Nur ein Teil des Sicherheitspuzzles
HR-Daten sind ein beliebtes Ziel für Hacker. Das wissen auch die Versicherungsgesellschaften und bieten mittlerweile eine ganze Palette an Versicherungen für Grossfirmen und KMU an. Eine Police alleine bietet allerdings noch keinen Schutz. Unsere Umfrage bei Versicherungsexperten zeigt, was wirklich wichtig ist.
Vier Experten erklären, worauf es bei Cyber-Versicherungen ankommt. (Bild: 123RF)
HR-Daten sind so etwas wie das digitale Gold der kriminellen Hackerszene. Zu diesem Schluss kommt man, wenn man Stéphane Fleury von der Baloise Group zuhört: «HR-Daten werden auf dem digitalen Schwarzmarkt als noch wertvoller eingeschätzt als Finanz- oder IT-System-Daten.»
Das zeigt die Zweischneidigkeit der digitalen Welt. Sie bietet Unternehmen zwar beinahe unbegrenzte Möglichkeiten, öffnet aber auch Tür und Tor für Missbrauch. Gemäss der KPMG-Studie Clarity on Cyber Security haben im vergangenen Jahr rund neun von zehn Schweizer Unternehmen eine Cyberattacke erlebt. «Cyberkriminelle agieren schnell und erfinden laufend neue Angriffsmethoden. Daher besteht trotz modernster Sicherheitsmassnahmen immer das Restrisiko einer Attacke», sagt Alexander Tlili , Underwriter bei Zurich Schweiz.
Um dieses Restrisiko abzusichern, bieten mittlerweile die meisten grossen Versicherungsgesellschaften Cybersecurity-Versicherungen an. Das alleine schützt aber nicht vor Hackern und Konsorten. Davon ist Reto Zbinden, Gründer und CEO von Swiss Infosec, überzeugt. Seit fast 30 Jahren berät und schult sein Unternehmen Kunden rund um das Thema Sicherheit von Informationen. Zbinden weist darauf hin, dass eine Versicherung nur in den wenigsten Fällen den gesamten entstandenen Schaden decke. «Wichtiger ist die Schulung und Sensibilisierung aller Mitarbeitenden.»
Der Mensch als Schwachstelle
Diese Meinung teilen auch die befragten Versicherungsunternehmen (siehe Umfrage rechts). «Die grösste Angriffsfläche bieten immer noch Menschen, die mit ihrem Zugriff auf sensitive Daten zu wenig achtsam umgehen», betont etwa Christian Zeller, Leiter IT-Governance, Risk Management & Compliance bei der Mobiliarversicherung. Für Reto Zbinden ist der Faktor Mensch ebenfalls der Hauptgrund, um in erster Linie auf sichere Systeme zu setzen und erst in zweiter Linie auf eine Versicherung. «Ein sicheres System ist mehr als die Kombination von integren Personen und moderner Technik», mahnt Zbinden. «Um Daten zu schützen, braucht es physischen und logischen Schutz, Firewalls, sichere Passwörter oder angemessene Benutzerrechte. Andererseits gehören aber auch schriftliche Vereinbarungen mit internen und externen Mitarbeitenden und Partnern dazu.» Letztere, so Zbinden, würden sehr gerne vergessen gehen.
Eine Norm setzt sich durch
Informationssicherheit ist mehr als IT-Sicherheit und benötigt ein umfangreiches Managementsystem. Aus diesem Grund setzt sich mittlerweile die internationale Norm ISO/IEC 27001 in mehr und mehr Unternehmen durch. Auf dieser Norm basiert die Zertifizierung von Informationssicherheits-Managementsystemen (ISMS).
Auch wenn solche Zertifizierungsprozesse einen grossen zeitlichen und finanziellen Aufwand bedeuten, seien sie allemal empfehlenswert, ist Zbinden überzeugt: «Damit ist die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten gewährleistet, und die Mitarbeitenden sind bestmöglich sensibilisiert.» Die ISMS-Zertifizierung stellt u. a. auch die Konformität mit den Gesetzen und Regulatorien sicher. Deshalb sei sie gerade auch im Hinblick auf die Totalrevision des Datenschutzgesetzes eine lohnende Investition. «Mit der Gesetzesrevision werden auch die Bussen stark ansteigen, – und diese übernimmt keine Versicherung.»
Cyber-Versicherungen Übersicht als PDF (2 Seiten)
Klicken Sie auf die Tabelle, um diese als PDF zu öffnen.