Asien ist die Heimat von mehr als der Hälfte der weltweiten Internetnutzer. Unternehmen nutzen die Online-Aktivitäten der Asiaten, um neue und bestehende Kunden zu erreichen, neue Produkte zu entwickeln und Prozesse effizienter zu gestalten. Das benefits dieser Chance gehen mit einzigartigen Risiken einher, die von herkömmlichen Betriebsunterbrechungsversicherungen nicht abgedeckt werden. Sie können jedoch mit BI-Deckung aus eigenständigen Cyber-Policen verwaltet werden.
Auf dem Weg von der physischen in die digitale Welt stellen Cyber-BI-Ansprüche einzigartige Herausforderungen dar – einige sind bekannt, andere anders und andere unterscheiden sich dramatisch von herkömmlichen BI-Ansprüchen.
Das Vertraute
Wie bei allen Versicherungsansprüchen muss ein ursächlicher Zusammenhang zwischen dem Vorfall und dem Schaden festgestellt werden. Dies wird in der traditionellen BI als materieller Schadensvorbehalt bezeichnet. Cyber-BI-Policen sind ähnlich, aber anstelle eines Schadens kann die Deckung durch eine tatsächliche oder vermutete Kompromittierung der IT-Systeme eines Versicherungsnehmers ausgelöst werden. Damit Schäden gedeckt sind, müssen sie aus einem versicherten Ereignis stammen.
Die Arten der Deckung, die sowohl traditionelle als auch Cyber-BI-Policen bieten, sind ebenfalls recht ähnlich. Die Deckung kann auf der Grundlage der Bruttoeinnahmen oder des Bruttogewinns und auf der Grundlage erhöhter Arbeitskosten erfolgen. Ziel ist es also, den Versicherungsnehmer in eine Lage zu versetzen, in der es nur um den Cybervorfall geht. Diese Vorfälle können entweder böswillig (z. B. eine Datenschutzverletzung oder Malware) oder anderweitig (z. B. aufgrund versehentlicher Handlungen oder Unterlassungen) sein. Die Herausforderung besteht wie immer darin, den Schaden allein auf den durch den Vorfall verursachten Schaden zu beschränken.
Die etwas andere
Einige feine Unterschiede fallen auf, wenn man Verluste im Rahmen einer Cyber-Police betrachtet. Der Entschädigungszeitraum für eine herkömmliche BI-Police beginnt in der Regel, wenn ein physischer Verlust eintritt. Bei Cyber-BI-Richtlinien hängt der Start jedoch stark von der Formulierung der Richtlinie ab. Dabei kann es sich um den bewerteten Zeitpunkt einer Systemkompromittierung oder um den Zeitpunkt handeln, zu dem ein Sicherheitsvorfall gemeldet wird. Voraussetzung hierfür ist der Ablauf einer definierten Wartezeit (d.h. Zeitabzug), in der Regel ca. 12 Stunden. Das klingt zwar nach einer kurzen Zeit, kann sich aber für einen Online-Händler bei einem großen Verkauf wie dem Singles' Day als eine kostspielige Ewigkeit erweisen.
Cyber-BI-Policen haben in der Regel maximale Entschädigungsfristen von etwa drei Monaten, was deutlich kürzer ist als die 12 Monate, die wir üblicherweise in traditionellen BI-Policen sehen. Dies spiegelt die kürzere Natur vieler Cybervorfälle wider, die beispielsweise durch eine Backup-Wiederherstellung schneller behoben werden können. Es kann jedoch eine Herausforderung sein, die Fehlerquelle in einem komplexen IT-System zu identifizieren und zu beheben, obwohl ein dediziertes Incident-Response-Team zur Verfügung steht.
Das ganz andere
Da die zugrunde liegenden Vermögenswerte immaterieller Natur sind, ergeben sich einige wesentliche Unterschiede. Hier sind zwei, die es wert sind, in Betracht gezogen zu werden:
- Ransomware-Angriffe
Ransomware-Angriffe sind zwar nicht neu, aber immer prominenter und komplexer geworden, was es wahrscheinlicher macht, dass ein Unternehmen mit Unterbrechungen konfrontiert wird. Daten können gestohlen oder der Zugriff darauf gesperrt werden (oder eine Kombination davon), wobei der Erpresser damit droht, vertrauliche Daten freizugeben, zu vernichten oder den Zugriff darauf zu blockieren, wenn keine Zahlung geleistet wird. Das durchschnittliche Lösegeld im Jahr 2023 wurde auf 1,54 Millionen US-Dollar geschätzt, fast doppelt so viel wie 2022.
In bestimmten Fällen kann die Zahlung des Lösegelds die billigste und effektivste Option sein. Einige Policen entschädigen den Versicherungsnehmer sogar für solche Zahlungen. Die endgültige Entscheidung darüber, ob eine Zahlung geleistet wird, liegt beim Unternehmen – aber sollte es zahlen?
