Versicherungsbote: In der jungen Sparte Cyber-Absicherung kommen allmählich die Schäden an. Und der Markt reagiert. Prominentes Beispiel ist sicher der Axa-Konzern, der ankündigte, keine Lösegelder für Datenklau als Versicherungsleistung zu erbringen. Ist das erst der Anfang? Werden weitere Anbieter dem Beispiel folgen?

Anzeige

Dr. Hubert BeckerDr. Hubert Becker... ist Managing Partner bei Instinctif und Experte für Krisenkommunikation.InstinctifDr. Hubert Becker: Das Thema Lösegeld ist immer wieder Gegenstand von Diskussionen. Die Kommunikation darüber ist genauso schwierig wie die Frage, ob man Lösegeld zahlen sollte oder nicht. Definitiv kann das nur die ultima ratio sein. Mit Blick auf die Regulatorik und gesetzliche Herausforderungen – Stichwort Geldwäsche und Terrorfinanzierung – rechne ich künftig mit restriktiveren Entscheidungen hierzu. Letztlich ist die Frage, ob man sich auf Lösegeldforderungen einlässt, auch eine Frage der Haltung. Wir haben kommunikativ gute Erfahrungen damit gemacht, hier Rückgrat zu zeigen.
Generell zeigt aber auch unsere Studie „Quo vadis Cyber-Insurance“, dass die Anbieter bei Preisen und Bedingungen einen restriktiveren Weg einschlagen. Der Markt wird zwar weiter wachsen, aber zugleich auch enger werden. Themen wie „Silent Cyber“ und Kumulschäden sind nach wie vor nicht gelöst.

Wie können sich Anbieter positionieren, um erfolgreich am Markt zu werden oder zu bleiben?

Die größten Motivatoren für den Abschluss einer Cyber-Deckung sind weiterhin konkrete Schadenerfahrungen, inzwischen gefolgt von der öffentlichen Berichterstattung über Cyber-Vorfälle. Im Schadenfall brauchen die betroffenen Unternehmen dann schnelle Hilfe. Deshalb sind Assistanceleistungen – also die technische und rechtliche Unterstützung sowie das Krisenmanagement und die Krisenkommunikation – bei Cyber-Vorfällen ein Hauptverkaufsargument für Cyberschutz. Mit einem umfassenden Servicespektrum können sich die Versicherer – aber auch die Vermittler – als kompetente Helfer bei der Lösung von Cyber-Risiken positionieren.

Die Covid-Pandemie wird oft als Digitalisierungstreiber verstanden. Allerdings soll sich durch Homeoffice auch das Cyber-Risiko erhöht haben. Bestätigt das die Instinctif-Studie „Cyber-Insurance 2021“?

Anzeige

Naturgemäß lässt sich der Einfluss der Covid-Krise auf die Nachfrage- und Schadenentwicklung nicht kausal belegen. Aber die Einschätzung der Marktteilnehmer zeigt deutlich, dass sie von einem erheblichen Einfluss der Pandemie bzw. der dadurch verursachten Veränderungen – unter anderem eben auch vermehrtes Homeoffice - auf die IT-Sicherheit ausgehen. So sehen rund 70 Prozent der befragten Versicherer und Vermittler einen Einfluss von Covid auf die Schadenentwicklung. Im Vordergrund dürfte vor allem der deutliche Digitalisierungsschub stehen, der in vielen Branchen die Risikoexposition erhöht hat.
Das schlägt sich offenbar auch in der Nachfrage nach Cyber-Deckungen nieder. 76 Prozent der Versicherer und 89 Prozent der Vermittler gehen davon aus, dass durch Covid die Nachfrage gestiegen ist.

Wo Risiken liegen und Tipps zur Abwehr

Wo liegen die Hauptrisiken für Unternehmen bei einem Cyber-Angriff?

