Artikel erschienen am 00.00.0000
E-Paper

Cyberversicherung

Wie lassen sich informationstechnische Risiken zukünftig absichern?

Von Ralf Stelzer, Braunschweig | Marlon Purps, Braunschweig

„Warum sollte sich jemand die Mühe machen, sich in unsere Daten zu hacken?“ Viele Unternehmen halten sich für zu klein, als dass sie ins Visier von kriminellen Hackern geraten könnten – „das ist ein gefährlicher Irrglaube“ wird Alexander Erdland, Präsident des Gesamtverbandes der Deutschen Versicherungswirtschaft zitiert. Häufig kann bei IT-Angriffen weder auf die Identität noch auf die Hintergründe des Angreifers geschlossen werden. Eine Vielzahl von Hackerangriffen richtet sich nicht einmal gezielt gegen ein bestimmtes Opfer. Hier entsteht die eigentliche Gefahr: Jeder ist ein potenzielles Opfer.

Was ist eine Cyberversicherung?

Stellen Sie sich einmal vor, Ihre gesamte IT fällt aus: Was machen Ihre Mitarbeiter, wenn die Server nicht am Netz sind? Welche Kosten entstehen Ihnen dadurch?
Um sich vor solchen Risiken zu schützen, gibt es zahlreiche Sicherheitsmaßnahmen, die ein Unternehmen ergreifen kann, wie bspw. eine regelmäßige Daten­sicherung durch Backup-Systeme, aber auch ein Notfallhandbuch hilft im „Worst Case“ das Richtige zu tun. Ist Ihr Unternehmen dennoch Opfer eines Hackerangriffs geworden, hilft Ihnen eine sog. Cyberversicherung.

Die Geschichte der Cyberversicherung

Durch die fortschreitende Digitalisierung erwachsen neue Risiken. Galt die EDV in vielen Firmen früher nur als Unterstützung der täglichen Arbeit, so ist sie heute nicht mehr wegzudenken. Im Großteil aller Firmen sind sämtliche Prozesse nur noch elektronisch abgebildet, das Arbeiten mit Akten und schriftlichen Notizen gehört der Vergangenheit an. Informationen sind elektronisch jederzeit und überall abrufbar. Die steigende Abhängigkeit wird jedoch erst bei einem tatsächlichen Ausfall der IT ersichtlich. Eine Absicherung gegen diese „Cyberrisiken“ kann man seit etwa 4 Jahren in Deutschland abschließen. In den ersten auf dem Markt erschienenen Versicherungsbedingungen waren die versicherten Schadenereignisse zunächst jeweils einzeln definiert. Trat eines dieser beschriebenen Schadenereignisse ein, wurde eine Leistung fällig, nicht genannte Schadenereignisse waren nicht versichert.

2017: Paradigmenwechsel in der Cyberversicherung

Im Jahr 2017 ist viel passiert: Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat sog. Musterbedingungen zur gewerblichen Cyberversicherung veröffentlicht. Diese Musterbedingungen sollen Versicherern die Entwicklung von Angeboten erleichtern und dienen als eine Art „Wegweiser“. Die Musterbedingungen sind im Vergleich zu den bis dato marktüblichen Versicherungsbedingungen häufig umfangreicher und vor allem beinhalten sie einen weiter gefassten Versicherungsbegriff. Eine Cyberversicherung leistet heute nicht nur bei Datenklau und Betriebsunterbrechungen, sondern übernimmt auch Kosten für IT-Forensiker, Krisenkommunikation und vor allem für eine Soforthilfe im Schadenfall, um den Folgeschaden möglichst gering zu halten. Im Vergleich zu Schadenfällen in anderen Versicherungssparten kann in der Cyberversicherung der tatsächliche Schaden anfänglich nicht klar definiert werden. Das potenzielle Schadenspektrum ist meist um ein Vielfaches höher.

Wie ist eine Cyberversicherung aufgebaut und was ist genau versichert?