Es mag zwar verlockend sein, den Forderungen nachzugeben, in der Hoffnung, dass die Daten schnell wiederhergestellt werden, aber die Beweise stützen dies nicht. Etwa jeder Vierte, der zahlt, stellt seine Daten nie wieder her, und selbst wenn einige Daten wiederhergestellt werden, benötigen die meisten Unternehmen mehr als eine Woche, um sich von einem Ransomware-Angriff zu erholen. Es gibt auch keine Garantie für ein Ende oder eine Lösung des Angriffs – ein Punkt, der von der 48 Nationen umfassenden Counter Ransomware Initiative aufgegriffen wird, die von solchen Zahlungen dringend abrät. Zahlungen könnten auch als Geldquelle für kriminelle Aktivitäten dienen und einen weiteren Anreiz für zukünftige Anschläge bieten.
Unternehmen müssen entscheiden, ob es in ihrem besten Interesse ist, eine Lösegeldzahlung abzulehnen. Sollten die Versicherer die Entscheidung, nicht zu zahlen, unterstützen, würde sich der Versicherungsschutz in der Regel auf die Wiederherstellungskosten und alle Einnahmeverluste erstrecken, die sich unmittelbar aus dem Angriff ergeben.
Da Ransomware-Angriffe finanziell kostspielig sein und erhebliche Ausfallzeiten verursachen können, wäre es sinnvoll, sich proaktiv auf einen solchen Vorfall vorzubereiten. Zu diesen Maßnahmen gehören unter anderem:
- Sicherstellen, dass Backups und Redundanzen vorhanden und aktuell sind
- Durchführung regelmäßiger IT-Audits
- Sichere Passwörter und Multi-Faktor-Authentifizierung vorschreiben
- Durchführung regelmäßiger IT-Schulungen und -Schulungen
- Entwicklung von Incident-Response-Plänen, die bei Bedarf schnell mobilisiert werden können
Solche Pläne sind nur dann wirksam, wenn sie die Bemühungen der gesamten Organisation einbeziehen.
- Reputationsschaden
Nach einem Cyberangriff kann die öffentliche Wahrnehmung des Zielunternehmens beeinträchtigt werden – insbesondere, wenn sensible Kundendaten kompromittiert werden. Kunden können die Fähigkeit des Unternehmens, ihre persönlichen Daten zu schützen, in Frage stellen, was zu einem Verlust von Vertrauen und Loyalität führt. Dienstausfälle können auch dazu führen, dass Benutzer zu einem Konkurrenten wechseln, der dessen Zuverlässigkeit fördert.
Viele Cyber-BI-Policen bieten Deckung für Reputationsschäden und entschädigen die Versicherten für finanzielle Verluste, die direkt aus dem Vorfall entstehen. Die Kosten für die Wiederherstellung des Rufs können auch für die Beauftragung von PR-Beratern gedeckt werden, um die Auswirkungen negativer Publicity abzumildern. Die Schwierigkeit besteht darin, den Verlust von aktuellen und potenziellen Kunden zu messen und dem Vorfall zuzuordnen. Da viele Cyber-Policen kurze maximale Entschädigungsfristen haben, wäre der laufende Reputationsschaden über diesen Zeitraum hinaus nicht durch die Police gedeckt.
Die Jury ist noch nicht entschieden, ob Nachrichten über Cybervorfälle so alltäglich geworden sind, dass der Ruf eines Unternehmens tatsächlich beschädigt ist. Die Menschen neigen dazu, Unternehmen, die ein hohes Maß an Vertrauen genießen, als anfälliger für Reputationsverluste zu betrachten. Eine Online-Bank wäre beispielsweise anfälliger für Reputationsverluste als ein Online-Händler.
Wie bei Ransomware kann ein proaktiver Ansatz zur Bewältigung von Reputationsschäden effektiver und effizienter sein als eine reaktive Haltung. Zusätzlich zu den oben aufgeführten Maßnahmen sollte der Eckpfeiler eine klare und effektive Kommunikation mit den Stakeholdern sein – der Schlüssel zur Wiederherstellung des Vertrauens und zum Schutz des Rufs.
Schlussfolgerung
Cyber-BI-Behauptungen haben einige Merkmale mit ihren traditionellen BI-Gegenstücken gemeinsam, aber der digitale Bereich wirft einige einzigartige Fragen auf. Wenn ein Unternehmen mit einem Cyber-BI-Verlust konfrontiert ist, ist es wichtig, einen vertrauenswürdigen Partner zu beauftragen, der sich mit den Nuancen von Cyber-BI-Ansprüchen auskennt, um die weitreichenden Auswirkungen abzumildern.
> Erfahren Sie mehr – lesen Sie mehr über die forensischen Buchhaltungsdienstleistungen und Betriebsunterbrechungsfunktionen von Sedgwick in Asien oder senden Sie eine E-Mail an [email protected], um weitere Informationen zu erhalten
Tags: BI, Betriebsunterbrechung, Ansprüche, Cyber, Cyber-Versicherung, Cyber-Risiko, Eigentum, Sachschaden, Wiederherstellung von Eigentum