Skip to main content
Artikel | Risk Perspectives

Die gesamte Cyber-Sicherheit im Blick

Cyber Risk Management
N/A

24. Juli 2018

Cyber-Risiken gehören zu den größten Bedrohungen für Unternehmen – und zu den komplexesten. Willis Towers Watson betrachtet sie deshalb aus einer umfassenden Perspektive. 

Cyber-Risiken gehören zu den größten Bedrohungen für Unternehmen – und zu den komplexesten. Willis Towers Watson betrachtet sie deshalb aus einer umfassenden Perspektive. Geredet haben wir darüber mit Gerald Sonnleitner, Sales Executive Key Accounts Willis Towers Watson.

Q – Herr Sonnleitner, Cyber-Risiken gelten gemeinhin als IT-Risiken. Sollten Unternehmen also primär ihre IT-Systeme sicher machen?

A – Gerald Sonnleitner: Das sollten sie auf jeden Fall; es reicht jedoch bei weitem nicht aus. Denn die meisten Cyber-Angriffe werden von den eigenen Mitarbeitern ausgelöst. Dies geschieht meist ohne Absicht, weil vielen Mitarbeitern die Risiken nicht bewusst sind. Neben IT-Risiken reden wir also auch von Mitarbeiter-Risiken. Und wir reden von Kapital-Risiken – die finanziellen Verluste durch Cyber-Angriffe sind immens, sie können Unternehmen in ihrer wirtschaftlichen Substanz treffen.

Q – Wie bekommen Unternehmen diese komplexe Risikolage in den Griff?

A – Sonnleitner: Unternehmen sollten sich bewusst machen, dass Mitarbeiter-Risiken, Kapital-Risiken und IT-Risiken eng zusammenhängen und eine Cyber-Kultur etablieren, die von oben vorgelebt und von jedem Mitarbeiter gelebt wird. Nur dann entsteht die nötige Sensibilität für das Thema Cyber-Sicherheit und Offenheit für ein wirkungsvolles Cyber-Risiko-Management

Q – Dazu müssen Unternehmen ihre Risiken kennen.

A – Sonnleitner: Genau, Sicherheit beginnt mit Klarheit. Wir raten Unternehmen deshalb, ihre Mitarbeiter-, Kapital- und IT-Risiken und ihren Versicherungsschutz zu analysieren. Sie sollten ihre Risiken qualitativ und quantitativ bewerten und einschätzen, wie gut sie in der Lage sind, diese Risiken zu beherrschen und welche sie übertragen wollen. Ergebnis eines solchen Assessments - mit Unterstützung unserer Expertise -  ist ein aussagekräftiges Risikoprofil.

Q – Was bringt ein solches Risikoprofil?

A – Sonnleitner:Es ist zum einen eine solide Basis, um die identifizierten Risiken zu minimieren. Dabei spielen HR-Lösungen eine wichtige Rolle, die dazu beitragen, dass die Mitarbeiter angemessen mit Cyber-Risiken umgehen. Hier geht es vor allem darum, kritische Kompetenzen zu benennen, zu trainieren und im weiteren Talent-Management zu verankern. Dazu gehört auch, dass die Führungskräfte darin fit gemacht werden, auf ein Risiko-sensibles Verhalten ihrer Mitarbeiter hinzuwirken.

Q – Cyber-kompetente Mitarbeiter bieten jedoch keinen Rundumschutz.

A – Sonnleitner: Deshalb dient das Risikoprofil zum anderen dazu, das bestehende Versicherungsportfolio zu optimieren – in Bezug auf den Versicherungsschutz und auf dessen Kosten. Wir empfehlen unseren Kunden dabei, nicht einfach in neue Cyberversicherungen zu investieren, sondern genau hinzusehen: Welche Leistungen brauchen wir wirklich? Was ist dafür eine angemessene Prämie? Und wie lassen sich Deckungsüberschneidungen mit unseren klassischen Versicherungen vermeiden?

Q – Können die Unternehmen dies selbst leisten?

A – Sonnleitner:Die Versicherungsbedingungen von Cyberversicherungen sind extrem komplex. Der Gesamtverband der deutschen Versicherungswirtschaft hat 2017 zwar ein Grundwording vorgelegt; dieses Wording ist für die Versicherer jedoch nur eine erste Orientierung, um ihre Versicherungsbedingungen individuell auszugestalten. Als neutraler Dienstleister haben wir den gesamten Markt im Blick und wissen genau, welche Deckungsbausteine ein Kunde benötigt und welche nicht. 

Q – Und wenn eine Cyber-Attacke läuft?

A – Sonnleitner: Dann heißt es gezielt handeln, um den Schaden so gering wie möglich zu halten. Die Unternehmen brauchen dazu einen Notfallplan mit technischen und organisatorischen Sofortmaßnahmen. Dazu gehört auch die Frage, wer informiert werden muss, damit betroffene Dritte selbst schnell reagieren können. Zudem gilt der Grundsatz: Need to share. Wenn Unternehmen Attacken und ihre entsprechenden Erfahrungen staatlichen Einrichtungen - insbesondere den bundesweit neu etablierten Cyber Crime Centern - melden, profitieren auf Dauer alle davon.

Q – Wie reagieren die Versicherungen, wenn es um die Regulierung geht?

A – Sonnleitner:In der Regel haben unsere Kunden hier keine Probleme, auch weil wir ihre Interessen im Schadensfall mit unserer juristischen und versicherungswirtschaftlichen Expertise vertreten. Insgesamt gilt jedoch der Grundsatz: Sichern und versichern gehören zusammen. Und vor allem sollte das Cyber-Risiko-Management Chefsache sein. Es geht einfach um zu viel, als dass Unternehmen das Thema Cyber-Risiken nur ihrer IT-Abteilung überlassen sollten.

Download
Titel Dateityp Dateigröße
Risk Perspectives 01 - Cyber-Risiken PDF 1.4 MB
Contact Us
Related content tags, list of links Artikel Risk Perspectives Cyber-Risikomanagement Deutschland