Tecart BG dunkel

Business Continuity Plan: Cyber-Versicherung gehört dazu

Der Diebstahl von Daten, wie kürzlich bei einem Tochterunternehmen der Hotelkette Mariott , trifft in den Medien meist auf ein immenses Medienecho. Entsprechend werden die Themen Datensicherheit und Cyber-Security in der breiten Öffentlichkeit aufgenommen. Im Rahmen einer Studie haben wir Geschäftsführer und Vorstände befragt, wie sie die Gefahr aktuell und in 5 Jahren einschätzen, Opfer einer Cyber-Attacke zu werden und welche Maßnahmen zur Prävention getroffen werden.

Schreibtisch mit Unterlagen und Laptop Foto: Helloquence auf Unsplash.com

Anfang 2019 werden wir von InPignus unsere Studie zur Cyber-Security veröffentlichen. Im Rahmen dieser haben wir Geschäftsführer und Vorstände befragt, wie sie das Thema Cyber-Security aktuell einschätzen. Überraschenderweise landete die Aktualität des Themas lediglich im Mittelfeld.

Dabei ist das Thema Cyber-Security sehr vielschichtig. Prävention, also die Abwehr der Attacke selbst, ist nur eine Seite des Risikomanagements, das verschiedenste Maßnahmen enthält. Angefangen bei Software- und Hardware-Lösungen (bspw. Virenscanner oder Firewalls) bis hin zu Security Awareness Trainings reicht die Palette der Vorsorge. Bei der Prävention kommt als zusätzlicher Faktor hinzu, dass die immer schneller fortschreitende technische Entwicklung die Abwehr von Cyber-Attacken zu einem “Hase und Igel” Spiel macht. Um effektiv vorzubeugen, müssen Unternehmen mindestens auf Augenhöhe mit den Möglichkeiten und Wissen von Hackern agieren. Dies jedoch ist eine riesige Herausforderung!

Prävention des Ernstfalls bedenken

Es reicht nicht aus, nur vorbeugend tätig zu werden. Zusätzlich zur Prävention muss immer die Nachsorge, also der Fall einer erfolgreichen Cyber-Attacke, durchgeplant werden. Unternehmen sind gut damit beraten, sich nicht auf eine einzelne Maßnahme zu beschränken. Zu den wichtigen Bausteinen zählt neben einem Business Continuity Plan auch eine Cyber-Versicherung.

Ersterer definiert die notwendigen Schritte, um mit den geringsten Auswirkungen die Geschäftstätigkeit fortzusetzen. Dazu gehört beispielsweise, die dafür notwendige Hardware wieder in einen einsatzfähigen Zustand zu versetzen und gegebenenfalls bis dahin Ersatz anzumieten. Auch die schnellstmögliche Wiederherstellung der betroffenen Daten durch die Nutzung von Backups oder durch spezialisierte Dienstleister hat hierbei eine hohe Priorität. Hinzu kommt es, die Schwachstelle, die die erfolgreiche Cyber-Attacke ermöglicht hat, zu finden, zu untersuchen und zu schließen.

Langfristige Schritte sind in einem Business Continuity Plan ebenfalls zu bedenken. So sind einerseits Maßnahmen notwendig, die den Missbrauch der gestohlenen Daten eingrenzen. Je nach Datenart können die Schritte höchst unterschiedlich sein. Handelt es sich beispielsweise um Kreditkartendaten, können Dienstleister mit der Überwachung der gestohlenen Datensätze beauftragt werden.

Genauso gehört eine anwaltliche Beratung für die Einhaltung von Meldepflichten an Datenschutzbehörden und darauf basierende weitere Untersuchungen zum Business Continuity Plan. Zusätzlich zur anwaltlichen Beratung ist auch eine klare Definition der Krisenkommunikation, meist in Zusammenarbeit mit darauf fokussierten Agenturen, sinnvoll. Hierunter können sowohl Anzeigen in Tageszeitungen oder auch Postsendungen zählen, mit denen die Betroffenen über den Diebstahl der Daten informiert werden.

Cyber-Versicherung: Kosten absichern

Die notwendigen Maßnahmen, die durch die erfolgreiche Cyber-Attacke Dritter entstehen, sind für viele Unternehmen eine finanzielle Herausforderung. Hinzu kommen weitere Kosten, wie z.B. Schadenersatzforderungen an das Unternehmen durch Dritte, aufgrund des Missbrauchs der Daten, wegen Verstößen gegen NDAs (Vertraulichkeitsvereinbarungen) etc. Zudem können auch Strafen, die von Behörden als Folge der Cyber-Attacke verhängt werden, weitere Kostentreiber sein. Ein guter Business Continuity Plan berücksichtigt all diese Kostenfaktoren. Mithilfe der Cyber-Versicherung können Unternehmen die finanzielle Sicherheit ihres Business Continuity Plans sicherstellen.

Auf dem Markt existieren unterschiedliche Formen der Cyber-Versicherung:

  • Einzelnes Produkt
  • Zusatzbaustein in anderen Produkten
  • Integriert in branchenspezifischen Lösungen

Daher sind eine genaue Risikoanalyse und darauf basierend die Auswahl des geeigneten Produktes empfehlenswert. Branche, Deckungssummen, Leistungsumfang und viele andere Details der Cyber-Versicherung sind auf das Geschäftsmodell abzustimmen und müssen regelmäßig überprüft werden.