Cybersicherheit kann man nicht anfassen: Interview mit Kerstin Keltner, Director Cyber Solutions bei AON Österreich
Mag. Kerstin Keltner ist Director Cyber Solutions bei AON Österreich, im Vorfeld der PriSec 2023 haben wir über die Risiken von Cyberatacken gesprochen und darüber, wie man sich am besten dagegen absichert.
Business Circle: Sehr geehrte Frau Mag. Keltner, Sie sind Director Cyber Solutions bei AON Österreich, können Sie uns kurz den Weg skizzieren, der dorthin geführt hat, was Sie jetzt tun?
Kerstin Keltner: Ich habe mich bereits im Jus Studium auf die Bereiche IT- und Versicherungsrecht spezialisiert. Als ich dann im Jahr 2014 ins Berufsleben eingestiegen bin, kamen die ersten Cyber-Produkte auf den österreichischen Markt und mein damaliger Arbeitgeber war der Ansicht einen besseren „Fit“ gibt es gar nicht und hat mir diese Thematik übertragen. Seit diesem Zeitpunkt beschäftige ich mich intensiv mit dem Produkt Cyber-Versicherung.
BC: Sie haben im Jahr 2017 den „Kurzleitfaden für Versicherungsmakler zur DSGVO“ herausgegeben. Hat sich im Laufe der Jahre seit der Einführung der DSGVO alles so entwickelt, wie Sie das erwartet haben und wo sind die größten Unterscheide?
Keltner: Insbesondere im Bereich der Versicherungsmaklerbranche habe ich eine starke Verbesserung in Bezug auf den Umgang mit personenbezogenen Daten bemerkt. Viele Versicherungsmakler setzen sich seit der Einführung der DSGVO und insbesondere seit der Erlassung der Code of Conducts für Versicherungsmakler intensiv mit dem Thema Datenschutz auseinander. Die österreichischen Versicherungsmakler haben erkannt, dass die sorgfältige und ordnungsgemäße Verarbeitung von personenbezogenen Daten wesentlich ist, um eine vertrauensvolle Geschäftsbeziehung mit dem Versicherungskunden zu gewährleisten.
BC: Welche Risiken sollten bei einer Cyberversicherung vorrangig abgedeckt sein? Oder, anders herum: Wo lauert das größte Schadenspotential für Unternehmen?
Keltner: Die Cyberversicherung versichert Schäden die in Folge einer Informationssicherheitsverletzung eintreten. Verschiedenste Ursachen können zu einer Informationssicherheitsverletzung führen. Die Cyberversicherung beschränkt sich hierbei nicht nur auf externe Cyber-Angriffe (z.B.: einen Angriff mittels Ransomware, Datenspionage oder ein DDoS-Angriff etc.) sondern umfasst weitere (logische) Ursachen. Diese „logischen Ursachen“ sind technische Probleme, eine Fehlbedienung und Datenschutz-/Geheimhaltungspflichtverletzungen. Ein gutes Versicherungsprodukt bietet für alle genannten Gefahren und sowohl für externe als auch interne Angreifer Versicherungsschutz.
Eine Cyberattacke erzeugt unfassbar viele Kosten
BC: Wie wird der entstandene Schaden bemessen, welche Kosten werden abgedeckt? Wenn (vorerst unbemerkt) Daten gestohlen werden, ist der materielle Schaden ja zunächst einmal gering.
Keltner: Eine Cyberattacke erzeugt unfassbar viele Kosten, sei es in Bezug auf das Krisenmanagement, die IT-Forensik, die Beseitigung der Schadsoftware, die Datenwiederherstellung oder Kosten zur Aufrechterhaltung der (teilweisen) Betriebstätigkeit. Des Weiteren benötigt man im Krisenfall Unterstützung im Bereich der Öffentlichkeitsarbeit und umfassende rechtliche Beratung, sei es in Bezug auf behördliche Meldepflichten oder arbeitsrechtliche Thematiken. All diese Kostenpositionen müssen durch ein gutes Cyberversicherungsprodukt versichert sein.
