Publiziert am: Freitag, 6. März 2015

Schutz vor Cyberrisiken?

VERSICHERUNGSRATGEBER – Ein Trojaner hat Schweizer KMU im Visier: Ein Freiburger KMU verlor durch einen Hackerangriff mehr als eine Million Franken. Viele KMU sind nun verängstigt.

Ch. G. aus K.: Wir führen ein KMU und sind aufgeschreckt von einer Mitteilung der Kantonspolizei: Hackern sei es gelungen, ein Schadprogramm zu installieren; sie hätten sich so Zugang zu den E-Banking-Daten eines KMU verschafft. Ein Server des Unternehmens sei manipuliert worden und habe E-Mails mit dieser Malware, einem Trojanischen Pferd, verschickt. Ein Angestellter in der Buchhaltung des Unternehmens habe das E-Mail geöffnet und das Schadprogramm sei ohne sein Bemerken installiert worden. Die Hacker hätten via E-Banking-Daten des Unternehmens mehr als eine Million Franken ins Ausland transferiert. Natürlich haben wir interne Weisungen und Schulungen zum Umgang mit solchen E-Mails. Dennoch können wir nicht ausschliessen, auch einmal Opfer einer solchen Cyberattacke zu werden. Können wir uns gegen dieses Risiko versichern?

Sehr geehrter Herr G.: Cyberrisiken oder Cyberkriminalität sind in vieler Munde, jedoch ohne klare Definition, was damit gemeint ist. In der Regel geht es um Internetkriminalität, also um Straftaten, die auf dem Internet basieren oder mit Techniken des Internets geschehen. Sie sind nicht zu verwechseln mit Computerkriminalität, bei der lediglich ein Computer ohne Internetbenutzung als Tatwaffe eingesetzt wird.

Cyber(schutz)-Versicherungen gibt es in den USA seit etwa zehn Jahren, in der Schweiz aber heute noch nicht flächendeckend.

Zusatzversicherungen für Vermögensschäden

Einzelne Gesellschaften bieten selber teilweise standardisierte Produkte an, andere arbeiten mit Gesellschaften zusammen, die Cyberkriminalität speziell versichern. Diese Zusatzversicherungen existieren auch unter den Bezeichnungen wie Data Protect, Data-Risk oder Hacker-Versicherung.

Bei Ihrem beschriebenen Hackerangriff handelt es sich nicht um einen Sachschaden, weil der Computer keine Beeinträchtigung in der Substanz erleidet. Ohne anderweitigen Vorfall wie zum Beispiel Feuer oder eine Explosion resultiert ein Schaden rein finanzieller Natur. Solche Vermögensschäden können in einer Cyber-Zusatzversicherung versichert werden.

Es empfiehlt sich, intern die Gefahren und Risiken für ein Unternehmen zu bewerten sowie deren Eintrittswahrscheinlichkeit und die Kosten im Schadenfall abzuschätzen. Sollten Sie zum Schluss kommen, dass eine Cyberversicherung für Ihr Unternehmen sinnvoll wäre, wenden Sie sich an Ihren Versicherungsberater. Er beurteilt dann, ob Ihre Versicherungsgesellschaft eine für die Risiken Ihres Betriebes massge-schneiderte Lösung anbieten kann oder ob er Ihnen besser eine solche Deckung über eine Partnergesellschaft vermittelt.

Reputationsschäden noch kaum versicherbar

Nicht zu unterschätzen ist der Reputationsverlust eines Unternehmens durch einen Cybervorfall. Solche Reputationsschäden können die wirtschaftliche Substanz eines Unternehmens langfristig schwächen. Zum Beispiel die Cyberattacke bei Sony Pictures Entertainment vom November 2014: Dabei wurden massive Datenmengen vernichtet und vertrauliche Firmeninformationen gelangten an die Öffentlichkeit. Versicherungen gegen bilanzielle Folgen von Krisen sind allerdings noch nicht marktgängig.

Vgl. auch SGZ vom 20. Februar, S. 18