07. September 2021

Versicherung in Zeiten der Ransomware

Blog-bild-24-25

Cyberversicherung // Im Schatten der globalen Coronavirus-Pandemie breitet sich eine weitere Gefahr aus. Weniger beachtet, weist sie aber ähnliche Charakteristika auf und kann alle betreffen: die Ransomware-Epidemie. Die Folgen können verheerend sein und so fragen sich Verantwortliche für Organisationen zunehmend: Können wir uns gegen solche und andere Cyberrisiken versichern?

«Daten sind das neue Öl», dieses Zitat ist weitläufig bekannt. Darin steckt auch schon das Herzstück der Cyberversicherung, denn diese deckt Schäden und Kosten ab, die dadurch entstehen, dass Daten entweder nicht verfügbar sind (Öl resp. Daten sind der «Treibstoff») oder dass schützenswerte Daten gestohlen oder publiziert werden (Öl resp. Daten sind wichtige und wertvolle «Rohstoffe»). Dabei geht die Cyberversicherung gewöhnlich in die Breite und deckt sowohl Eigenschäden als auch Haftpflichtschäden und zusätzliche Dienstleistungen nach einem Cyberschadensfall ab.

Wichtig ist zuerst aber einmal die Frage, was denn ein Cybervorfall im Versicherungssinn ist. Leider gibt es dafür (noch) keinen allgemeinen Standard und jede Versicherung beschreibt die versicherten Ereignisse unterschiedlich. Meistens wird ein Cybervorfall jedoch relativ breit interpretiert und beinhaltet sowohl Informationssicherheitsverletzungen nach einem Angriff von aussen als auch nach Fehlern von Mitarbeitenden. Ein böswilliger Angreifer von aussen ist also nicht zwingend, und in manchen Fällen sind sogar Systemfehler miteingeschlossen.

Eigenschäden
Als Eigenschäden werden alle Schäden oder zusätzliche Kosten zur Schadenbehebung bezeichnet, welche das versicherte Unternehmen selbst betreffen. Im Fall von Cyberschäden sind das vor allem entgangener Ertrag durch Unterbrechung des Betriebs und Wiederherstellungskosten von Daten, aber auch allgemeine Schadenbeseitigungskosten, Ersatz von Hardware oder Lösegeldzahlungen. Im Fall einer erfolgreichen Ransomware-Attacke können mehrere Eigenschaden-Komponenten zum Tragen kommen:

  1. Im betroffenen Unternehmen steht die Produktion für mehrere Wochen still, Kunden können nicht beliefert werden und der Umsatz fällt weg, während weiterhin ein grosser Teil der Produktionskosten anfällt.
  2. Für die Wiederherstellung der Daten fallen erhebliche Kosten eines spezialisierten IT-Dienstleisters an; nicht alle Daten können wiederhergestellt werden, so dass

  3. das Unternehmen sich nach Abwägung aller Faktoren doch dafür entschliesst, das Lösegeld zu zahlen.

All das sind Beispiele für Schäden, welche oft im Deckungsumfang einer Cyberversicherung enthalten sind. Dabei ist zu beachten, dass die Zahlung von Lösegeld nicht in allen Ländern rechtens ist, strengen Auflagen unterliegt und generell nur als letzter Ausweg in Betracht gezogen werden sollte. Eine anschauliche Schilderung einer Ransomware-Attacke können Sie im Artikel «From Kitchenware to Ransomware» nachlesen (s.u.).

Haftpflichtschäden
Haftpflichtschäden tauchen überall dort auf, wo das versicherte Unternehmen eine dritte Partei schädigt. Auch hier kann Ransomware wieder einschlagen, zum Beispiel wenn die Cyber-Kriminellen den Druck auf das Unternehmen erhöhen und schon im Vorfeld der Lösegeldforderungen vertrauliche Kundendaten abziehen. Wird dieser Drohung nachgekommen, kann das erpresste Unternehmen in rechtliche Schwierigkeiten geraten. In diesem Fall deckt die Cyberversicherung die Haftpflichtansprüche der Kunden ab und übernimmt die oft sehr hohen Verteidigungskosten.

