Mit Hauptinhalt fortfahren
Artikel

COVID-19: Cyberrisiken und Managerhaftung

Wie Sie Ihre Cyber- und D&O-Versicherungen erfolgreich durch stürmische Zeiten bringen.

Cyber Risk Management
N/A

15. Dezember 2020

Cyberrisiken und Haftungsrisiken für die Geschäftsleitung nehmen zu. Es wird jedoch immer schwieriger, entsprechende Versicherungen zu vertretbaren Konditionen abzuschließen.

Frank Hering, Andreas Komescher und Marcus Kuhn von Willis Towers Watson erläutern, worauf es ankommt, um sich dennoch einen angemessenen wirtschaftlichen Schutz zu sichern oder diesen aufrecht zu erhalten.

Die politischen Maßnahmen im Zuge der COVID-19-Pandemie haben zwei Themen auf der Management-Agenda nach oben gerückt: Cyberrisiken und Managerhaftung. Weshalb?

Frank Hering: Viele Mitarbeiter kommunizieren und interagieren seit ein paar Monaten online vom Homeoffice aus. Die Rechner und die Netzanbindung in den eigenen vier Wänden sind oft jedoch nur unzureichend geschützt.

Andreas Komescher: Cyberkriminellen fällt es deshalb leicht, Schadsoftware via Homeoffice in die Unternehmensnetze einzuschleusen und so sensible Daten zu stehlen und zu manipulieren oder IT-Systeme zu blockieren. Damit verbunden sind auch Versuche, Geld zu erpressen; Unternehmen sollten davon jedoch Abstand nehmen, weil sich die Kriminellen meist nicht an ihr Versprechen halten, Unternehmen „freizulassen“, wenn das Geld auf ihrem Konto ist.

Marcus Kuhn: Insgesamt können die Schäden jedenfalls sehr umfassend sein – sie reichen von Reputationsschäden über die Verletzung des Datenschutzes bis hin zu einem blockierten Geschäftsbetrieb. Entsprechende Umsatzverluste oder Forderungen evtl. Geschädigter können richtig ins Geld gehen genauso wie die Maßnahmen, um die Angriffe zu analysieren und die Systeme wieder in einen ordnungsgemäßen Zustand zu bringen.

Wenn es um größere finanzielle Schäden geht, wird schnell nach den Verantwortlichen gefragt.

Marcus Kuhn: Hier kommt die Geschäftsführung ins Spiel. Auch juristisch gesehen steht sie in der Verantwortung, ihr Unternehmen vor finanziellem Schaden zu bewahren. Habt ihr genügend Sicherheitsmaßnahmen getroffen, um Cyberangriffe zu verhindern? Werden Cybervorfälle mit einem Monitoring-System überwacht? Wie steht es um regelmäßige Cybersecurity-Berichte und Notfallmanagement-Konzepte? Kann die Geschäftsführung nach einem finanziell verlustreichen Angriff Fragen wie diese nicht befriedigend beantworten, steht schnell eine Sorgfaltspflichtverletzung und damit eine persönliche Haftung der Organe im Raum.

Frank Hering: Und danach folgt schnell die Frage, ob es eine passende und ausreichende D&O-Versicherung gibt. Dies ist im COVID-19-Kontext noch entscheidender, weil viele Unternehmen in einer kritischen wirtschaftlichen Lage sind und Aufsichtsorgane oder Investoren bei finanziellen Verlusten sehr viel strenger als noch vor ein, zwei Jahren die Geschäftsführung in die Pflicht nehmen und auch nehmen müssen, um nicht selbst in die Haftung zu geraten.

Eine D&O-Versicherung ist also mit Blick auf Cyberkriminalität ein Must-have?

Frank Hering: Nicht nur deshalb. In Deutschland werden immer mehr Verfahren gegen das Management wegen vermeintlicher oder tatsächlicher Pflichtverletzung angestrengt. Durch COVID-19 hat sich dieses Risiko weiter erhöht: Wir leben in turbulenten Zeiten. Die Geschäftsführung muss jetzt schnell viele und auch zum Teil ungewohnte Entscheidungen in einer unübersichtlichen Lage treffen. Und da kann mehr als sonst etwas schieflaufen, mit entsprechenden finanziellen Schäden und Haftungsrisiken.

Also am besten gleich für ordentliche Cyber- und D&O-Versicherungen sorgen?

Andreas Komescher: So einfach ist es leider nicht. Denn die Versicherer sind generell wegen höherer Schadenquoten, Kostenaufwänden und einem gestiegenen Insolvenzrisiko unter Druck. Deshalb erhöhen sie die Prämien, reduzieren die Deckungssummen und versuchen, bestimmte Risiken auszuschließen – etwa das Insolvenzrisiko im Rahmen von D&O-Versicherungen. Wer eine angemessene Cyberversicherung oder eine D&O-Versicherung zu vertretbaren Konditionen abschließen will, hat es also nicht leicht.

Was raten Sie in dieser Lage Ihren Kunden?

Marcus Kuhn: Als erstes kommt es darauf an, dass sie ihre Risiken verstehen. Welchen Cyberrisiken ist unser Unternehmen ausgesetzt? Welche Haftungsrisiken drohen unserer Geschäftsleitung? Und in welcher Höhe können diese Risiken finanziell zu Buche schlagen? Auf Fragen wie diese braucht es klare Antworten.

Andreas Komescher: Dann sollten Unternehmen prüfen, ob sie gut gegen die identifizierten Risiken geschützt sind und wo noch Handlungsbedarf besteht. Hier geht es auch um die generelle Qualität des Risikomanagements und organisatorische und technische Maßnahmen, um für eine bessere Risikoqualität zu sorgen.

Verbessern Unternehmen damit ihren Stand gegenüber den Versicherern?

Frank Hering: Ganz klar! Ein angemessenes Risikomanagement und eine bessere Risikoqualität bedeuten weniger Risiken für die Unternehmen und deshalb auch für die Versicherer. Unternehmen können dann auch günstigere Konditionen aushandeln bzw. Versicherungen überhaupt unter Dach und Fach bringen.

Worauf sollten Unternehmen dabei achten?

Frank Hering: Was D&O-Versicherungen angeht, geben sich die Versicherer nicht mehr mit blanken Geschäftszahlen aus dem letzten Quartal oder Jahr zufrieden. Sie wollen wissen, wie sich Unternehmen aufgestellt haben, um gut durch die Krise zu kommen. Wir empfehlen unseren Kunden deshalb, zentrale Botschaften ihres Business-Plans zu einer überzeugenden Story zu verdichten und damit die Versicherer gezielt anzusprechen.

Andreas Komescher: Auch mit Blick auf Cyberversicherungen sollten Unternehmen den Versicherern schlüssig transparent machen, wie sie ihre Cybersicherheit gesteigert haben oder dies in nächster Zeit tun wollen.

Marcus Kuhn: Entsprechende Storys sorgen ganz einfach für Vertrauen. Und Vertrauen ist gerade in wirtschaftlich kritischen Zeiten auch die Grundlage für gute Beziehungen zwischen Unternehmen und Versicherern.

Ihre Kontakte

Managing Director, Head of Client Management,
Corporate Risk and Broking

Andreas Komescher
Head of Liability

Marcus Kuhn
Manager Finex

Related content tags, list of links Artikel Cyber-Risikomanagement Deutschland

Themenverwandte Lösung

Contact Us