Daniel Treskow: Die Attacke verhindern kann die Versicherung nicht

Daniel Treskow ist Geschäftsführender Gesellschafter bei FORMAT Kanzlei für Investment & Finanzen GmbH. Mit ihm sprechen wir über Schutz vor Cyberangriffen, Risiken sowie Verringerung einer Eintrittswahrscheinlichkeit.

Durch Cyberangriffe entstehen Kosten von rund 223 Milliarden Euro pro Jahr.  Cyberversicherungen sollen nun allerdings vor Attacken schützen. Was leistet so eine Cyberversicherung und was wird versichert?

Daniel Treskow: Das Cyberversicherungen vor den Attacken schützen stimmt nur bedingt. In erster Linie ist eine Versicherung dazu da, um ein Schadenszenario auszulagern. Die Attacke verhindern kann die Versicherung nicht. Aber zum Leistungsumfang einer Cyberversicherung gehört – und das trifft dann den Kern der Frage – unter anderem, dass sensibilisiert wird für die Problematik der Cyberrisiken.

Unternehmen werden bereits bei Antragstellung dazu verpflichtet, gewisse Basis-Sicherheitsmaßnahmen einzuführen, wenn sie diese bisher nicht hatten. Darüber hinaus ist ein Leistungsbestandteil der Cyberversicherung, dass regelmäßige Schulungen für Mitarbeiter angeboten werden, um die Eintrittswahrscheinlichkeit einer Attacke zu verringern.

Die Cyberversicherung leistet im Schadenfall die Versicherungssumme zzgl. jeder Menge Servicedienstleistungen. So wird z.B. der Rechtsanwalt bezahlt, wenn es sich um einen DSGVO-Vorfall handelt. Der IT-Forensiker, wenn es sich um eine Cyberattacke handelt. Oder es wird eine PR-Agentur eingeschaltet um einen Cybervorfall möglichst optimal zu kommunizieren. Damit unterscheidet sich die Cyberversicherung grundsätzlich von anderen Versicherungen, da hier noch mehr die Unterstützung und der Service im Umgang mit dem Schaden im Vordergrund steht.

Warum könnte solch eine Versicherung für kleine und mittlere Unternehmen wichtig sein? Für wen von diesen ist eine Cyberversicherung besonders attraktiv?

Daniel Treskow: Die Cyberversicherung ist enorm wichtig für jedes Unternehmen, das Daten in elektronischer Form verarbeitet. Insbesondere kleine und mittlere Unternehmen sind im Bereich der Datensicherheit nicht so gut aufgestellt wie internationale Konzerne. Der hauseigene IT-ler macht meist zwar „irgendwas“, aber kaum einer kann behaupten, dass er ein wirkliches Sicherheitskonzept hat. Häufig wird mal hier und mal dort etwas „an der IT“ gemacht. Das reicht für die eigene Sicherheit nicht aus. Dazu kommt noch, dass selbst gut geschützte Systeme nicht 100%ig sicher sein können. Attacken wie Kaseya haben gezeigt, dass z.B. auch die Fernwartungssoftware des eigenen IT-Dienstleisters eine Sicherheitslücke sein kann. Daher ist die Cyberversicherung für jedes Unternehmen attraktiv, das in irgendeiner Form mit IT arbeitet.

Worauf muss beim Abschließen einer Cyberversicherung geachtet werden?

Daniel Treskow: Je nach Größenordnung des gewünschten Versicherungsschutzes sind unterschiedliche Maßnahmen erforderlich, um einen Cyberversicherungsschutz bekommen zu können. Mitnichten ist es so, dass jedes Unternehmen sofort vom Versicherer mit Kusshand aufgenommen wird. Aktuelle Virenscanner werden vorausgesetzt, ebenso wie ein Patch-Management und eine mindestens wöchentliche Datensicherung. Wichtig ist hier, mit dem jeweils passenden Versicherer in einen Austausch zu gehen um dann gemeinsam festzulegen, welche Maßnahmen noch erforderlich sind. Dies ist ja nicht nur gut für den Versicherungsschutz, sondern insgesamt für das Unternehmen häufig sehr lehrreich.

Welche Kosten treten beim Abschließen der Versicherung auf?

Daniel Treskow: Die Kosten einer Cyberversicherung richten sich nach dem Umsatz des Unternehmens, der gewünschten Versicherungssumme und den vereinbarten Selbstbehalten. Dazu natürlich dem gewünschten Umfang der Versicherungsleistung. Zu den absoluten Kosten eine Aussage zu treffen hilft nicht weiter. Dies hängt sehr stark daran, welche Sicherheitsmaßnahmen ein Unternehmen getroffen hat, was noch über den eigenen IT-Service nachzurüsten ist und welche Bausteine konkret abgesichert werden müssen.

Kann man sich mit einer Cybersicherung nur in Gänze schützen oder lassen sich auch Teilbereiche abdecken wie beispielsweise das Online-Banking?

Daniel Treskow: Grundsätzlich ist es kaum vorstellbar, dass ein Versicherer nur einen kleinen Teilbereich eines Cyberrisikos zeichnet. „In Gänze“ ist an dieser Stelle auch nicht ganz korrekt. Die meisten Cyber-Tarife sehen verschiedene Bausteine vor. So können Themen wie Betriebsunterbrechungsschäden, Haftpflichtschäden, Vertrauensschäden oder auch Themen wie Zahlungsmittel gesondert vereinbart werden, die Basis ist aber grundsätzlich ein recht umfassender Schutz gegen Netzwerksicherheitsverletzungen.

Was kann man tun, um Risiken im virtuellen Raum zu minimieren und warum ist eine Prävention so wichtig?

Daniel Treskow: Um Risiken im virtuellen Raum zu minimieren kann man schon im ganz kleinen Anfangen. Z.B. mit der Nutzung eines Passwort-Managers. Nicht selten ist der erste Angriffspunkt ein vielfach verwendetes Passwort, welches ein Cyberkrimineller irgendwo gekauft hat. Nutzt man jedes Passwort nur einmal, besteht dieses Risiko schon nicht. Darüber hinaus sollte man darauf achten, welche E-Mails man öffnet und welche E-Mail-Anhänge man herunterlädt. Hier ist ein sehr hohes Maß an Aufmerksamkeit erforderlich, weil nicht jeder Absender, der vertrauenswürdig aussieht ist es auch wirklich.

Prävention hilft dabei, wachsam zu bleiben und jederzeit zu hinterfragen, ob z.B. die E-Mail nicht doch ein bisschen komisch aussieht. Bin ich mir des Risikos bewusst, dass die meisten Cyberattacken per E-Mail erfolgen, achte ich mehr darauf was ich öffne und was nicht. Habe ich in meinem Unternehmen z.B. technische Voraussetzungen geschaffen, dass bestimmte e-Mailanhänge gar nicht bei mir ankommen können, habe ich schon präventiv gehandelt und bin einer größeren Cybersicherheit schon ein Stück näher.

Herr Treskow, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.