Cyber/D&O
Cyberversicherung – In drei Phasen zur optimierten Lösung
Sie haben einen Status wie der regelmäßige Blick auf die Wetterkarte erlangt. Besserung ist nicht in Sicht. Parallel werden die Vertriebe von Versicherungsgesellschaften und Versicherungsmaklern in Deutschland nicht müde, auf die Möglichkeit des Bilanzschutzes über eine Cyberversicherung hinzuweisen.
Aber was ergibt wirklich Sinn, und wie erreicht ein Unternehmen das gewünschte Ergebnis? Einigkeit besteht allmählich lediglich darüber, dass die Beschäftigung mit dem Thema Chefsache ist und zu den Grundpflichten aller Unternehmenslenkerinnen und Unternehmenslenker gehört (vgl. § 43 GmbHGesetz/§ 95 AktGes.).
Gute Erfahrungen machen Unternehmen, die diese Herausforderung als Chance begreifen und sich dem Thema mit einem strukturierten Prozess nähern. Dieser wird hier beispielhaft beschrieben. Die Prozessstruktur bleibt dabei immer gleich. Das Risiko und die Lösungen jedoch sind immer individuell und damit nur sehr eingeschränkt benchmarkfähig.
Cyberversicherung – In drei Phasen zur optimierten Lösung
Der Prozess besteht aus drei Phasen:
1. Risiko sichtbar machen (Bestandsaufnahme)
Dies ist der schwierigste Teil der Aufgabe, weil hier erfahrungsgemäß Betriebsblindheit und der geschönte Blick nach innen eine Rolle spielen, die das gesamte Ergebnis in Frage stellen können. Daher ist es empfehlenswert, bereits in dieser Phase auf die Unterstützung von außen zu setzen. Mögliche Partner für diese Aufgabe sind die HiSolutions AG, Perseus Technologies GmbH und Defency Ltd.
Um es klar zu sagen: Ein Alleingang der IT-Leitung im Unternehmen führt in der Regel nicht zu der erforderlichen Transparenz – ihr aktives Mitwirken hingegen ist nicht nur erforderlich, sondern Grundbedingung für den Erfolg. Die in diesem Spannungsfeld erforderliche Moderation ist absolute Chefsache. Die Auswahl einer externen Begleiterin oder eines externen Begleiters stellt eine Entscheidung von besonderer Tragweite dar, wie sich noch zeigen wird. Für diesen Schritt müssen ausreichend Ressourcen eingeplant werden.
Worum geht es bei der Bestandsaufnahme im Einzelnen?
Der gesamte Prozess, vom Warenbezug über die betriebliche Wertschöpfung bis hin zur bezahlten Rechnung für das vom eigenen Unternehmen gelieferte Produkt, muss systematisch auf Schwachstellen für potenzielle Angriffe überprüft werden. Anzutreffende IT-Systeme können folgende sein:
- Zugangskontrollsysteme
- Warenwirtschaftssysteme, inklusive Bestellsystemen, Verwaltung eingehender Waren (Rohmaterial, Zulieferteile sowie Baugruppen) und Steuerung von Lagern bis hin zum Warenausgang bzw. Versandlager
- Buchhaltungssysteme
- Personalverwaltungssysteme
- Fertigungsplanungssysteme (inklusive CAD- und CAM-Systeme)
- Systeme, die für die ordnungsgemäße Zulieferung von Prozessmedien (Strom, Wärme, Pressluft etc.) maßgeblich sind
Eine besondere Rolle kommt allen Arten von Onlineshops zu, mit denen Finalproduzenten ihren Kunden zum Beispiel die Beschaffung von Ersatzteilen erleichtern. Vor allem gilt das für Unternehmen, deren Geschäftsmodell komplett auf solchen Lösungen basiert oder besser gesagt davon abhängig ist.
Bei der Bestandsaufnahme ist es ebenso wichtig, auch turnusmäßige Wartungsarbeiten zu beleuchten. Es stellt sich immer die Frage: Wer hat wann und womit (Technik-)Zugang zu welchen Systemen? Und: Erfolgt der Zugang unter Live-Bedingungen oder in einer „entkoppelten Blase“? Eine Sonderrolle nimmt dabei das Thema Fernwartung ein. Wie sich unschwer erkennen lässt, geht es hierbei vordergründig um den Faktor Mensch. Ihm wird an dieser Stelle noch nicht einmal schlechte Absicht unterstellt. Aber er könnte beispielsweise ein Zulieferteil austauschen, das mehr kann als es darf und können sollte.
Unternehmen, die sich einem Stresstest von außen unterziehen, berichten immer dann von sehr guten Erkenntnissen, wenn diese gesteuerten Testangriffe komplexer Natur sind und sich nicht nur auf Einzelsysteme beziehen.
Was der Erkenntnisgewinn bedeutet, wird in der nächsten Phase beleuchtet.
2. Risiko bewerten
Diese Stufe steht unter der Überschrift „Gefahr erkannt – Gefahr gebannt“. Im Rahmen der Bewertung gilt es, erkannte Gefahren in ihren Auswirkungen einzustufen und dahingehend zu prüfen, inwieweit mit organisatorischen oder investiven Maßnahmen die Situation beherrschbar oder beherrschbarer zu gestalten ist. Die externe Begleitung aus Phase 1 wird auch hier wirkungsvolle Hinweise in oftmals mehreren Optionen geben, die dann vor allem kaufmännisch zu bewerten sind. Selbst bei vollständiger Umsetzung der Maßnahmen bleibt oft ein Restrisiko bestehen. Darüber hinaus wird bei größeren notwendigen Investitionen die Umsetzung oftmals zeitlich gestreckt in mehreren Etappen erfolgen. Damit bleibt das Unternehmen auch in der Zwischenzeit angreifbar. Es empfiehlt sich daher auszuloten, inwieweit man als Unternehmen seine verbliebene dauerhafte oder zeitlich limitierte Bilanzbedrohung ganz oder teilweise auslagern kann.