BC: Daran anschließend: Gibt es bei Cyberrisiken und der Absicherung dagegen grundsätzliche Unterschiede für Industrieunternehmen und Banken?
Keltner: Nein, im Kern benötigen beide Branchen denselben Versicherungsschutz. Im Bereich der Risikoerhebung und der Risikoreduzierung bestehen jedoch enorme Unterschiede. Bei einem Industrieunternehmen muss der Fokus sehr stark auf OT-Komponenten gelegt werden und im Business Continuity Management müssen andere Faktoren als im Bereich von Finanzunternehmen Beachtung finden. Wichtig ist in beiden Bereichen, dass der Berater im Zuge des Assessments überprüft ob die neuen EU-Regularien NIS 2 bzw DORA auf die Unternehmen Anwendung finden und dies im Bereich der Umsetzung von Maßnahmen zur Risikoreduktion berücksichtigt.
Des Weiteren muss man im Rahmen der Beratung immer darauf achten, welches Versicherungsmodell dem Versicherungsinteressenten passt. Ich muss einen risikoaffinen Klienten nicht von Kopf bis Fuß versichern, das wäre vollkommen überbordend. Einen risikoaversen Klienten hingegen kann ich kein Versicherungskonzept mit einem hohen Eigenbehalt vermitteln. Die Risikoaffinität ist aber nichts branchenabhängiges, dies ist sehr subjektiv und muss vor der Einholung von Offerten beim Klienten erhoben und ausführlich besprochen werden.
Cybersicherheit kann man nicht anfassen
BC: Der Abschluss einer Cyberversicherung ist ein Projekt, bei dem sowohl die Rechtsabteilung wie die IT involviert sein können. Wie ist das in Ihrer Erfahrung: Verstehen sich beide oder gibt es da noch Verbesserungspotenzial in der gegenseitigen Kommunikation?
Keltner: Teilweise, meistens sind die Geschäftsführung, insbesondere der/die CFO und die IT-Abteilung involviert. Grundsätzlich ist die Abstimmung zwischen diesen „Abteilungen“ gut, es ist jedoch für die IT-Abteilung zeitweise schwierig, den Vorteil einer Maßnahme zur Stärkung der Cybersicherheit ausreichend zu begründen und zu rechtfertigen. Cybersicherheit kann man nicht anfassen und sie erschwert teilweise die Arbeit, dies macht es für die Geschäftsführung oftmals sehr schwierig positive Entscheidungen in Bezug auf die Einführung derartiger Maßnahmen zu treffen. Wenn man der Geschäftsführung jedoch vor Augen führt, wie hoch ein Schaden sein kann und welchen Input die Einführung dieser Maßnahme in Bezug auf die Eintrittswahrscheinlichkeit des Schadens hat, dann wird die Sache greifbarer. Ein guter Risikoberater kann hier mittels einer belastbaren Quantifizierung unter Berücksichtigung der von der IT vorgeschlagenen Maßnahmen zur Risikoreduktion vermitteln. Eine derartige Quantifizierung sollte vor der Transferierung des Risikos in eine Versicherungslösung unbedingt durchgeführt werden, nur hiermit lässt sich das potentielle Schadenausmaß und die benötigte Versicherungssumme ermitteln.
BC: Abschließend: Sie kennen die PriSec ja schon aus eigener Erfahrung, möchten Sie Ihren Eindruck vom dieser Konferenz mit uns teilen?
Keltner: Sehr gerne, mein Eindruck ist ein sehr, sehr guter. Die PriSec ist die Veranstaltung für die IT-Security und Datenschutz-Community. In Österreich gibt es kein besseres Event zum -Vernetzen und Austauschen.
BC: Liebe Frau Keltner, wir danken Ihnen für dieses Gespräch und freuen uns, Sie auf der PriSec zu begrüßen!
Mag. Kerstin Keltner ist Cyber Risk und Insurance Expertin, zertifizierte Datenschutzbeauftragte und Director Cyber Solutions bei AON Österreich. Am 9. Oktober 2023 hält sie auf der PriSec einen Impulsvortrag zum Thema "Cyberversicherungen - eine klare Strategie, die im Notfall Klarheit gibt"