Cyberrisiken – Kann eine Cyberversicherung einen guten IT-Schutz und grundlegende Sicherheitsmassnahmen ersetzen? Christophe Hauert, Geschäftsführer von Cyber-Safe, gibt Ratschläge für KMU und erklärt die Zusammenhänge.
«Wir haben eine Cyberversicherung abgeschlossen. Brauchen wir dann noch das Label Cyber-Safe?» Diese Frage stellen sich oft KMU, die mit Cyberrisiken konfrontiert sind, da der Abschluss einer Cyberversicherung auf den ersten Blick eine relativ einfache Lösung bietet, um sich vor den Folgen eines Cyberangriffs zu schützen. Diese Haltung zeugt jedoch häufig von einem mangelnden Verständnis der Cyberrisiken und der Möglichkeiten, sich dagegen zu schützen – ebenso wie von einer vorschnellen Lektüre der allgemeinen Versicherungsbedingungen.
Die Cyberversicherung spielt eine wichtige Rolle im Management von Cyberrisiken für Unternehmen jeder Grösse, insbesondere für KMU. Angesichts der Zunahme von Cyberangriffen, die zu erheblichen finanziellen Verlusten führen können, deckt eine solche Versicherung bestimmte Kosten, die durch einen Cyberangriff entstehen, wie die Datenwiederherstellung, rechtliche Kosten oder, je nach Versicherungsbedingungen, sogar Betriebsausfälle. Es ist jedoch wichtig zu verstehen, dass eine Cyberversicherung keinesfalls grundlegende Schutzmassnahmen wie die vom Label Cyber-Safe bewerteten ersetzen kann, wie die Installation von Antivirenprogrammen, die Nutzung von Zwei-Faktor-Authentifizierung oder die regelmässige Sicherung von Daten – um nur einige Schutzmassnahmen zu nennen.
Ein kurzer Vergleich mit der Automobilwelt verdeutlicht dies. Jeder Autobesitzer weiss, dass der Abschluss einer Kfz-Versicherung zur Deckung von Schäden im Falle eines Unfalls obligatorisch ist. Aber auch mit dieser Versicherung würde man niemals vergessen, den Sicherheitsgurt anzulegen. Warum? Weil der Sicherheitsgurt im Falle eines Unfalls das Risiko schwerer Verletzungen verringert. Und am Ende möchte man – auch wenn man versichert ist – einen Krankenhausaufenthalt vermeiden.
Genauso verringern grundlegende Cybersicherheitsmassnahmen die Risiken und Auswirkungen eines Cyberangriffs. Sie stellen eine erste Verteidigungslinie dar, die unter keinen Umständen vernachlässigt werden darf. Mit anderen Worten: Auch wenn jemand eine Cyberversicherung abschliesst, um sich finanziell gegen die Folgen eines Cyberangriffs zu schützen, ist es entscheidend, grundlegende Schutzmassnahmen zu ergreifen. Diese Massnahmen erfüllen die gleiche Funktion wie der Sicherheitsgurt: Sie können einen Unfall oder Angriff nicht vollständig verhindern, aber sie verringern die Auswirkungen. Eine solide Datensicherung beispielsweise ermöglicht es einem KMU, schneller wieder auf seine IT-Systeme zuzugreifen, wodurch die Störungen für das Unternehmen minimiert werden.
Es ist daher wichtig, die Rolle der Cyberversicherung im Cyberrisikomanagement zu verstehen: Sie ergänzt, aber ersetzt nicht die grundlegenden Schutzmassnahmen. Die Versicherung verhindert keine Cyberangriffe, aber sie hilft, bestimmte finanzielle und operative Folgen zu bewältigen, wenn solche Angriffe stattfinden. Jedoch deckt eine Cyberversicherung in der Regel nicht die psychologischen Auswirkungen auf die Mitarbeiter oder etwaige Reputationsschäden ab.
Zudem ist zu beachten, dass Cyberversicherungsverträge in der Regel Anforderungen an die Implementierung grundlegender Schutzmassnahmen enthalten. Mit anderen Worten: Um anspruchsberechtigt zu sein, muss ein Unternehmen nachweisen, dass es bewährte Verfahren im Bereich Cybersicherheit umgesetzt hat. Ohne diese Massnahmen könnte der Versicherer die Entschädigung verweigern, da das KMU die Mindestanforderungen an den Schutz nicht erfüllt hat. Selbst mit einer Cyberversicherung bleibt also die Investition in Prävention durch die Implementierung grundlegender Schutzmassnahmen ein notwendiger Schritt. Oder anders gesagt: Die Umsetzung grundlegender Cybersicherheitsmassnahmen ist eine Voraussetzung, um eine Cyberversicherung abzuschliessen, die dann die Schutzmassnahmen ergänzt.
Aus diesem Grund profitieren KMU, die die Anforderungen des Labels Cyber-Safe erfüllen, bei bestimmten Versicherern (zum Beispiel Helvetia oder Allianz) von einem Rabatt auf ihre Cyberversicherungsprämie. Dieser Rabatt belohnt die Präventionsbemühungen, indem anerkannt wird, dass besser geschützte Unternehmen für Versicherer auch ein geringeres Risiko darstellen. Cyberversicherung ist somit keine Alternative zur Umsetzung von Best Practices in der Cybersicherheit, sondern ergänzt diese, wobei beide sich gegenseitig verstärken, um die Widerstandsfähigkeit von KMU gegenüber Cyberbedrohungen sicherzustellen.
Christophe Hauert, Geschäftsführer Cyber-Safe
FĂĽr weitere Informationen:
sgv-usam@cyber-safe.ch
sgv begrüsst Stärkung der Höheren Berufsbildung
Radio- und Fernsehgesetz: sgv enttäuscht von Ständeratskommission
sgv prangert Angriff auf KMU an
Widerstand gegen Nanny-State: Bürger fordern Selbstbestimmung
US-Zölle: Hausaufgaben machen und Handelsdiplomatie intensivieren
KMU brauchen Versorgungssicherheit zu tragbaren Kosten