In den Musterbedingungen des GDV zur Cyberversicherung wird das versicherte Risiko einer Cyberversicherung erstmalig als eine „Informationssicherheitsverletzung“ definiert. Diese ist wie folgt beschrieben: „[…] Informationssicherheitsverletzung ist eine Beeinträchtigung

  • der Verfügbarkeit,
  • der Integrität und
  • der Vertraulichkeit

von elektronischen Daten des Versicherungsnehmers oder von informationsverarbeitenden Systemen, die er zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt.“ Der Begriff „elektronische Daten“ umfasst in diesem Sinne auch sämtliche Softwares und Programme. Eine Cyberversicherung deckt neben Eigenschäden auch Drittschäden ab und stellt eine Vielzahl an Serviceleistungen für den Notfall zur Verfügung.

Anhand eines realen Beispiels, dem in 2016 in Umlauf geratenen Trojaner „Locky“, wollen wir Ihnen das gesamte Leistungsspektrum einer Cyberversicherung veranschaulichen:
„Locky“ ist eine Schadsoftware, die in verschiedenen Ländern der Welt – und insbesondere in Deutschland – in Umlauf geraten ist. Es handelt sich dabei um einen Verschlüsselungstrojaner, der bei Infizierung eines Rechners den Zugriff auf die gespeicherten Daten verschlüsselt. Ist der Server befallen, steht im schlimmsten Fall der gesamte Geschäftsbetrieb still. Bei einem Cybergriff ist es notwendig, schnell zu handeln. Die Cyberversicherung stellt speziell geschulte Experten, sogenannte IT-Forensiker, zur Verfügung, die im Notfall analysieren können, warum und wie ein Netzwerk lahmgelegt wurde. So kann das Ausmaß eines Schadens eingeschätzt und mögliche Folgeschäden verhindert werden (Serviceleistung).

Sowohl für die entstandene Betriebsunterbrechung als auch für die Kosten der Rekonstruierung befallener Daten und die Entfernung dieser Schadsoftware kommt die Cyberversicherung auf (Eigenschäden).

Wird im Rahmen einer forensischen Untersuchung festgestellt, dass durch diesen Cyberangriff bestimmte Daten, wie bspw. die gesamte Kundendatei, entwendet wurden, besteht für das betroffene Unternehmen eine Meldepflicht. Weigert sich ein Unternehmen, drohen erhebliche Bußgelder. In so einem Fall stellt die Cyberversicherung den Kontakt zu Anwälten aus dem IT- und Datenschutzrecht her. Zudem kann das betroffene Unternehmen für diese ungewollte Datenübermittlung haftbar gemacht werden und die geschädigten Kunden können bei Missbrauch ihrer Daten Schadenersatz verlangen. Die Cyberversicherung prüft in diesem Fall die Haftpflichtfrage, entschädigt die geschädigten Kunden und wehrt unberechtigte Schadenersatzansprüche ab (Drittleistung).

Solch ein Szenario kann schnell zur Schlagzeile „Datenklau bei …“ führen und den Ruf eines Unternehmens nachhaltig schädigen. Auch hier bietet die Cyberversicherung eine passende Lösung an. Durch den Einsatz von professionellen PR- und Krisenberatern wird versucht, einen Imageverlust zu vermeiden und die öffentliche Reputation zu wahren.

Nicht jeder Hackerangriff ist ein existenzbedrohendes Risiko. Häufig steht nicht die Erstattung eines rein monetären Schadens im Fokus, sondern die durch die enthaltenen Serviceleistungen angebotene Hilfe, um den gewohnten Betriebsablauf möglichst schnell wiederherzustellen.

Welche Mindeststandards muss ein Unternehmen aufweisen?

