Von Dr. Michael Faske

In unserem zweiteiligen Blog erörtern wir, wie Firmen sich nach einem Zwischenfall von Cyber-Kriminalität schnellstmöglich wieder erholen, was eine Cyber-Versicherung ist und was konkret nach einen „Incident“ zu tun ist.

Was kann im Fall einer Cyber-Attacke konkret getan werden?

Wenn sich ein Zwischenfall ereignet oder es zum Verlust kommt, muss die Firma schnell reagieren. Ein Reaktionsplan für einen Cyber-Verstoss stellt sicher, dass man regulatorische und andere Offenlegungsanforderungen wirksam und effizient bewerten, untersuchen, beheben, eliminieren sowie darauf reagieren kann. Dies gilt auch für die Einhaltung der Anforderungen der abgeschlossenen Cyber-Versicherungspolice.

Die übergeordnete Aufgabe ist das Krisenmanagement, ohne dabei den Fokus auf tägliche Geschäftsabläufe zu verlieren – dies kann mithilfe von Experten gewährleistet werden (Sachverständige für Versicherungsfälle, Ermittler von Cyber-Kriminalität, IT-Fachleute, etc.). Sind durch den Cyber-Angriff direkt Vermögensverluste entstanden, müssen die Verantwortlichen schnellstens Wiederherstellungsmassnahmen einleiten. Nicht realisierte Cashflows sollten durch Vorauszahlungen kompensiert werden, um die laufenden Fixkosten abzufedern.

Zur weiteren Schadensminimierung muss die Firma gegenüber der Versicherung nachweisen, dass es einen finanziellen Schaden gegeben hat und den entsprechenden Ausgleichsanspruch anmelden. Das Anspruchsverfahren löst eine Untersuchung durch die interne Revision aus und involviert Versicherungsträger und -makler, um die Versicherungsdeckung und die Informationssicherheit zu definieren. Cyber-Versicherungspolicen decken in der Regel auch die Kosten von Benachrichtigungen zu Datenschutzverstössen sowie die Beauftragung einer Public Relations Agentur, um Reputationsschäden zu handhaben und bei allen sonstigen Rechtsansprüchen zu helfen (abhängig von Deckung und Prämie). Damit der Anspruch gedeckt ist, müssen allerdings die in Ihrem Versicherungsvertrag vereinbarten Pflichten erfüllt werden:

• Kenntnis darüber, was tatsächlich versichert ist und welche Einschränkungen bei der Deckung existieren
• Berechnung des Verlustes aufgrund von Bruttoerträgen basierend auf der zugrunde liegenden Versicherungspolice
• Schätzung der Umsatzerwartung ohne Verlust gegenüber der tatsächlichen Umsatzerwartung
• Kenntnis der Finanzzahlen und Marge, um die tatsächlichen variablen und festen Merkmale der Kostenpositionen basierend auf Anforderungen der Versicherungspolice bestimmen zu können
• Unverzügliche Erstellung einer ersten Verlustschätzung, um Vorauszahlungen von der Versicherung zu gewährleisten und die Schadensminderung, Wiederherstellung und laufende Fixkosten zu finanzieren
• Festlegung von Schadensminderungsmassnahmen, die wirtschaftlich vernünftig sind und die höchste Wahrscheinlichkeit haben, von der Versicherung anerkannt zu werden
• Belegung des Schadensausmasses und Bereitstellung der durch die Versicherung angeforderten Dokumente und Zahlen, die die Schadensfeststellung untermauern
• Anwendung eines verständlichen, verlässlichen und (am wichtigsten) plausiblen Finanzmodells als Basis für Verhandlungen mit der Versicherung
• Nachweis der Kausalität zwischen dem Cyber-Zwischenfall und dem Betriebsunterbruch und Feststellung der tatsächlichen Dauer des Betriebsunterbruchs
• Aufbau einer vertrauensvollen Zusammenarbeit mit der Versicherung, um in der Lage zu sein, kritische Aspekte unter konsistenten Bedingungen verhandeln zu können

Die technische Weiterentwicklung und zunehmende Digitalisierung führen zu einer Veränderung der Prozesse und der Art und Weise wie Geschäfte abgewickelt werden. Allerdings haben diese Weiterentwicklungen auch zusätzliche Gateways für Cyber-Attacken geöffnet. Wir können also davon ausgehen, dass Cyber-Attacken weiterhin stattfinden und zu Reputations- und Ertragsverlusten führen werden. Wichtige Infrastrukturen sowie interne Kontrollsysteme (IKS, Internal Control Systems) werden zunehmend zum Ziel von Attacken der Cyber-Kriminalität. Firmen sollten sich deshalb unbedingt bei der Kalkulation von Forderungen zu Betriebsunterbrüchen auf potenzielle Schieds- oder Prozessverfahren, die daraus entstehen könnten, vorbereiten. Durch die Vorbereitung auf einen potenziellen Schaden und das Bewusstsein entsprechender Folgepflichten, können Firmen proaktiv mit der Krise umgehen, während sie ihre Schadensdeckung maximieren und sich schlussendlich von einem Vorfall mit Cyber-Kriminalität schneller erholen.

Über den Autor

Autor: Dr. Michael Faske

Dr. Michael Faske ist Partner bei Deloitte AG Schweiz im Bereich Forensic Services. Er hat langjährige Berufserfahrungen in den Bereichen Fraud Investigations, mit Schwerpunkt in den Branchen Finanzdienstleistungen und Pharmazeutik; weitreichende Erfahrung bei der Beurteilung von Compliance, Risk Management, internem Kontrollsystem und Audit-Aktivitäten sowie mit Anti-Bestechungs- und Anti-Korruptions-Programmen.