Entweder oder? So einfach ist es nicht
Vor kurzem bin ich in einem Fachbeitrag über folgende Passage gestolpert:
Eine gute Cybersecurity, die den Hackern eine aufmerksame und wirksame Verteidigung entgegenstellt, und eine Versicherung schließen sich nicht aus. Im Gegenteil: Häufig ist ein Mindestmaß an Security Voraussetzung für Versicherungen. Doch die Kosten für beides gleichzeitig sind oft sehr hoch und nicht von jedem Unternehmen zu stemmen. In diesem Fall muss ein Unternehmen besonders kosteneffizient handeln. Dabei lässt sich festhalten, dass ein Euro in eine gute Sicherheitsstruktur hier fast immer besser angelegt ist als in eine Versicherung. Sie verhindert, dass der Schaden überhaupt erst entsteht.
Frank Kölmel, „Was Cyberversicherungen leisten können – und was nicht“, Security-Insider.de
Wo sollten kluge Geschäftsleute ihr Geld besser investieren – in eine Cyber-Versicherung oder in technische IT-Sicherheitsmaßnahmen? Diese Frage, die der Autor anspricht, liegt mir am Herzen, seit ich mit Cyber-Versicherungen beschäftigte. (Und das sind mittlerweile fast zehn Jahre. acant war einer der ersten Makler in Deutschland, der sich auf Cyber-Risiken spezialisierte.)
Allerdings glaube ich nicht, dass die Frage „Cyber-Versicherung oder Cyber-Sicherheitstechnik?“ wirklich Sinn ergibt. Wer so fragt, hat ein Grundprinzip im Risikomanagement nicht verstanden.
Ganz einfach: Es braucht beides, Cyber-Versicherung und Cyber-Sicherheit
Bestimmte Maßnahmen verringern die Wahrscheinlichkeit, dass ein Schadensereignis wie die Betriebsunterbrechung durch Ransomware eintritt. Zu diesen Maßnahmen gehören technische Sicherheitsmaßnahmen, aber auch organisatorische Vorkehrungen wie Schulungen und strikt durchgesetzte Verhaltensregeln. Wenn die Kosten solcher Maßnahmen die geringere Schadenswahrscheinlichkeit rechtfertigen, ergeben sie betriebswirtschaftlich Sinn.
Diese Maßnahmen können Schäden aber nicht vollkommen ausschließen bzw. verhindern. Auch das ist schlicht eine Frage der Wahrscheinlichkeit. Schulungen können Leichtsinn nicht unterbinden. Technik kann Störungen erleiden, falsch verwendet oder bewusst missbraucht werden. Sabotage ist immer möglich.
Und deshalb erfordert ein vernünftiges IT-Sicherheitskonzept auch Versicherungen. Die können, wie Frank Kölmel richtig anmerkt, den Schadenseintritt nicht verhindern. Das ist auch nicht ihr Sinn. Sie können dafür etwas, was die Technololgie nicht schafft: Sie kompensieren den Schaden, wenn es doch zur Sicherheitsverletzung kommt.
Wer sich keine Cyber-Versicherung leisten kann, kann sich keine IT leisten
So könnte man es etwas überspitzt formulieren. Eine fachgerecht administrierte Unternehmens-IT hält das Risiko erfolgreicher Cyber-Angriffe in einem beherrschbaren Rahmen. Es sinkt aber keineswegs auf Null. Auch wenn mittlerweile jeder die Aussage kennt: Die Frage ist nicht, ob es zur IT-Sicherheitsverletzung kommt, sondern wann sie sich ereignet. Aufgabe der IT-Fachleute ist es, dieses „wann“ möglichst hinauszuzögern.
Wenn der Schaden dann doch eintritt, wird die Cyber-Versicherung wichtig. Die Versicherungsprämien, die das Unternehmen über die Jahre hinweg überwiesen (und als Betriebsausgaben geltend gemacht) hat, haben die Kosten des Cyber-Angriffs oder der Datenschutz-Panne schon im Voraus in planbarer Form bezahlt. Jetzt übernimmt die Versicherung die Kosten. Das Schadenereignis reißt also kein Loch in die Bilanz. Ebenso unvorhergesehene wie unvermeidbare Ausgaben wurden auf einen langen Zeitraum verteilt und betriebswirtschaftlich sinnvoll minimiert.
Es geht auch weniger abstrakt
Eine Cyber-Versicherung leistet viel mehr, als nur Schäden zu begleichen. Die meisten Versicherer leisten Akut-Hilfe direkt nach einer Attacke. Sie helfen bei der forensischen Analyse und dem Beseitigen der aufgetretenen Sicherheitslücke. In der Deckung sind nicht nur Eigenschäden eingeschlossen, sondern auch Schadenersatzansprüche anderer Unternehmen und Personen.
Cyberangriffe sind längst ein Teil der Unternehmensrealität. Technik und organisatorische Vorkehrungen mildern das Risiko ab. Versicherungen machen das Restrisiko betriebswirtschaftlich tragbar. Unternehmen können sich längst nicht mehr leisten, auf eine der beiden Komponenten zu verzichten.
Genauso wenig wie auf Beratung. So wie die Netzwerksicherheitslösung zum Firmennetz passen muss, hilft die Cyber-Versicherung nur, wenn sie auf das Unternehmen abgestimmt wurde. Dafür zu sorgen, ist unser Geschäftsfeld. Wir von acant sind auf Cyber-Versicherungen spezialisiert. Sie erreichen uns unter 030 863 926 990 oder über das Kontaktformular!