Kaum ein anderer Bereich in einem Unternehmen unterliegt einem so stetigen Wandel wie die IT. Sicherheitsmaßnahmen müssen regelmäßig aktualisiert und erneuert werden. Um eine Absicherung individuell zu gestalten, muss eine Bedarfsermittlung anhand einer Ist-Analyse erfolgen. Vereinfacht gesagt, prüft die Versicherungsgesellschaft zunächst, ob der Kunde sein Möglichstes getan hat, um sich vor einer Vielzahl von Cyberbedrohungen zu schützen. Nur bei Einhaltung definierter Mindestanforderungen kann der Versicherungsschutz geboten werden. Je nach Größe, Unternehmenszweck und Anzahl der Datensätze variieren diese Mindestanforderungen. Grundlegend sollte jedes Unternehmen dafür Sorge tragen, dass die Software auf dem aktuellen Stand ist, eine regelmäßige Datensicherung stattfindet und neben einer Antivirensoftware eine Firewall den Zugang in das Firmen-Netzwerk beschränkt. Wenngleich diese Anforderungen als Mindeststandards für einen Versicherungsschutz zu verstehen sind, sollten diese Maßnahmen unabhängig hiervon Bestandteil einer gut aufgestellten Unternehmens-IT sein.

Was kostet eine maßgeschneiderte Absicherung?

Die Prämiengestaltung in der Cyberversicherung ist von zahlreichen Faktoren abhängig und erfolgt sehr individuell. Anhand von zwei Beispielen wollen wir Ihnen eine Größenordnung möglicher Prämiensätze aufzeigen:

  1. Ein Unternehmen mit einem Jahresumsatz von 1 Mio. Euro und bis zu 5 000 gespeicherten Datensätzen zahlt für eine Cyberversicherung mit einem Versicherungsumfang ähnlich der Musterbedingungen des GDV, einer Versicherungssumme von 250 000 Euro und einer vereinbarten Selbstbeteiligung von 1 000 Euro einen Jahresbeitrag von ca. 795 Euro (inkl. Versicherungssteuer).
  2. Ein Unternehmen mit einem Jahresumsatz von 5 Mio. Euro und bis zu 20 000 gespeicherten Datensätzen zahlt für eine Cyberversicherung mit einem Versicherungsumfang ähnlich der Musterbedingungen des GDV, einer Versicherungssumme von 1 Mio. Euro und einer vereinbarten Selbstbeteiligung von 2 500 Euro einen Jahresbeitrag von ca. 2 950 Euro (inkl. Versicherungssteuer).

Die Prämienkalkulation und die geforderten Mindestsicherungen sind abhängig von der Anzahl und der Art der gespeicherten Datensätze. Enthalten die zu versichernden Datensätze unter anderem Angaben zu Kreditkartendaten, wird das Risiko höher bewertet und die Prämie steigt entsprechend. Wir können nur empfehlen:
Lassen Sie sich ein verbindliches Angebot für Ihr Unternehmen erstellen.

Ähnliche Artikel

Finanzen Steuern Recht

Maßnahmen zur Verbesserung der Informationssicherheit im Mittelstand

Informations- und Kommunikationstechnologien sind auch für den deutschen Mittelstand eine der wesentlichen Geschäftsgrundlagen und damit ein Treiber für Innovationen. Der Mittelstand ist aber zugleich auch allen Formen der digitalisierten Wirtschaftskriminalität ausgesetzt. Der Informationssicherheit kommt daher mehr denn je eine Schlüsselrolle zu.

Ostwestfalen/Lippe 2015 | Dipl.-Ing. Andreas Wenzel, Bielefeld | Gregor Teipel, Bielefeld

Finanzen Steuern Recht

Outsourcing der Personalverwaltung

Spart Zeit und Kosten

Oftmals hat in schwierigen wirtschaftlichen Situationen die Auslagerung der Personalverwaltung ihren Charme: Unternehmen möchten Kosten sparen. In Zeiten des Wachstums werden Kostenoptimierungen nur selten angestrebt.

Braunschweig/Wolfsburg 2017 | Dipl.-oec. Marco Reimann, Salzgitter