Fragen an Markus Dumsch, Inhaber der Allianz Hannemann & Dumsch OHG

 

  1. Wo besteht für die Unternehmen bei Cyberrisiken die größte Gefahr? Ist es ein Angriff auf die Produktion, auf Konten oder womöglich ein Shitstorm?

Besonders Schäden durch Kryptotrojaner stechen nach unserer Erfahrung hier hervor. Sie legen nämlich möglicherweise die gesamte Produktion eines Unternehmens lahm. Das sind dann leicht fünf- bis sechsstellige Schadensummen. Aber auch bei Dienstleistern ergeben sich nennenswerte Schäden, wenn Daten aufwendige wiederherstellt werden müssen. Da dieser Bereich die Geschäftsgrundlage vieler Unternehmen bildet, ist die Gefahr besonders hoch anzusetzen.

Die von Ihnen angesprochenen Risiken aus einem Shitstorm in den sozialen Medien nehmen ebenfalls immer stärker zu. Insbesondere für bekannte Marken ist dies ein ernstzunehmendes Risiko, welches sinnvollerweise an einen Versicherer transferiert werden sollte.

 

  1. Wir stehen erst am Anfang der digitalen Entwicklung. Was ist an Cyberrisiken noch zu erwarten?

Das ist bei diesen Risiken ähnlich wie bei den meisten Verbrechen: Es gibt immer Kriminelle, die der Prävention leider voraus sind…

In jedem Fall steigt in der Wirtschaft täglich die Abhängigkeit von und durch digitalisierte Prozesse. Mit jeder technischen Weiterentwicklung ergeben sich neue, heute im Zweifel noch unbekannte Risiken. In manchen Unternehmen ist bereits das komplette Geschäftsmodell technikbasiert. Wenn es hier zu einem Cyberschaden kommt, ist entsprechend auch das gesamte Unternehmen betroffen. Nennenswert sind allerdings auch mögliche Schäden durch datenschutzrechtliche Verstöße. Die DSGVO lässt grüßen. Gute Cyberpolicen bieten hier schnelle Unterstützung bei Schadenbegrenzung zum Beispiel durch Datenschützer, Fachjuristen und externes Krisenmanagement.

 

  1. Ließe sich mit frühzeitiger Aufklärung nicht vieles an Schäden vermeiden?

Tatsächlich ist Prävention extrem wichtig und wird leider noch viel zu oft vernachlässigt. Neben einer grundlegenden Prüfung und ggf. Verbesserung der IT-technischen Voraussetzungen, sind besonders Mitarbeiterschulungen regelmäßige Hinweise auf typische Gefahren und Fehler und Übungen für den Ernstfall zu nennen. Das Cyber-Protect-Partnership-Netzwerk ist hier eine sehr gute Anlaufstelle – sowohl für die Prävention als auch für den Ernstfall, da alle Bereiche durch Partner mit exzellenter Expertise abgedeckt werden.

 

  1. Welche Gefahr besteht für Unternehmen, wenn eng verbundene Geschäftspartner, Anwälte oder Steuerberater gehackt werden?

Zunächst muss festgehalten werden, dass Sicherheitslücken bei verbundenen Dritten bzw. Dienstleistern für den Unternehmer noch viel schwerer erkennbar sind, als dies im eigenen Unternehmen ohnehin schon der Fall ist. Risiken werden damit noch unüberschaubarer. Jedes Unternehmen arbeitet auf vielen Ebenen mit externen Partnern und Dienstleistern zusammen. Ob im Schadenfall die Haftung erfolgreich weitergegeben werden kann und ein Ausgleich erfolgt, kann nicht mit Sicherheit vorhergesagt werden. Insofern sollte die Absicherung von Risiken für das eigene Unternehmen durch einen qualifizierten Versicherer möglichst umfassend erfolgen.

 

  1. In der Branche fordern viele eine Pflichtversicherung gegen Cyberrisiken. Wäre das tatsächlich zum Nutzen der Kunden?

Damit wäre das Risiko – sofern Deckungen nicht begrenzt wären – jedenfalls deutlich minimiert. Richtig ist es allemal, dass sich diese Absicherung   zum notwendigen Standard entwickeln wird. Gleichwohl halte ich eine Pflichtversicherung grundsätzlich für sehr schwierig in der Umsetzung. Die Gefährdungslage der Unternehmen, ihre präventiven Sicherungen und nicht zuletzt die finanzielle Leistungsfähigkeit sind derart heterogen, dass ich mir diesen Weg nicht vorstellen kann. Ich kann mir auch kein Versicherungsunternehmen oder -Konsortium vorstellen, das in der Lage oder bereit wäre, ein solches Risiko zu tragen, das sprengt m.E. jeden Rahmen.

 

  1. Ist die Allianz selbst denn eigentlich ausreichend gegen Hackerangriffe geschützt?

Bei einem Versicherer basiert das gesamte Geschäftsmodell auf einer ausgereiften und hochsicheren IT-Infrastruktur. Finanzdienstleister verarbeiten sehr sensible Daten. Insofern wird bei der Allianz – als einem der größten Versicherer der Welt – dem Bereich des Systemschutzes größtmögliches Augenmerk geschenkt. Hackerangriffe sind bei derartigen Unternehmen leider an der Tagesordnung. Konkret auf Ihre Frage: Wenn ein Unternehmen ausreichend gegen Hackerangriffe geschützt ist, so gehört die Allianz sicherlich dazu. Aus meiner langjährigen Aufsichtsratstätigkeit bei der Allianz kann ich Ihnen zudem sagen, dass die IT-Sicherheit ein alljährlicher, wichtiger Prüfpunkt der Wirtschaftsprüfer zur Risikoreinschätzung ist.

 

  1. Wie genau ist der Ablauf, wenn ich mein Unternehmen mithilfe Ihrer Police gegen Cyber-Angriffe schützen möchte?

Am Anfang steht eine Analyse – jede nach Unternehmensgröße ausgehend von Fragen mit unterschiedlichem Detaillierungsgrad zum Status-quo bis hin zu einem kompletten Audit. Aus den Ergebnissen kann entweder gleich ein Angebot kalkuliert werden oder es gibt Punkte, die verbessert werden müssen, damit das Unternehmen versicherbar ist. Nach Abschluss wird die Police ausgefertigt und unsere Kunden erhalten einen Krisenplan, an dem sich sinnvolles Vorgehen im Schadenfall ablesen lässt und in dem Ansprechpartner benannt sind.

 

  1. Versichern Sie auch kleine und mittelständische Unternehmen?

Selbstverständlich und zwar sehr gerne! Das ist unser tägliches Geschäft. Genau in diesem Segment können wir auch unsere Beratungskompetenz unter Beweis stellen. Es geht eben nicht darum, einfach eine Cyberpolice zu verkaufen. Wir unterstützen Unternehmen dabei, ihre Abwehrmechanismen gegen Cyberattacken zu optimieren UND versichern sie. Hacker bevorzugen ähnlich wie Einbrecher leichte Ziele. Aber auch bei gut geschützten Unternehmen sind Cyberattacken ein nicht zu unterschätzendes Risiko, das abgesichert werden sollte.