte Versicherungslösungen haben aufgrund der Erfahrung von Funk sowohl Versicherungs- als auch Serviceelemente. Bei den Versicherungselementen ist darauf zu achten, dass nicht nur klassische Schäden durch Cyberkriminalität (Diebstahl, Erpressung etc.) gedeckt sind, sondern auch Schäden, die durch unsachgemässe Bedienung von Steuerungssystemen durch eigene Mitarbeitende entstanden sind. Ebenso ist es zunehmend von Bedeutung, dass auch Cloudlösungen in der Versicherungsdeckung eingeschlossen sind, da immer mehr Unternehmen Elemente der IT in externe Clouds auslagern.
Zentrale Serviceelemente beinhalten primär ein gutes verständliches Wording (AVB), welche die Bedürfnisse des Unternehmens in den Mittelpunkt stellen. In diesem Zusammenhang ist die «Beweislastumkehr» von zentraler Bedeutung. Cyberangriffe können komplexe technische Vorgänge darstellen, die selbst umgehend angeforderte Forensiker nur teilweise nachvollziehen können. Mit der erwähnten «Beweislastumkehr» liegt die Beweislast (Cyberangriff ja oder nein) beim Versicherer und nicht beim Kunden. Auch eine bewährte Cyber-Notfallorganisation muss der Versicherer glaubhaft darstellen können. Es geht dabei um organisatorische Elemente (Notfallnummer, Reaktionszeit etc.) sowie die richtigen Partner. Wir legen als Risikoberater und Versicherungsspezialisten Wert darauf, dass auch die bestehenden IT-Security-Partner des Unternehmens im Cyber-Krisenteam eine wichtige Rolle erhalten. So ist sichergestellt, dass lokales Know-how schnell verfügbar ist und nicht unbekannte «Consultants» wichtige Zeit verlieren.
Sollte sich das Unternehmen letztlich für eine Cyber-Versicherung entscheiden, so ist mit dieser Information höchst vertraulich umzugehen. Da Cyber-Versicherungen in der Regel Leistungen bei Erpressung beinhalten, ist die Information bezüglich dem Vorhandensein einer solchen Versicherung nur dem kleinst möglichen Kreis innerhalb des Unternehmens zugänglich zu machen.
- Tradition, Werte und Verantwortung
Rund 140 Jahre erfolgreiche Unternehmensgeschichte, Eigenständigkeit, eine gewachsene Unternehmenskultur und die Fähigkeit zu langfristigem Denken und Handeln prägen das Familienunternehmen Funk in der fünften Unternehmergeneration. In dem Bestreben, Funk als Familienunternehmen zu erhalten und weiterzuentwickeln, setzt Funk auf die Beständigkeit ihrer Werte und auf eine starke Unternehmenskultur. Die Entscheidungen werden mit Blick auf Kontinuität und die daraus resultierenden langfristigen Strategien gefällt.
- Internationalität liegt in der Funk DNA
- Funk in der Schweiz und Liechtenstein