Cyberrisk ist längst kein Phänomen mehr, sondern eine reale Bedrohung. Die Versicherungsbranche betrachtet Cyberrisk, zusammen mit Pandemie, als die zwei grossen Gefahren, welche Wirtschaft und Gesellschaft zukünftig gefährden. Unsere Abhängigkeit zu IT-Systemen, zum Internet, zu externen Servern etc. steigt von Jahr zu Jahr. Wir sind angreifbar, erpressbar und tatsächlich sind in jüngster Zeit vermehrt Hoteliers und auch Gastronomen Opfer von Cyberattacken geworden. Der Versicherungsschutz wird mehr und mehr nachgefragt. Die Integration von Cyberrisk in unsere Pool-Lösung ist daher die logische Konsequenz.
Der Begriff Cyberrisk bezieht sich auf eine Vielzahl potenzieller Risiken, die im Zusammenhang mit der Technologie oder mit Informationen eines Unternehmens stehen. Dazu gehören Identitätsdiebstahl, die Weitergabe von sensiblen Informationen, Betriebsunterbruch etwa nach einem Hackerangriff, Schäden an Datensätzen durch einen Hacker, Diebstahl von wertvollen Daten, die Einführung von Malware und anderen schädlichen Computercodes oder auch Fehler der eigenen Mitarbeiter, die zur Weitergabe vertraulicher Informationen oder der Schädigung der Reputation des Unternehmens führen.
Cyberrisk impliziert aber nicht nur Gefahren an der eigenen IT-Infrastruktur, sondern geht viel weiter und berührt dabei heikle rechtliche Themen aus den Bereichen Datenschutz-, Persönlichkeits- und Haftpflichtrecht. Ein Beispiel hierfür ist die Europäische Datenschutz-grundverordnung (EU-DSGVO), an welches sich auch das schweizerische Datenschutzgesetz (DSG) angleicht. Diese Verordnung besagt u.a., dass Betriebe, die Personendaten von Endnutzern bekommen, für diese Daten auch dann verantwortlich sind, wenn sie an Drittanbieter weitergegeben werden. Für die Hotellerie aber auch immer mehr für die Gastronomie, sind solche Bestimmungen von hoher Relevanz, da zahlreiche Buchungen, inklusive der benötigten Daten, über Onlineportale abgewickelt werden.
Klassische Cyber-Risiken sind:
Ransomware: Hierbei infiziert eine Schadsoftware die Rechner des Opfers und verschlüsselt dort Daten. Dies führt dazu, dass die betroffenen IT-Systeme lahmgelegt werden. Dies kann bspw. für ein Hotel bedeuten, dass von der Reservationssoftware bis hin zur Software für die Verwaltung der Zimmerschlüssel sämtliche Systeme nicht mehr funktionsfähig sind.
Phishing: Hier wird ein «Köder» (bspw. fingierte E-Mail) verwendet, um an das Passwort und/oder andere Informationen des Opfers zu gelangen. Dabei wird meist ein Link zu einer präparierten Webseite mitgesendet, die beim Öffnen entweder direkt Schadsoftware auf den Rechner des Opfers lädt, oder vom Opfer Daten wie beispielsweise Passwörter oder Kontoverbindungen verlangt.
Kreditkartenbetrug: Hier geht es meist um die Verwendung von gestohlenen Kreditkarten-nummern oder das Fälschen von Kreditkartendaten. Die Ausprägungen sind Vielfältig: Mit einer gefälschten E-Mail wird bspw. direkt nach den Daten gefragt oder die Daten werden über eine ungesicherte Webseite gestohlen. Dies kann den Betrieb, aber auch direkt die Gäste betreffen, wenn beispielsweise das System des Betriebs angegriffen wurde.
Insider: Eine oft unterschätzte Bedrohung sind Angriffe durch Mitarbeitende. Die Schaden-erhebungen im Bereich Cyberrisk zeigen auf, dass ein hoher Prozentsatz von Angriffen und Datenabflüssen von internen Mitarbeitenden durchgeführt und/oder zumindest ermöglicht wird.
CEO-Fraud: Hier werden Buchhalter oder andere zahlungsberechtigte Mitarbeitende angewiesen, hohe Summen auf ein fremdes Konto zu überweisen. Dafür täuschen die Angreifer die Identität des CEO vor und verlangen oftmals Verschwiegenheit vom betroffenen Mitarbeitenden.
Versicherbarkeit von Cyber-Risiken
Cyberrisk ist unter den Versicherungsprodukten noch sehr jung. Längst nicht jeder Cyber-Vorfall findet Deckung in aktuellen Versicherungslösungen. Bspw. der oben erwähnte Kreditkartenmissbrauch – das Bezahlen mit gestohlener Kreditkarte – oder CEO Fraud ist typischerweise nicht über eine Cyberrisk Versicherung gedeckt (Katalog mit den generellen Ausschlüssen der Zurich Versicherung > siehe Art. 5 der AVB’s). Ein grosses Problem der Versicherer ist, dass die Schäden aus Cyberrisk kaum verlässlich kalkuliert werden können, da neben direkt zurechenbaren Kosten auch erhebliche nicht direkt messbare Kosten, wie beispielsweise Reputationsverluste oder Erpressungsverhandlungen einfliessen. Mit steigender Schadenerfahrung, werden die Versicherer aber ihre Produkte laufend adaptieren und verbessern. Was dabei klar ist, ist das mit der steigenden Bedrohung von Cyber-Risiken auch die Prämientarife im Versicherungsmarkt fortlaufen einer Erhöhung unterworfen sind.
Um weiter zu lesen, bitte PDF herunterladen
Christoph Brun
Senior Mandatsleiter & Mitglied des Kaders