04 Feb Homeoffice als Einfallstor
Last Updated on 2021-02-05
boersen-kurier.at / Manfred Kainz, 28.01.2021
Cyberkriminelle stellen vor immer neue Herausforderungen – das Homeoffice als Einfallstor.
Die Abhängigkeit von Datenverarbeitungssystemen nimmt in allen Branchen rasant zu – und damit auch das Schadenspotential durch Cyberattacken. Und Homeoffice – zigtausende Mitarbeiter dezentralisiert in unterschiedlichen IT-Infrastrukturen – öffnet dabei weitere Einfallstore für Cyberangriffe. Ein Teil der Risikobewältigung kann über eine Versicherung gegen Cyberrisiken erfolgen. Allerdings ist das Angebot an derartigen Versicherungen für Nichtexperten neben ihrem Tagesgeschäft schwer überschaubar und der Zugang zu praktischen Informationen schwierig. „Für Interessenten ist oft nur mühsam durchschaubar, ob das Produkt oder das Verkaufsinteresse des Anbieters die Darstellung dominiert“, formuliert es Arthur Zukal, Geschäftsführer des „ReTurn – Forum für Restrukturierung und Turnaround Management“. Daher hat ein ReTurn-Webinar für seine Mitglieder das Thema nun produktunabhängig und objektiv behandelt.
Niemand gefeit
Was Cyberattacken so gefährlich macht: Es kann jeden treffen. Denn die meisten Attacken sind „Massenangriffe“, die – „gestreut wie virtueller Schrot, das in das World Wide Web fliegt“- auf Lücken in der Absicherung abzielen, warnt Harald Neuberger, Geschäftsführer der Versicherungsberatungs-Gesellschaft m.b.H. (VSB) und beeideter & gerichtlich zertifizierter Sachverständiger. Kein Trost ist, dass ganz gezielte Angriffe auf Einzelne eher selten sind, dafür aber hochspezialisiert, wo es um Ausspionieren von Wertvollem gehen kann („Digitaldiebstahl“). Denn auch Kleinunternehmen können interessante, sensible Inhalte haben.
Risikocheck
Bevor man eine Cyberversicherung abschließt, sollte man sich einige Fragen stellen, um die eigene Risikosituation zu prüfen, empfiehlt der Sachverständige: „Besitze ich sensible Daten (und wenn, ja welche), deren Verlust hohe Kosten und/oder Schadenersatzforderungen nach sich ziehen kann? Sind Kreditkartendaten (deren Verlust mit Strafen belegt ist), Gesundheitsdaten oder ähnliches gespeichert? Welcher Imageschaden entsteht mir in Folge einer Cyberattacke?“ (Anm.: Ein ramponiertes Image am Markt kann viel Geld kosten.) Weiters: Wie rasch und zu welchen Kosten kann der Betrieb wieder ins Laufen kommen? Und wie lange kann ein Betriebsstillstand andauern?
Hybrid
Eine Cyberversicherung ist eine „Hybridversicherung“, die einerseits Risiko (für Daten, Software und digitales Gut) und andererseits Schäden (durch Malware, Trojaner, Viren, Spyware, Denial of Service-Angriffe) deckt, so Neuberger. Sie ist eine Kombination aus Haftpflichtversicherung, Datenversicherung und Betriebsausfallversicherung (für den Ertragsverlust aus dem Stillstand aufgrund einer Cyberattacke). Die Haftpflicht deckt neben Schäden von Dritten auch Kosten für die Abwehr von ungerechtfertigten Schadenersatzansprüchen. Voraussetzung ist aber, dass man gewisse Dinge erfüllt, wie regelmäßige Datensicherung, regelmäßige Passworteänderung und Prüfung der Netzwerksicherheit. Jede Assekuranz hat da ihre Vorgaben für Sicherungs- und Vorsorgemaßnahmen vor einem Versicherungsabschluss. Bei Nichterfüllung gibt es keine Polizze oder sie wird sehr teuer. Daher rät der Experte, vor Versicherungsabschluss die Vorbeuge- und Sicherungssysteme „aufzupimpen“. Erst wenn der Aufwand dafür so hoch wird, dass es unrentabel ist (und ein Restrisiko bleibt), ist eine Cyberversicherung eine gute Wahl.
Bausteine
Dann geht es um die Zusammensetzung der Deckungs- „Bausteine“: Haftung, Reparatur/Wiederherstellung, Krisenmanagementkosten, Forensik, Rechtskosten, Strafzahlungen, Betriebsausfallskosten, Kosten für PR-Aktionen, Verluste aus Cyberdiebstahl (Wertpapiere/Dokumente, hochpreisig verwertbare Daten etc.), eventuell Lösegeld (in manchen Produkten inkludiert).
Was nicht geht
Aber es gibt auch einige Dinge, die nicht versicherbar sind, sogenannte „Ausschlüsse“: Ansprüche Versicherter untereinander und von verbundenen Unternehmen, Vorsatz und wissentliche Pflichtverletzung, Schäden aufgrund Störungen in öffentlicher oder privater Infrastruktur (wie Strom- oder Wasserversorgung), Erfüllungsschaden/Garantiezusagen/Vertragsstrafen, hoheitliche Eingriffe, Finanzmarkttransaktionen, rechtswidrige Datenerfassung, Patent- und Kartellrechtsverletzungen – und Glücksspiel.