Ist eine Cyberversicherung notwendig?

In letzter Zeit ist die Cyber-Kriminalität immer mehr in den Blickpunkt großer Unternehmen gefallen. Hacker-Angriffe, Datendiebstähle oder auch die Betriebsspionage haben mit der fortschreitenden Digitalisierung immer mehr um sich gegriffen, das Risiko, Opfer eines Cyberangriffs
zu werden, ist also in letzter Zeit stark gestiegen. Dabei kann der Diebstahl von Kundendaten, anderen Informationen oder Erpressungen schnell zu Verlusten in Millionen- höhe führen.

Laut einer forsa-Umfrage haben bereits 25% der digitalen Unternehmen einen Cyberschaden genommen. Noch höher ist die Zahl der Unternehmen, welche einen Umsatzverlust durch einen Cyberschaden fürchten, hier sind es ganze 66% der digitalen Unternehmen. Am größten ist jedoch die Zahl der digitalen Unternehmen, welche einen Reputationsverlust fürchten, der mir einem solchen Cyberangriff einhergeht, denn 73% sehen diese Gefahr. Die Relevanz der Hacker-Attacken und anderer Cyber-Angriffe ist somit erheblich, sodass die digitalen Unternehmen nach Möglichkeiten suchen, sich gegen solche Schäden abzusichern. Eine solche Absicherungsmöglichkeit ist eine Cyberversicherung.

Der vorliegende Beitrag soll daher beleuchten, welche Leistungen Cyberversicherungen bieten, wer sich versichern kann und was man vor Abschluss einer solchen Cyberversicherung unbedingt wissen sollte.

Nationale Lage

Sicher einer der bekanntesten Fälle eines Cyber-Angriffs der letzten Jahre war der Angriff auf Sony Pictures. Aber auch der deutsche Bundestag ist schon Opfer eines Cyber-Angriffes geworden. Selbst große Unternehmen bzw. Regierungsapparate sind also vor Cyber-Angriffen nicht gefeit. In Deutschland ist die Lage dabei besonders prekär, wie einige Studien festgestellt haben. Deutsche Unternehmen sollten daher in besonderer Weise über eine Cyber-Versicherung nachdenken.

Besonders erschreckend war dabei die Feststellung der weltweiten Untersuchung des „Center for Strategic and International Studies“, dass Schäden durch Cyberangriffe im Verglich nirgends so hoch ausfallen wie in Deutschland. Diese Zahlen werden auch durch die aktuelle E-Crime-Studie der Wirtschaftsprüfungsgesellschaft KPMG bestätigt. Kommt es also zu einem Angriff, sind die Schäden für deutsche Unternehmen meist sehr einschneidend. In den letzten zwei Jahren soll nach der Studie von KPMG der Gesamtschaden bei ganzen 54 Milliarden Euro gelegen haben. Erschreckende Zahlen für Unternehmen, die sich vor Cyber-Angriffen fürchten müssen.

Auch was die Gefährdung durch Cyber-Angriffe angeht, sind deutsche Unternehmen leider vorne mit dabei, wie die besagten Studien festgestellt haben, denn 40 % der befragten Unternehmen waren in den letzten zwei Jahren von Cyberkriminalität oder auch „E-Crime“ betroffen. Verglichen mit Studien der letzten Jahre ist dabei eine stetig wachsende Tendenz zu erkennen. Daher schätzen auf Nachfrage sogar ganze 98 % der Unternehmen das Risiko, dass deutsche Unternehmen Opfer von E-Crime werden, als hoch oder sogar sehr hoch ein. Dass sich Unternehmen durch Vorsichtsmaßnahmen vollständig vor Cyber-Attacken schützen können, ist daher wohl als utopisch anzusehen – zumindest für solche Unternehmen, welche von Technologie abhängig sind. Dies wird wegen der anhaltenden Technologisierung mittlerweile allerdings auf die meisten Unternehmen zutreffen.

