Darum gehts
- Effektiver Cyberschutz und wirtschaftliche Effizienz müssen klug ausbalanciert werden.
- Präventive Massnahmen und regelmässige Tests sind entscheidend für die Cybersicherheit.
- Cyberversicherungen können sinnvoll sein, ersetzen aber kein umfassendes Risikomanagement.
Das eigene Risiko zu erkennen, ist der erste Schritt in einem effektiven Risikomanagement. Vielen Unternehmen ist bewusst, dass Cyberattacken ein Risiko darstellen. Nur: Gerade auch Massnahmen zur Stärkung der Cybersicherheit können sich negativ auf die wirtschaftliche Effizienz auswirken. Hohe Kosten, eine Verlangsamung der Arbeitsprozesse oder die Einschränkung bei der Technologienutzung sind einige Beispiele dafür. Bereits aus dem Mittelalter wissen wir, dass eine schwere Rüstung zwar einen hohen Schutz bietet, aber die Bewegungsfreiheit und Agilität stark einschränken kann. Die Kunst ist es, die richtige Balance zwischen effektivem Schutz und wirtschaftlicher Effizienz zu finden.
Ausrichtung auf potenzielle Verluste
Dies führt zum nächsten Schritt im Risikomanagement: die Quantifizierung der Risiken. Die Schutzmassnahmen sollten auf die potenziellen Verluste ausgerichtet sein. Dabei muss der Fokus umso höher sein, je kritischer ein Bereich für den Geschäftserfolg ist. Zu klären ist, welche Produktlinie und welche IT-Systeme zentral für die Weiterführung des Betriebs sind. Welcher Schaden kann dem Unternehmen entstehen, wenn der Betrieb einer wichtigen Produktionslinie zum Beispiel für eine Woche stillsteht? Um das zu beantworten, empfiehlt sich eine Analyse der Geschäftsprozesse, allenfalls unter Bezug von Experten. Eine solche Prüfung sollte regelmässig wiederholt werden, um bei einer veränderten Grundlage auch die Massnahmen neu auszurichten.
Leotrim Jasiqi, Head of Financial, Executive and Professional Risks (Finex) Switzerland, WTW
Prävention finanziell von hohem Wert
Präventionsmassnahmen können sich im Ernstfall wirtschaftlich positiv auswirken. Das Schreckszenario «Ransomware» kann jedes Unternehmen treffen. Wird eine Gesellschaft unvorbereitet attackiert, ist es möglich, dass sie sich von einem solchen Angriff nicht mehr erholt. Zahlt das Unternehmen kein Lösegeld, riskiert es einen Betriebsunterbruch. Umso wichtiger ist es, sich auf solche Szenarien vorzubereiten und den Umgang damit zu üben. Jede Organisation sollte über Back-ups, einen Incident-Response- und Business-Continuity-Plan verfügen und diese Instrumente vor allem auch regelmässig testen. Im Ernstfall zählt jede Sekunde.
Cyberversicherung zunehmend ein «Enabler»
Zuletzt ist auch der Abschluss einer Cyberversicherung im Sinne einer Risikoabwälzung prüfenswert. Sie kann die wirtschaftlichen Folgen eines Hackerangriffs abfedern. Dabei lohnen sich Investitionen in die Prävention bereits beim Versicherungsabschluss. Das Unternehmen verbessert damit sein Risikoprofil, sodass mehrere Versicherer bereit sind, attraktivere Konditionen zu bieten. Ohne Investitionen in die IT-Sicherheit wird kein Versicherungsabschluss möglich sein. Gewisse Geschäftspartner oder Kundinnen verlangen vermehrt auch Zertifizierungen, die eine gute Cyber-Security belegen sollen. Auch hier können sich Investitionen in die Sicherheit als «Enabler» für die Geschäftsentwicklung herausstellen.
Aber: Eine Versicherung darf nicht als alleinige Lösung im Risikomanagement verstanden werden. Einen Reputationsschaden, der zum Beispiel durch geleakte Daten entsteht, kann auch die Versicherungsgesellschaft nicht verhindern. Fachpersonen können in der Struktur und dem Aufbau individueller Versicherungsbausteine helfen. Es gibt viele Optionen, um grosse Einsparungen zu erzielen. Erfreulicherweise entwickelt sich der Markt für Cyberversicherungen positiv. So bieten Versicherer zunehmend günstigere Prämien und flexiblere Konditionen. Zudem sind die Bedingungen mittlerweile ausgereifter und ein gewisser Marktstandard hat sich etabliert.
Abschliessend gilt generell: Die im Risikomanagement getroffenen Massnahmen müssen laufend überprüft und falls notwendig aktualisiert werden.
