ppa. Mag. Alexander Gallati
Leiter Haftpflicht & Special Lines Aon Risk Solutions Austria

Moderne Unternehmen profitieren von Produktion bis Vertrieb auf verschiedensten Ebenen von der digitalen Transformation. Einhergehend setzen sie sich aber auch verschiedenen zusätzlichen Risiken aus, denen man bewusst entgegentreten muss. Gibt es aus Ihrer Erfahrungen Risiken, die generell eher unterschätzt werden und welche Ratschläge haben Sie diesbezüglich für Entscheidungsträger?

Die Techniker eines deutschen Stahlwerkes waren fassungslos: Ein Hochofen ließ sich nicht geregelt herunterfahren und konnte nicht mehr kontrolliert werden, was zu einem erheblichen Schaden an der Anlage führte. Wie konnte das passieren? Erst nach eingehenden Untersuchungen stellte sich heraus, dass nicht etwa ein Fehler an der Anlage an dem Desaster schuld war, sondern dass Hacker in das IT System des Unternehmens eingedrungen und den Schaden über die Manipulation der elektronischen Steuerung gezielt herbeigeführt hatten. Ein Szenario, welches niemand für möglich gehalten hatte.

Nur einer von vielen Fällen, welche nahezu täglich in Fachpublikationen, aber auch in der Tagespresse diskutiert werden. Das deutsche Bundesamt für Sicherheit in der Informationstechnik geht davon aus, dass es alleine in Deutschland jährlich zu einer zweistelligen Millionen- Zahl von Manipulationen elektronisch gespeicherter Daten kommt. Auch in Österreich kam es schon zu zahlreichen, von den Medien berichteten Vorfällen, zumeist unter Nennung des vollen Namens des geschädigten Unternehmens.

Für den Unternehmer stellt sich die Frage, wie er als ordentlicher Kaufmann mit diesem Risiko umzugehen hat. Die erste Maßnahme wird naturgemäß sein, sämtliche Firewalls auf dem technisch bestmöglichen Niveau zu halten. Nicht immer führt dies zum Erfolg: Die Hacker sind immer einen Schritt voraus.

Umso wichtiger ist es, Lösungen für das immer noch erhebliche Restrisiko zu finden. Nach längerer Zurückhaltung des Versicherungsmarktes haben einige Anbieter Cyber-Produkte entwickelt, welche einerseits Schäden Dritter decken, die durch die Manipulation entstanden sind, andererseits aber auch den Aufwand des angegriffenen Unternehmens selbst.

Drittschäden können vor allem bei Verlust von Daten von Kunden und Mitarbeitern entstehen, insbesondere von Kreditkarten-Informationen. Eigene Kosten könnten für die gesetzlich vorgeschriebene Information der betroffenen Personen -  hier rechnet man mit € 30 pro Fall – Aufwendungen für IT-Sicherheitsberater und Forensiker, für Wiederherstellung von Daten nach einem Angriff und sogar Zahlungen an Erpresser anfallen. Auch die im Krisenfall so wichtige PR-Arbeit zur Verhinderung von Reputationsschäden wird vom Versicherer koordiniert und bezahlt.

Die Kosten für die Versicherung variieren je nach Branche, Unternehmensgröße und Versicherungssumme. Für eine Summe von € 3 Millionen müßte man mit einer Prämie zwischen € 5.000,-- und € 25.000,-- rechnen.