3. Risiko auslagern
Versicherer bieten in Deutschland seit über zehn Jahren Cyberversicherungen an. Überliefert ist: Die erste reine Cyberversicherung ist in Deutschland im Jahr 2011 eingeführt worden. Damals habe das Angebot für den Industriestandort Deutschland nur bedingt gepasst, sagen die Annalen. Es sei, wie bei den Vorbildern aus den USA und Großbritannien, vor allem um Personendaten gegangen. Der Schutz von Personendaten ist ein besonders hohes Gut, welchem nicht zuletzt mit der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) der EU Rechnung getragen wurde. Für den größten Teil der produzierenden Unternehmen ist der Verlust von Personendaten extrem unangenehm. Aber der wesentlich bedrohlichere Schaden resultiert aus allen Arten der Betriebsunterbrechung, deren Ursache eine Cyberattacke ist. Die Versicherungswirtschaft konnte sich bisher noch nicht dazu durchringen, einen Schaden durch eine Cyberattacke mit einem Sachschaden gleichzusetzen. Deswegen ist eine Cyberversicherung für die meisten verarbeitenden Unternehmen mit einem hohen Grad an Digitalisierung von existenzieller Bedeutung, um eine derartige Betriebsunterbrechung abzusichern. Demgegenüber steht nun schon seit Einführung der Cyberversicherung eine Zeichnungskapazität, die mit den Kapazitäten einer Betriebsunterbrechungsversicherung überhaupt nicht vergleichbar – weil wesentlich geringer – ist.
Dazu lässt die zunehmende Zahl entschädigungspflichtiger Cyberattacken die Versicherer aktuell genauer auf ein Risiko schauen. Das spüren derzeit fast alle Kunden weltweit – auch jene, die bereits über mehrere Jahre Cyberpolicen im physischen oder digitalen Versicherungsordner vorhalten.
Die Marktsituation zur Vertragserneuerung und für neue Vertragsabschlüsse per 1. Januar 2022 war von einem Mix aus folgenden Tendenzen geprägt:
- Deckungseinschränkungen oder zumindest der Versuch dazu
- Vertragserneuerung bzw. Neuabschluss nur mit signifikant erhöhten Selbstbeteiligungen
- Vertragserneuerung bzw. Neuabschluss nur mit signifikant erhöhten Prämien
- Einschränkung der Versicherungssumme
- Minimierung der Zeichnungsquoten im Beteiligungsverhältnis
- Risikoablehnung bei aus Sicht der Versicherer zu geringem Risikobewusstsein der Versicherungsnehmer
Um diese Tendenzen abzumildern, empfehlen wir für solide Ergebnisse unbedingt, den Drei-Phasen-Prozess umzusetzen. Einerseits ist der Erkenntnisgewinn der Phasen 1 und 2 teilweise immer noch exorbitant – einschließlich der (kaufmännisch vernünftigen) realisierbaren wirkungsvollen Gegenmaßnahmen. Andererseits macht nur der gut dokumentierte Prozess in den Phasen 1 und 2 die Unternehmen auch dauerhaft für zeichnungsbereite Versicherer interessant, um die Phase 3 zu realisieren. Da sich die IT-Welt rasant entwickelt, ist es nur logisch, dass die Phasen 1 und 2 in regelmäßigen Abständen wiederholt werden sollten. Das wird umso effizienter, je besser die ursprüngliche Auswahl der externen Begleitung getroffen wurde, die auch die Wiederholungsphasen begleiten sollte.
Für den Einkauf des individuellen Versicherungsschutzes steht unser Center of Competence Cyber den Kunden gern mit Rat und Tat zur Seite. Genau an dieser Schnittstelle zum Versicherungsmarkt müssen sich Einkaufsmacht und Fachkompetenz vereinen – dafür stehen wir mit belegbaren Erfolgen bei deutschlandweit bekannten Unternehmen von Mittelstand bis börsennotiert ein.
Unser Einkaufsprozess orientiert sich dabei an den Ergebnissen der Phasen 1 und 2, die wir in Richtung des Anbietermarktes moderieren. Sofern ein derartiger Prozess noch nicht angestoßen wurde, sind wir gern dabei behilflich. Je nach Unternehmensgröße ist ein zeitlicher Rahmen von wenigstens sechs Monaten inklusive aller in und externen Entscheidungsprozesse bis hin zur passgenauen Versicherungslösung erforderlich.
Gibt es Möglichkeiten, den Prozess abzukürzen?
Diese Frage wird uns immer wieder gestellt. Die Antwort darauf ist ein klares JEIN! Je nach Größe und Betriebsart des Unternehmens bieten Versicherer zur Beurteilung der Zeichnungsmöglichkeiten oft sehr komplexe Fragebögen an. Die Beantwortung ist ohne Fachwissen schwierig und nicht ohne Risiko, da der ausgefüllte Fragebogen Bestandteil des Versicherungsvertrages wird. Viele Unternehmen tun sich damit schwer. Spätestens an dieser Stelle stellt sich dann die Frage nach externer Begleitung (und Haftung) erneut.
Eines ist sicher: Nichtstun ist keine wirkliche Alternative!