Cyberattacken schaffen es immer wieder in die Schlagzeilen. Man denke an WannaCry, Petya oder die erst kürzlich bekannt gewordene Microsoft-Schwachstelle BlueKeep. Hackerangriffe verursachen einerseits enorme finanzielle Schäden, ziehen langfristig allerdings noch viel schwerwiegendere Konsequenzen nach sich. Ein Kommentar von René Schoenauer, Product Marketing Manager EMEA bei Guidewire.
Unternehmen, die einer erfolgreichen Cyberattacke ausgesetzt waren, leiden in der Folge oftmals jahrelang unter Reputationsverlust. Immer häufiger werden Hackergruppen auch mit Staaten und deren Regierungen in Verbindung gebracht.
Cyberangriffe können schwerwiegende Schäden verursachen
Die Auswirkungen derartiger Angriffe auf die Infrastruktur spezifischer Unternehmen können nicht minimiert werden. Sie können vielfältig sein, wie Komplettausfälle von Geldautomaten und Versorgungsanlagen für Wasser, Gas und Strom oder das Lahmlegen von Webseiten von Dienstleistern. Darüber hinaus sind Szenarien denkbar, die digitale Geräte der Medizintechnik beeinträchtigen und direkte Auswirkungen auf Patienten hätten.
Die Haftungsfrage im Schadenfall
Die Behebung solcher Störungen hat die Frage nach versteckten Cyberrisiken in Versicherungspolicen von Unternehmen und anderen Organisationen aufgeworfen. Viele von Unternehmen und anderen Organisationen gemeldete Schäden, die auf Cyberattacken zurückzuführen waren, waren durch bestehende Versicherungspolicen nicht abgedeckt.
Cyberrisiken waren in diesen Fällen kein Bestandteil der Verträge. Zahlreiche, eher unwahrscheinliche Szenarien werden in Versicherungspolicen generell nicht einzeln aufgeführt. Das kann sowohl für Versicherer als auch für Versicherte negative Folgen haben.
Szenarien, die nicht explizit in einer Versicherungspolice aufgeführt sind, wurden entweder im Pricing nicht berücksichtigt oder sie sind im Schadenfall nicht abgedeckt.
Hohes Risiko für Versicherungsnehmer
Wenn in einem spezifischen Vertrag eines Unternehmens physische Auswirkungen von Cyberangriffen nicht aufgeführt sind, gleicht ein Schadenfall einem Würfelspiel. Das Unternehmen kann dann nur hoffen, dass die Versicherung die Folgen des Angriffs abdeckt.
Es ist ein Trugschluss, zu glauben, dass eine Police, die Cyber-Angriffe nicht explizit ausschließt, diese automatisch mitversichert. Im Extremfall weist eine Versicherung die Deckung von sich und das Unternehmen bleibt auf dem Schaden sitzen.
Großes Unbehagen bei Versicherern
Versicherern bereiten existierende Policen, die Cyber-Angriffe nicht explizit einschließen, großes Unbehagen. Oft fehlt der Überblick, in welchem Ausmaß mitversicherte Systeme, die den Betrieb eines Unternehmens sicherstellen, exponiert und für Angreifer zugänglich sind.
In der Folge sind die auf Sachversicherungen basierenden auszubezahlenden Versicherungssummen um ein Vielfaches höher als die spezieller Cyber-Versicherungspolicen.
Cyberangriffe können Milliarden verschlingen
Im vergangenen Jahr haben Guidewire und Aon, ein führender globaler Anbieter von Risiko-, Alters- und Krankenversicherungen, eine Analyse möglicher Auswirkungen verborgener Cyberrisiken durchgeführt. Für die Studie wurde das Szenario eines hypothetischen Hackerangriffs auf einen hydroelektrischen Staudamm in den USA modelliert. Die Folgen der Attacke könnten sowohl Unternehmen als auch Anwohner treffen.
Es wurde simuliert, welche Schäden auftreten, wenn Hacker die Schleusentore des Staudamms öffnen würden. Im Falle eines derartigen Szenarios wäre stromabwärts mit erheblichen Flutschäden zu rechnen. Diese würden zu enormen Verlusten bei Versicherern führen.
Seite 2: Große Unsicherheit bei Versicherern und Versicherungsnehmern