Grundsätzlich muss man zwischen den technischen Risiken, den Datenschutzthemen, den betriebswirtschaftlichen und finanziellen Folgen sowie dem Reputationsrisiko unterscheiden. Letzteres resultiert aus den erstgenannten, ist aber auch ein eigenes Risiko mit Blick auf die Wahrnehmung des Unternehmens als Ganzes, wenn es von einer Cyber-Attacke betroffen ist. Sicherlich ist das ein Grund dafür, dass Unternehmen mittlerweile Reputationsrisiken ganz oben auf der Agenda haben. Finanzielle Folgen lassen sich sicher durch Versicherungslösungen abdecken. Dennoch bleibt eine Betriebsunterbrechung durch IT-Ausfall oder der Verlust bzw. die Kompromittierung von Daten ein massives, operatives Problem. Hinzu kommt, dass bei Hackerangriffen nur schwer einschätzbar ist, wann die Krise wirklich überstanden ist. Gestohlene Daten können auch noch nach langer Zeit auftauchen oder missbraucht werden.

Anzeige

Welche Rolle spielt Krisenkommunikation im Ernstfall?

Wir haben ein Set von sieben Leitfragen entwickelt, um zu einer Ersteinschätzung zu kommen, wie dringlich eine schnelle und klare Kommunikation ist. Das betrifft insbesondere die Frage, inwieweit das betroffene Unternehmen die Kommunikationshoheit behält und nicht erst in eine reaktiv-defensive Situation kommt, die schnell in eine Rechtfertigung abgleiten kann.
Unabhängig davon gibt es aber natürlich in jeder Krise Kommunikationsbedarf. Die Zielgruppen Mitarbeiter und Geschäftspartner sind meist als erste betroffen. Unsicherheit oder gar Gerüchte sind Gift für ein Krisenmanagement – denn um das Problem zu lösen, braucht man ja auch die Mitarbeiterinnen und Mitarbeiter. Und ohne das Vertrauen der Geschäftspartner wird es schwierig, die Krise zu überstehen und wieder zum normalen Geschäftsbetrieb zurückzukehren.
Schweigen oder vertuschen ist deshalb ein großer Fehler. Unternehmen, die Kommunikation herauszögern, haben in der Vergangenheit massiv schlechtere Ergebnisse in der Folgezeit erreicht als Unternehmen, die offensiv mit der Kommunikation umgegangen sind. Das zeigen umfangreiche empirische Studien.

Können Sie Tipps geben, wie sich insbesondere kleinere- und mittelständische Unternehmen auf einen solchen Krisenfall vorbereiten können?

Gerade kleine und mittelständische Unternehmen haben meist weder die IT-Kompetenzen, um mit Attacken professionell umzugehen, noch verfügen sie über krisenerfahrene Kommunikationsabteilungen und die entsprechende Infrastruktur. Gerade deshalb sind Versicherer hilfreich, die neben dem Versicherungsschutz auch ein entsprechendes Assistance-Netzwerk anbieten. Das ist ein echter Mehrwert einer Cyber-Police.
Empfehlenswert ist es aber auch, sich präventiv mit dem „worst case“ zu beschäftigen. Das beginnt mit einer Risikoanalyse, umfasst die Erstellung eines Krisenplans und idealerweise auch einer Simulationsübung. Ein solcher Prozess stellt sicher, dass ein Unternehmen auch dann handlungsfähig bleibt, wenn buchstäblich die gesamte Infrastruktur zusammenbricht – so dass weder die operativen Systeme laufen noch ein Zugriff auf Daten und Akten möglich ist und zugleich Telefonanlage und E-Mail-System lahm liegen. Das klingt nach einem Extremszenario, ist aber total realistisch.
Die Prävention selbst muss gar nicht extrem aufwändig sein. Ein paar „Basics“ helfen oft schon, um die schlimmsten Situationen in der Anfangsphase zu vermeiden. Aber leider laufen solche Projekte oft unter „Prio 3“ – und werden niemals umgesetzt.

Anzeige

Hinweis: Der Text erschien zuerst im Versicherungsbote Fachmagazin 02 /2021.

Seite 1/2/
Auf einer Seite lesen

Anzeige