Andere Haftpflichtschäden können beispielsweise dort entstehen, wo über das firmeneigene Netzwerk Schadsoftware an Dritte übertragen wird und diesen Schaden zufügt, oder wenn versehentlich Persönlichkeitsrechte verletzt werden. Auch in diesen Fällen übernimmt die Cyberversicherung die Haftpflichtzahlungen und die Verteidigungskosten, sofern diese Deckungsbausteine in der Cyberpolice vorhanden sind.

Zusätzliche Dienstleistungen
Cyberversicherer übernehmen nicht nur Kosten zur Beseitigung von entstandenen Schäden, sie arbeiten auch häufig direkt mit Incident-Response-Anbietern zusammen, deren Dienstleistungen im Ernstfall dem versicherten Unternehmen zugutekommen. Das kann in einer Krisensituation wie einer laufenden Ransomware-Attacke von unschätzbarem Wert sein. Häufig angebotene Dienstleistungen sind hierbei IT-forensische Analysen, rechtliche Unterstützung durch spezialisierte Anwaltskanzleien oder das Aufsetzten und Betreiben eines Call-Centers zur Information der von einem Datendiebstahl betroffenen Kunden. Auch präventive Leistungen, wie Zugang zu Cyber-Trainings oder Hilfestellung bei der Ausarbeitung von Notfallplänen sind in manchen Cyberversicherungen enthalten.

Grenzen der Deckung
Einige Auswirkungen von Cyber-Vorfällen, wie direkte Reputationsschäden oder Diebstahl von geistigem Eigentum, findet man selten oder nie im Deckungsumfang gängiger Cyberversicherungen. Das liegt vor allem daran, dass diese Auswirkungen schwer quantifizierbar und damit eigentlich nicht versicherbar sind. Leidet also die Reputation eines Unternehmens aufgrund einer erfolgreichen Ransomware-Attacke, wird nicht der Reputationsschaden selbst bezahlt. Allerdings kann mithilfe von spezialisierten Krisenmanagerinnen und -managern und PR-Unterstützung ein grösserer Reputationsschaden abgewendet werden. Diese Dienstleistungen sind häufig in der Cyber- Police enthalten. Wichtig sind auch etwaige Ausschlüsse, zum Beispiel Kriegs-Ausschlüsse oder spezifische Obliegenheiten (Pflichten des Versicherten), die ebenfalls in der Police festgelegt sind.

Drum prüfe, wer sich ewig bindet…
Der Abschluss einer Cyberversicherung ist zwar keine Ehe und gewöhnlich auf ein Jahr beschränkt und dann erneuerbar, dennoch lohnt es sich, dem Rat Schillers zu folgen. Versicherung ist kein Ersatz, sondern ein Bestandteil des Risikomanagements: Jedes Unternehmen sollte sich also überlegen, welche Schadenszenarien infrage kommen, wie die Risikomanagement-Massnahmen das Risiko vermindern und wie hoch der Risikoappetit ist (d.h. wie hoch der höchste zu erwartende Schaden sein darf, der aus der eigenen Tasche gezahlt werden kann). Daraus lässt sich dann ableiten, wieviel Versicherungsschutz benötigt wird. Hat man diese Überlegungen angestellt, fällt es auch leichter, verschiedene Versicherungspolicen miteinander zu vergleichen. Nicht nur das Unternehmen trifft eine Entscheidung zur Versicherung, auch die Versicherung überlegt sich, ob sie einem Unternehmen eine Cyberdeckung anbieten möchte. Im Underwriting-Prozess wird sowohl die Cyberexposition sowie die Risikoqualität beurteilt. Diese Beurteilung hilft bei der Entscheidung eine Police anzubieten, wird aber auch in die Preisberechnung mit einbezogen. Das heisst im Allgemeinen: Ein besseres Cybersicherheitsmanagement wird gewöhnlich durch eine günstigere Prämie belohnt. Wer sich genauer dafür interessiert, kann das im Artikel «Underwriting von Cyberrisiken: Ein Rezept» (s.u.) nachlesen.


Maya Bundt

Maya Bundt leitet Cyber Solutions bei der Swiss Re, ist Mitglied des Global Future Councils for Cybersecurity des WEFs und des Cybersecurity Komittees von digitalswitzerland. Ausserdem ist sie Verwaltungsrätin bei Valiant und APG.