Cyber-Kriminalität gilt heute als eines der grössten operationellen Risiken einer Firma. Entsprechend stieg auch die Nachfrage nach Cyber-Versicherungen in den letzten Jahren stark an. Doch welchen Schutz bieten Cyber-Versicherungen gegen Hackerangriffe? Christoph Guntersweiler, Leiter Technische Versicherungen bei der Helvetia, klärt auf.
SRF: Was ist bei einer Cyber-Versicherung grundsätzlich gedeckt?
Christoph Guntersweiler: Eine Cyber-Versicherung versichert die Daten und Softwares einer Unternehmung. Wenn es also zu einem Cyber-Angriff kommt, deckt die Versicherung alle Kosten, die es braucht, um das ganze System wieder in Gang zu setzten.
Können Sie das anhand eines konkreten Beispiels erklären?
Nehmen wir zum Beispiel ein Verschlüsslungstrojaner. Mit diesem Schadprogramm kann der gesamte Datenstamm einer Firma verschlüsselt werden. Dann steht eine Firma still, es geht nichts mehr. In diesem Fall braucht es zuerst eine saubere Analyse des Vorfalls, um die richtigen Schlüsse zu ziehen.
Danach muss das System frisch aufgesetzt werden, indem alles neu installiert wird aus dem Back-Up. Oft sind dazu Sondereinsätze der IT-Spezialisten notwendig, um so rasch als möglich wieder das System hochzufahren. Und schliesslich können durch den Ausfall des IT-Systems weitere Kosten entstehen, zum Beispiel Betriebsausfälle. Schliesslich kann es durch den Vorfall auch zu einem Reputationsschaden für die Firma kommen. Die Reputation möglichst gut wiederherzustellen, ist mit weiteren Kosten verbunden. All diese Kosten sind im Rahmen einer Cyber-Versicherung gedeckt.
Wie hoch sind die Kosten durchschnittlich bei einem solchen Vorfall?
Bei einem kleineren KMU belaufen sich die Kosten normalerweise im Rahmen von 2000 bis 10'000 Franken. Bei einem grösseren KMU, mit ein paar hundert Mitarbeitern, wo dann bei einem Verschlüsslungstrojaner unter Umständen alle Laptops neu aufgesetzt werden müssen, kann es sich schnell um über 100'000 Franken Schaden handeln.
Gibt es Voraussetzungen, die erfüllt sein müssen, damit eine Firma eine Cyber-Versicherung abschliessen kann?
Ja, die gibt es. Einerseits braucht es organisatorische Massnahmen, die implementiert sein müssen. Dazu gehört zum Beispiel, dass die Mitarbeiter sensibilisiert sind für Cyber-Risiken oder dass die Firma ein sauberes Passwort-Management hat. Andererseits braucht es auch technische Elemente. Beispielsweise ein Back-Up Konzept oder ein Virenscanner. Das ist so ein Grundstandard, der vorhanden sein muss. Dennoch ist es nie möglich, alles abzufedern, da sich die Risikolage schnell verändert. Die Versicherung ist dann das dritte Element, um ein umfassender Schutz zu erhalten und dieses Restrisiko abzudecken. Sie basiert aber darauf, dass bereits eine solide IT-Sicherheitsbasis vorhanden ist.
Momentan arbeiten ja viele Arbeitnehmer im Homeoffice. Wie sieht die Lage aus, wenn über ein privates Gerät eines Mitarbeiters das Firmennetz infiziert wird? Zahlt die Versicherung?
Private Geräte sind Inhalt des Versicherungsproduktes, solange sie für geschäftliche Zwecke genutzt werden. Aber auch da müssen gewisse Rahmenbedingungen erfüllt sein. Auch dieses Gerät muss mit den gängigen Sicherheitsmassnahmen der Unternehmung ausgestattet sein.
Das Gespräch führte Reto Hanimann.
