Die Internet Security Alliance (ISA) hat gemeinsam mit AIG und der Allianz für Cybersicherheit (ACS), einer Initiative des Bundesamts für Sicherheit in der Informationstechnik (BSI), die erste Ausgabe des Handbuchs „Managing Cyber Risk“ veröffentlicht. Ein Leitfaden für deutsche Vorstände und Aufsichtsräte.
Cyber-Risiken sind anderen versicherbaren Risiken zwar sehr ähnlich, stellen die Risikobewertung aber auch vor neue Herausforderungen. Die Wahrscheinlichkeit von einem Erdbeben oder einer Überschwemmung betroffen zu sein, ist beispielsweise relativ gut bestimmbar. Cyber-Vorfälle hingegen sind überwiegend die Folge von geplantem und zielgerichtetem menschlichen Verhalten – und damit das exakte Gegenteil eines Zufallsereignisses. Daher ist die Suche nach Mustern in der Vergangenheit nur eingeschränkt in der Lage, zukünftige Ereignisse vorherzusagen. Diese Besonderheiten müssen im Gesamtrisikomanagement bedacht werden.
Risiken gehen weit über technische und operationelle Risiken hinaus
Die Autoren des Handbuchs beschäftigen sich mit der Frage, ob es einen Weg gibt, vorhandene Cyber-Risiken zu identifizieren und angemessen mit ihnen umzugehen. Das Handbuch „Managing Cyber Risk“ soll die Verantwortlichen dabei unterstützen, die unternehmerische Herausforderung des „Cyber-Raums“ und der damit verbundenen Risiken richtig einzuschätzen.
Nepomuk Loesti, Head of Financial Lines und Client Engagement DACH, fasst die Problematik folgendermaßen zusammen: „Heutzutage beeinflussen Cyber-Themen die geschäftliche Wertschöpfung vieler Unternehmen. Die Risiken gehen weit über technische und operationelle Risiken innerhalb der IT hinaus. Durch die Digitalisierung von Prozessen und strategischen Handlungen ist es wichtig, das unternehmensweite Risikomanagement in strategischer, operationeller und wirtschaftlicher Perspektive fit zu machen.“
Einstellung gegenüber Cyber-Risiken in Frage stellen
Von den verantwortlichen Autoren wurden fünf Prinzipien erarbeitet, die von Vorständen, Geschäftsführern, Aufsichtsräten und Beiräten in Betracht gezogen werden sollten, um den Umgang mit Cyber-Risiken zu verbessern. Loesti vertritt dabei auch die Ansicht, dass „besonders Vorstände und Aufsichtsräte ihre Einstellung gegenüber Cyber-Risiken in Frage stellen und sich dieser Verantwortung bewusst sein müssen.“
Die Idee für dieses Buch basiert auf der US-Version des Cyber-Risk Oversight Handbook, das von der amerikanischen National Association of Corporate Directors entwickelt und von der US-Regierung unterstützt wird. In mehreren internationalen Workshops ist das Handbuch in enger Zusammenarbeit aller Beteiligten auf die europäischen und deutschen Rahmenbedingungen angepasst worden.
Das Handbuch kann hier kostenfrei heruntergeladen werden.
Unser Lesetipp für Sie
Auch in der September-Ausgabe von Versicherungsmagazin werden Cyber-Risiken für Unternehmen thematisiert, vor allem für kleine Handwerksbetriebe. Ein kurzer Blick in den Beitrag mit dem Titel "Cyber-Versicherung: Schutz für kleine Firmen ist eine Herkulesaufgabe":
"Cybercrime, DDOS-Attacken, Viren, Erpressungssoftware – die Liste der digitalen Gefahren wird länger und länger. Mehr als die Hälfte der Unternehmen in Deutschland sind in den vergangenen Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden.
Das ist das Ergebnis der 2017 veröffentlichten Studie des Digitalverbands Bitkom. Ein Cyber-Angriff ist ein gezielter Anschlag auf die Verfügbarkeit, Integrität oder Vertraulichkeit von Daten oder IT-Systemen. Experten schätzen, dass die Opfer in drei von vier Fällen Mittelständler und kleine Firmen sind. „Wenn der Handwerker nicht mehr in seinen Computer kommt, steht heute auch bei ihm der Betrieb fast sofort still“, sagt Sten Musfeld vom Cyberrisik Team der R+V Versicherung. Es könne kaum noch Material geordert oder wichtige Kundendaten abgerufen werden. Wenn ein Virus schon länger im System wütet, sei auch oft ein externes Back-up befallen. ...
In Deutschland ist aber bisher kaum ein Unternehmen gegen Cyber-Attacken versichert. Doch Versicherungsschutz ist längst möglich. Auch kleinere Mittelständler können dann auf Kosten der Versicherer Spezialfirmen anfordern, die das PC-System des betroffenen Kunden wieder in Gang setzen und Viren ausmerzen. Kosten zwischen 25.000 und 300.000 Euro können abgesichert werden. Versicherbar sind Eigenschäden, also die Kosten für die Wiederherstellung von Daten und Programmen nach einem Cyber-Angriff, der Ersatz von Ertragsausfällen oder Mehrkosten sowie die Verluste von Geld und Waren nach einem Computerbetrug."
Quelle: AIG, Versicherungsmagazin (Uwe Schmidt-Kasparek)
Autor(en): Versicherungsmagazin