Die vorgenannten Zahlen und Risiken würden daher vermuten lassen, dass Unternehmen ergänzend zu bestmöglichen Vorsichtsmaßnahmen auch etwaige Schäden rückversichern, wie es mit einer Cyber-Versicherung möglich wäre. Nach Einholung von Informationen bei den Anbietern solcher Versicherungen ergibt sich jedoch in einigen Studien das Bild, dass sich lediglich etwa 10 % der deutschen Unternehmen eine Versicherung gegen Attacken aus dem Cyberbereich abgeschlossen haben. Diese geringe Zahl geht vollkommen konträr zu den Risiken und möglichen Schadenssummen. Einzelne Studien sehen dies als Folge davon, dass etwa 25% der deutschen Geschäftsführer noch nie an einer Sitzung mit Führungskräften oder Vorstandskollegen zum Thema „Cyber Security“ teilgenommen haben. Der weitweite Durchschnitt in dieser Kategorie liegt lediglich bei 5 %. Die Cybersicherheit scheint daher in vielen deutschen Unternehmen noch nicht den Stellenwert eingenommen zu haben, die es anhand der dargelegten Zahlen eingenommen haben sollte.

Cyberversicherung sinnvoll für Unternehmen?

Ein Grund, warum viele Führungsetagen bisher wenig Wert auf Cyberversicherungen gelegt haben könnte sein, dass sie die Schadenssummen als zu hoch betrachten, als dass diese tatsächlich überhaupt sinnvoll abgesichert werden könnten. Grundsätzlich ist bei hohen Schadenssummen ja auch mit hohen Policen zu rechnen, sodass es fraglich sein kann, ob der Abschluss einer Cyberversicherung tatsächlich sinnvoll ist. Wenn man sich allerding vor Augen führt, dass die durchschnittliche Schadenssumme etwa 370.000€ beträgt und meist noch weitere Ermittlungs- und Folgekosten von durchschnittlich 70.000€ dazu kommen, findet man ein weites Feld kaufmännisch sinnvoll versicherbarer Schäden. Studien belegen dabei, dass manche Deliktsarten bis zu 50 mal häufiger vorkommen als andere. Grade vor diesen häufigen Angriffen sollte man sich daher zumindest schützen. Die Versicherungsanbieter haben dabei in den letzten Jahren ihre Angebote erweitert und ausgebaut, um ein bestmögliches Produkt anzubieten.

Entwicklung und Inhalt der Cyberversicherungsangebote

In Deutschland wurden die ersten Cyberversicherungen 2011 angeboten und haben seitdem einen stetigen Aufschwung erlebt. Zur Zeit gibt es 13 Anbieter von Cyberversicherungen für gewerbliche Kunden in Deutschland. Noch größerer Beliebtheit erfreuen sich jedoch – wie eingangs schon erwähnt – Cyberversicherungen in anderen Ländern, wie beispielsweide den USA und in Großbritannien.

Eine Cyberversicherung ist an sich sehr vielseitig und kann verschiedene Risiken abdecken. Dabei reicht das Angebot von Standardversicherungen bis zu konkreten Individuallösungen, die auf ein Unternehmen zugeschnitten werden. Dabei ist der Umfang der einerseits abgesicherten und andererseits ausdrücklich ausgeschlossenen Risiken oft frei wählbar. Standard bei nahezu allen Anbietern ist die Übernahme der Kosten für das Abwehren unberechtigter und das Begleichen berechtigter Schadensersatzansprüche Dritter sowie die Haftpflicht infolge von Hackerangriffen, Denial-of-Service-Attacken, Verletzungen des Datenschutzes oder aufgrund funktionierender digitaler Kommunikation. Auch direkte Schäden durch Denial-of-Service-Attacken, Kosten für die Aufrechterhaltung des Geschäftsbetriebs sowie Verdienst- und Ertragsausfälle bei Betriebsstörungen werden bei den meisten Anbietern standardmäßig versichert. Gleiches gilt für die Schadensregulierung bei gefälschten, ausgespähten und abgefangenen Daten, bei der Computersabotage und durch das Erschleichen von Zugangsdaten. Schäden aufgrund der Sabotage von IT-Anlagen zur Steuerung von Maschinen und Anlagen übernehmen jedoch bspw. nicht alle Versicherungsanbieter gleichermaßen. Auch die Kosten für Ersatzleistungen, Reparaturen oder Neuanschaffungen dieser Maschinen und Anlagen werden nicht bei allen Anbietern standardmäßig erstattet. Hier ist also im Einzelfall mit dem Anbieter zu klären, welche konkreten Schäden tatsächlich übernommen werden sollen.

