Manager haben ihr hohes Cyber-Risiko mittlerweile wahrgenommen, wie eine Studie zeigt. Für Vermittler gibt es somit gleich ein doppeltes Entree: Die Managerhaftpflichtversicherung (D&O Police) und die Cyber-Versicherung. Unternehmen müssen zudem aber ihre Cyber-Sicherheit ständig nachweisen. Dazu gehört auch ein Krisenplan, sonst könnte der Schutz reduziert werden. Für Vermittler gibt es hier somit ein hohes Beratungspotenzial.
Stark ist die öffentliche Kritik an dem Softwareentwickler Adesso. Das Unternehmen soll einen Cyber-Angriff nicht umgehend seinen Kunden mitgeteilt haben. So schreibt die Süddeutsche Zeitung (SZ) am 20. April 2023 unter der Überschrift „Wie man nicht auf einen Cyber-Angriff reagiert“, dass Adesso erst zwei Monate nach Entdeckung des Angriffs seine Kunden informiert habe. Die SZ betont aber auch, dass das Unternehmen nicht gegen geltendes Recht verstoßen habe, denn es sei selbst kein sogenanntes „Kritis-Unternehmen“. Es beliefert und kommuniziert aber mit solchen Unternehmen. Laut SZ sind beispielsweise Eon, RWE BMW, RWE und auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Kunden des Softwarehauses.
Musterfall für hohes Manager-Risiko durch Cyber-Attacken
In einem umfangreichen Statement zu den Zeitabläufen vom 26. April 2023 erläutert der Softwareentwickler unter anderem: „Adesso war in dieser Phase der Erforschung des Cyber-Angriffs darauf bedacht, konzentriert entlang des beweisbaren Wissenstandes der Forensik zu kommunizieren. Dieser Weg der Beweisaufnahme kristallisierte sich mit belastbaren Informationsbausteinen erst sukzessive im Zeitverlauf heraus und beanspruchte eine gewisse Zeitspanne. Eine evidenzbasierte Kommunikation in den Markt konnte daher erst ab Februar 2023 erfolgen. Seit diesem Zeitpunkt steht Adesso in engem, bilateralem Kontakt mit seinen Kunden und Partnern.“
Welchen Schaden Adesso und ob überhaupt andere Kunden - etwa durch VPN-Kanäle - einen Schaden erlitten haben, ist bis heute nicht geklärt. Sollte dies der Fall sein, bleibt fraglich, wer für einen solchen Schaden überhaupt haften muss. Trotzdem dürfte das Verhalten des zuständigen Managements wohl von Eignern und Kapitalgebern genau unter die Lupe genommen werden, sollte dem Unternehmen dadurch ein Vermögensschaden entstehen. Allein ein Image-Schaden könnte schon dazu führen. Das umfassende Cyber-Risiko für das Management wird mit diesem Fall also sehr plastisch belegt.
Studie: Cyber-Risiko auf den ersten drei Rängen
Mittlerweile haben dies aber wohl viele Unternehmensleiter erkannt, wie die Directors' and Officers' Liability Survey“ der Unternehmensberatung WTW und der internationalen Anwaltssozietät Clyde & Co zeigt. Die Top-3-Plätze belegen Cyber-Erpressung, Cyber-Attacken und Datenverlust. Befragt wurden 610 Vorstände, Geschäftsführer und Risikomanager. Das Ergebnis deckt sich auch mit der weltweiten Einschätzung der Manager. „Wir erkennen deutlich die Unsicherheiten, denen die Unternehmen derzeit ausgesetzt sind. Sie sind umgeben von andauernden Krisen und müssen gleichzeitig ihre Geschäftstätigkeit aufrechterhalten“, sagt Thomas Olaynig, Head of Corporate Risk & Broking DACH and Poland bei WTW.
Bedrohungen durch Cyber-Attacken und Datenverlust nehmen seit Jahren zu und finden sich seit 2018 in der Liste der Top-Risiken für Manager wieder – ungeachtet der Unternehmensgröße. Seit 2022 ist auch das Thema Cyber-Erpressung vermehrt ins Blickfeld der Manager geraten. „Bei der Cyber-Erpressung gehen Angreifer systematischer vor als bei ‚einfachen‘ Attacken. Sie nehmen ausgewählte Unternehmen ins Visier“, sagt Lukas Nazaruk, Head of Finex & Specialties DACH bei WTW.
Versicherer können Schutz einschränken
„Das Gefährliche: Technologien werden immer ausgeklügelter. Manager müssen Schritt halten, um ihre Organisationen hinreichend abzusichern.“ Daher müsste das Haftungsrisiko durch gut aufeinander abgestimmte Cyber- und D&O-Policen reduziert werden. Versicherer könnten diese Deckung jedoch einschränken, wenn Unternehmen keine geeigneten IT-Sicherheitsmaßnamen vorweisen können.
Autor(en): Uwe Schmidt-Kasparek