Cybercrime: Großschaden-Risiko wird unterschätzt
„Das bedeutet, dass im Falle eines Hackerangriffs ein betroffenes Unternehmen sehr oft völlig überfordert ist und die Kosten der Schadensbehebung existenzgefährdend sein können“, betont Johann Mitmasser, Obmann der WKOÖ-Fachgruppe der Versicherungsmakler und Berater in Versicherungsangelegenheiten. Je intensiver ein Betrieb von der EDV abhängig ist, umso höher wird ein Cyber-Schaden ausfallen. Das trifft Produktionsbetriebe genauso wie Dienstleister. Für erstere werden hohe Kosten durch beschädigte Produktionsanlagen und deren Ausfall entstehen, für andere Betriebe wird der Diebstahl von - eventuell sensiblen - Daten und deren Veröffentlichung extreme Kosten verursachen. Auch ist es für gehackte Unternehmen ohne funktionsfähige EDV kaum möglich, binnen vier Tagen einen umfangreichen Bericht mit Analyse und Maßnahmen zur Unterstützung der betroffenen Kunden an die Datenschutzbehörde zu übermitteln.
Spezialisten sind nötig
Die IT-Abteilung eines Unternehmens wird im Schadensfall Spezialisten zur Analyse sowie Schadensbehebung benötigen und bei der Bewältigung aller Folgen zur Seite stehen. Nicht nur die IT ist wieder in Funktion zu bringen, auch die Datenschutzbehörde ist zu informieren, ebenso Kunden nachweislich über Ausmaß des Datenmissbrauchs und geeignete Maßnahmen zur Risikobewältigung, zudem muss die Öffentlichkeit sachlich informiert werden, um das Schadenausmaß möglichst gering zu halten und Strafen zu vermeiden. Dazu reichen die Kapazitäten eines Unternehmens selten.
Wie kann man sein Unternehmen richtig versichern?
„Schäden durch Cyber-Angriffe sind in konventionellen Versicherungspolizzen nicht versichert“, so Mitmasser, der eine Kombination folgende Versicherungsbausteine empfiehlt:
- Eigenschaden: Wiederherstellung der EDV samt Daten sowie Produktionsmittel, Erpressung, Reputationsschaden, Betriebsunterbrechung, Vertrauensschadendeckung.
- Schaden an Dritten: Deckung von Haftungsansprüchen Dritter, Abwehr unberechtigter Ansprüche, Versicherungsschutz für unverschuldete Haftungen in Sachen Datenschutz.
- Soforthilfe nach Hackerangriffen, Koordination mit Spezialisten eines Netzwerkes, Vorsorge für Cyberfälle – vor allem Bewusstseinsschulung der Belegschaft.
Es sollten alle verbundenen Unternehmen mitversichert werden. Eine Cyber-Schutz-Versicherung ist auf bestehende Polizzen abzustimmen, die Versicherungssumme sollte ausreichend dimensioniert werden. Die Prämien richten sich vorrangig nach Umsatz und Branche und sind jedenfalls bezahlbar. Ein nicht versicherter Schaden ist wesentlich teurer.