Kosten, die durch das Wiederherstellen gestohlener, zerstörter, beschädigter oder blockierter Daten, Programme und Netzwerke nach einer Cyberattacke anfallen, können bei allen Anbietern versichert werden. Grade für Unternehmen, deren Geschäftsmodell die Nutzung von vielen Kundenkontaktdaten beinhaltet, sollten hiervon Gebrauch machen.

Cyberversicherung gegen Erpressung?

Auch Erpressungen haben ihren Weg in den digitalen Bereich gefunden – weswegen sie auch durch eine Cyberversicherung versicherbar sein können. Entstehen also Schäden oder Aufwendungen wegen Erpressungen über das Internet – bspw. Lösegeldzahlungen – so können diese bei nahezu allen Anbietern als Regulierungsschaden versichert werden. Solche Erpressungsversuche haben in den letzten Jahren ebenfalls zugenommen und sind aktuell eher häufig, oft auch im Zusammenhang mit sog. Ransomware. Diese Schadsoftware verschlüsselt Daten wie Systeme, die Entschlüsselung soll nur gegen die Zahlung eines Lösegeld vorgenommen werden. Bei der Versicherung kann sodann nachgefragt werden, welche Schäden genau abgesichert werden: Nur die Lösegeldzahlung, oder auch der Schaden, der entsteht, wenn eine Entschlüsselung nicht mehr oder nur unzureichend funktioniert?

In den Fällen des klassischen Internetbetrugs oder der Urkundenfälschung muss ebenfalls genau geschaut werden, welche Anbieter welche Fälle absichern, denn nicht alle zahlen in solchen Fällen eine Regulierungssumme.

Externe Krisen- und Kommunikationsmanager

Ist ein Schadensfall eingetreten, müssen Unternehmen in der Folge oft auf verschiedene Fachleute zurückgreifen. Anbieter von Cyberversicherungen tragen meistens auch deren Kosten, bspw. wenn externe Krisen- und Kommunikationsmanager eingesetzt werden, welche die Reputation des Unternehmens schützen. Auch die Kosten für Juristen für die anstehende Verteidigung gegen Schadensersatzansprüche sowie für die Verfolgung der Täter werden meistens von den Cyberversicherungen abgedeckt. Versicherer können dabei sogar eine vermittelnde Stellung einnehmen, denn häufig haben sie fachkundige Kräfte in der Hinterhand, welche im Ernstfall schnell tätig werden können.

Wenn eine Cyberattacke auf personenbezogene Daten zielt oder diese berührt, müssen regelmäßig die Datenschutzbehörden informiert werden. Die Aufwendungen dafür übernehmen nahezu alle Anbieter von Cyberversicherungen.

Cyberversicherung bei „internen“ Tätern

Cyberangriffe erfolgen jedoch nicht immer von außen, oft erfolgt der Angriff auch von sog. „internen“ Tätern. Bei der Behandlung der Schäden durch diese internen Täter sind große Unterschiede zischen den Versicherungsanbietern festzustellen. Zwar übernehmen fast alle Versicherer die Schäden infolge des Löschens und Manipulierens von Daten durch Bedienungsfehler. Dies stellt aber streng genommen gar keinen echten Cyberangriff dar, sondern lediglich einen Vorfall in einer Cybersystemumgebung mit potenziell vergleichbaren Auswirkungen. Fraglich ist bei der Regulierung solcher Schäden, ob nur der veränderte Zustand der Daten selbst oder die daraus resultierende Auswirkung gedeckt sind.

Die gleiche Lage ergibt sich bei der Deckung von Schäden durch das unbeabsichtigte Verbreiten von Malware, etwa durch Weiterleiten befallener E-Mail-Anhänge oder verseuchte Websites. Auch diese Schäden übernehmen nahezu alle Versicherungsanbieter. Direkte oder indirekte Vermögensschäden bei Kunden aufgrund von Softwareentwicklungsfehlern werden jedoch nur von einigen wenigen Anbietern übernommen.

Ein Sonderfall sind vorsätzlich handelnde interne Täter, etwa bei der Betriebsspionage. Durch eine Cyberversicherung können Schäden versichert werden, die auf Mitarbeiter zurückzuführen sind, die Schwachstellen in Informations- und Kommunikationstechnologien sowie Kontrollmaßnahmen ausnutzen. Schäden durch vorsätzliche Programm- und Datenänderungen durch Mitarbeiter sowie die widerrechtliche Nutzung von IT-Systemen werden als regulierungsfähige Posten bei nahezu allen Anbietern von Cyberversicherungen aufgeführt. Zu erfragen bleibt allerdings jeweils der konkrete Umfang der Cyberversicherung; gleiches gilt für Schäden infolge fahrlässigen Handelns.

