Das Cyberrisk-Schadenpotenzial kann aufgrund der drei Elemente „Abhängigkeiten“, „Sensibilität“ sowie „Sicherheit & Prävention“ beurteilt und mit der Risikofähigkeit und -einstellung des Unternehmens abgeglichen werden, um den Bedarf einer Cyberversicherung zu eruieren.

1. Abhängigkeiten

Zur Ermittlung des Cyberrisk-Schadenpotenzials gilt es in einem ersten Schritt zu eruieren, wie stark der Betrieb von der Blockierung oder dem Verlust der Infrastruktur (IT-System) oder der gespeicherten Daten betroffen wäre. Eine grosse Abhängigkeit erhöht die Gefahr eines Betriebsunterbruchs und der damit einhergehenden Ertragsausfälle.

2. Sensibilität

Weiter gilt es zu prüfen, mit welcher Komplexität die Infrastruktur und die gespeicherten Daten verbunden sind. Hier sind insbesondere die Aufwände zur Wiederherstellung relevant sowie die Sensibilität der gespeicherten Daten (z.B. vertrauliche Personendaten) hinsichtlich allfälliger Haftungsansprüche.

3. Sicherheit & Prävention

Die Präventions- und Sicherheitsmassnahmen zum Schutz der IT-Systeme und Daten sind auf die ermittelten Abhängigkeiten und die Sensibilität aus- und einzurichten. Je nach erzieltem Sicherheitsgrad sowie verbleibenden Anfälligkeiten verringert sich das Cyberrisk-Schadenpotenzial. Die IT-Sicherheit kann in diesem Sinn als ein Filter verstanden werden, der möglichst viele Risiken reduziert.