Cyberversicherung im Zusammenhang mit handelnden Dritten

Häufig werden Daten von Unternehmen an Subunternehmen ausgelagert, die vor allem im Wege der Auftragsdatenverarbeitung Handlungen für das Unternehmen vornehmen. Dies können Cloud-Anbieter oder Geschäftspartner sein. In solchen Konstellationen ist das besondere Augenmerkt darauf zu richten, welche Regelungen zu Cyberangriffen auf verbundene Dritte in der Cyberversicherung aufgeführt sind. Das Angebot der einzelen Anbieter gestaltet sich hier unterschiedlich, nicht alle decken auch solche Schäden ab. Deckt eine konkrete Police solche Schäden nicht ab, sollte das Subunternehmen selbst eine Cyberversicherung abschließen, um nicht selbst unter massiven Schadensersatzforderungen zu leiden.

Personen- und Sachschäden sowie Strafzahlungen

Die meisten Anbieter von Cyberversicherungen haben ausdrücklich festgelegt, dass Personen- und Sachschäden nicht abgesichert werden. Auch Strafzahlungen nach Verurteilungen sind bei einem Großteil explizit nicht gedeckt sondern müssen vom Unternehmens selbst getragen werden.

Was es zu beachten gibt

Möchte ein Unternehmen eine Cyberversicherung abschließen, kann sie nach Bedarf zwischen standardisierten Policen und individuellen Lösungen wählen, wobei auf alle bisher eingegangenen Schadenstypen Rücksicht genommen werden sollte. Die Versicherungssumme ist bei allen momentanen Anbietern immer nach oben, oft jedoch auch nach unten hin gedeckelt. Hier ist je nach Größe und Gefährdung des Unternehmens eine individuelle Beratung nötig.

Bevor Anbieter von Cyberversicherungen eine Police mit einem Unternehmen abschließen, lassen sie das zu versichernde Unternehmen meist einer Risikoprüfung unterziehen. Häufig wird auch ein Risikodialog zwischen internen Sachverständigen des potenziellen Versicherungsnehmers sowie IT-(Sicherheits-) und Forensik-Experten über den Gefährdungs- grad und den vorhandenen Schutz geführt. Ebenfalls denkbar sind sog. Penetrationstests durch externe Sachverständige.

Zusammenfassung: Besonderheit der Cyberversicherung

Im Gegensatz zu herkömmlichen Versicherungsprodukten unterscheiden sich Cyberversicherungen vor allen Dingen in ihrem ganzheitlichen, spartenübergreifenden und sachschadenunabhängigen Ansatz. So werden sowohl Eigen- als auch Drittschäden (Haftpflichtkomponente) mitversichert. Ebenso wenig spielt die Herkunft des Täters (unternehmensintern oder -extern) eine Rolle, sie hat keinen Einfluss auf die Regulierung im Schadensfall. Zudem bieten Cyberversicherungen dem Kunden die Möglichkeit, sich zusätzliche Expertenunterstützung durch IT-Forensik- Sachverständige oder Kommunikationsmanager einzukaufen. Das ist laut den Versicherern konzeptionell bei den traditionellen Produkten nicht zu leisten.

Trotzdem sind sich die meisten Versicherungsunternehmen einig, dass Unternehmen ihre bisherigen Versicherungspolicen beibehalten sollten. Sie begründen es damit, dass die Cyberversicherung lediglich eine Erweiterung des Versicherungsschutzes als Reaktion auf eine wachsende Bedrohungslage ist und ihn nicht ersetzt. Dennoch empfehlen einige Versicherer ein Überprüfen und gegebenenfalls Anpassen des Versicherungsportfolios gegen Beitragsminderungen von anderen Policen. Hierbei ist zu beachten, dass die Cyberpolice zumeist vorrangige Deckung vor an- deren Versicherungen hat. Oft sind die tatsächlichen Überschneidungen aber geringer als allgemein angenommen. Am meisten rechnet sich eine Cyberversicherung für Industrieunternehmen, Dienstleister oder Firmen IT-naher Branchen, deren Umsätze stark von Informationstechnik abhängen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 4,50 von 5
Loading...


Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*