Cyberversicherung für Unternehmen: Was ist das & was leistet sie?

Die Digitalisierung schreitet immer weiter voran. Kaum ein Unternehmen arbeitet heutzutage noch ohne ein IT-System. Die digitalisierten Prozesse werden immer umfangreicher und die Abhängigkeit von der IT immer größer. Das hat zur Folge, dass die Bedrohungslage durch Cyberattacken dramatisch zugenommen hat. 30% der Unternehmen im Mittelstand berichten von Schäden durch Cyberattacken.
Die Frage lautet nicht mehr ob, sondern wann Unternehmen Opfer eines digitalen Angriffs werden. Es gibt heutzutage mehr Cyberangriffe als Einbruchsdiebstähle.

Die Folgen eines Cybervorfalls können schwerwiegende wirtschaftliche Folgen für das betroffene Unternehmen nach sich ziehen. Ein Ausfall der IT kann z.B. schnell zu einem Produktionsausfall führen. 43 % der betroffenen Unternehmen mussten z.B. den Betrieb zeitweise stilllegen. Ebenso können Imageschäden und Vertrauensverlust Folge eines Cybervorfalls sein. Jedes dritte Unternehmen in Deutschland gerät nach einem ernsthaften Cyberangriff in finanzielle Schwierigkeiten.

Die Zahlen zeigen, IT- und Datensicherheit ist Chefsache! Es reicht nicht, die Verantwortung allein an die IT-Abteilung oder den Datenschutzbeauftragten abzugeben. Denn ein Cybervorfall kann schnell eine existenzielle Bedrohung darstellen. Damit das Cyberrisiko reduziert wird und ein Cybervorfall ein Unternehmen nicht aus der Bahn wirft, ist ein gutes funktionierendes Risikomanagement erforderlich. Teil dieses Risikomanagements ist die Cyberversicherung, sie schützt Unternehmen vor den finanziellen Folgen eines Cybervorfalls.

Zu diesem Thema hat die Keyed GmbH aus dem benachbarten Münsterland kürzlich ein Interview mit unserem Spezialisten für Cyber-Versicherungen Lars Besse geführt, um mehr darüber zu erfahren, vor welchen Risiken sich Unternehmen mit einer Cyberversicherung schützen können und welche Leistungen und Kosten eine Cyberversicherung beinhaltet.

Für alle Fragen zur Cyberversicherung stehen Ihnen unsere Spezialisten gerne zur Verfügung.

Keyed: Welche Risiken fallen unter den Begriff Cyber-Risiken?

Lars Besse: Unter den Begriff Cyber-Risiken sind diverse Risiken zu fassen, die in Folge eines Cyber-Vorfalls entstehen können. Der Begriff beschreibt kein einzelnes Risiko. Als solche Risiken sind insbesondere Datenverluste, Datenschutzverletzungen, die Unterbrechung der IT-Systeme und die Betriebsunterbrechung zu nennen. Aber auch das Ausspähen von Unternehmensgeheimnissen, die Erpressung und Verschlüsselung von Daten.

Keyed: Vor welchen Risiken werden Unternehmen durch eine Cyberversicherung geschützt?

Lars Besse: Eine Cyberversicherung schützt Unternehmen vor den finanziellen Folgen eines Cyber-Vorfalls. Sie ist allerdings keine Investition in die IT-Sicherheit und ersetzt diese auch nicht. Die Cyberversicherung ist Teil des Risikomanagements, um ein Unternehmen gegen die existenzgefährdenden Folgen eines Cyber-Vorfalls abzusichern.
Welche Leistungen sind Bestandteil einer Cyberversicherung?

Eine Cyberversicherung leistet im Allgemeinen für Eigenschäden und Drittschäden in Folge eines Cyber-Vorfalls sowie für Notfall-Dienstleistungen die zur Schadenbegrenzung erforderlich sind. Im Speziellen sind bei Eigenschäden die Kostenübernahme zur Wiederherstellung der Geschäftsdaten oder der Ertragsausfall in Folge einer Betriebsunterbrechung zu nennen. Drittschäden können z.B. die Schadenersatzforderung gegen den Versicherungsnehmer aufgrund einer Weitergabe eines Virus oder einer Datenschutzverletzung sein. Das Dienstleistungspaket umfasst u.a. die Kosten für IT-Forensik zur Ursachensuche, Krisenmanagement, PR-Beratung oder Rechtsberatung.

Keyed: Gibt es unterschiedliche Versicherungspakete für Cyberversicherungen?

Lars Besse: Die Angebotspalette der Versicherer ist zum jetzigen Zeitpunkt sehr unterschiedlich. Fast jeder Versicherer verwendet für seine Cyberversicherung eine eigene Bedingungsstruktur. Es gibt noch keine Branchenstandards. Einige Versicherer bieten die o.g. Leistungen als Versicherungskern an, die um einzelne Bausteine individuell und bedarfsgerecht angepasst werden können. Solche Bausteine sind z.B. „Betriebsunterbrechung durch Cloudausfall“, „Ersatz von IT-Hardware“ oder „Maßnahmen für Sicherheitsverbesserung nach einem Angriff“. Andere Versicherer bieten auch diese Bausteine in ihrem Komplettpaket an.

Keyed: Welche Leistungen gehören nicht zu einer Cyberversicherung?

Lars Besse: Die Leistung im Schadenfall wird begrenzt durch die Versicherungssumme. Grundsätzlich sind Sach- und Personenschäden nicht Gegenstand der Cyberversicherung. Wobei mittlerweile Produkte am Markt existieren, die auch bei Schäden an der IT-Hardware bis zu einer limitierten Summe leisten.

Ebenfalls gibt es Abgrenzungen zu anderen Versicherungssparten. Hier ist z.B. die Vertrauensschadenversicherung zu nennen. Diese leistet beispielweise bei Fake-President- oder CEO-Fraud-Angriffen auf das versicherte Unternehmen. Bei einem solchen Schadenszenario ist die Leistung der Cyberversicherung vom Angriffsweg abhängig. Ein Angriff via Mail ist Gegenstand der Cyberversicherung. Ein Angriff via Telefon eher nicht, da kein Angriff auf die IT vorliegt.

Keyed: In welchen Fällen leistet eine Cyberversicherung für Unternehmen nicht?

Lars Besse: Wie bereits erwähnt ist der Leistungsumfang der Cyberversicherer sehr unterschiedlich. In der Regel sind Schäden die vorsätzlich durch den Versicherungsnehmer oder seiner Repräsentanten verursacht wurden nicht versichert. Ebenso Schäden versicherter Unternehmen und Personen untereinander, Schäden aufgrund von Krieg oder aus der Verletzung von Kartell- und Wettbewerbsrecht, sowie Patenrecht.

Keyed: Für welche Unternehmen ist eine Cyberversicherung sinnvoll?

Lars Besse: Letztendlich ist die Cyberversicherung für jedes Unternehmen sinnvoll, welches digital arbeitet und Daten nicht nur in Papierform verwaltet. Das sollte in der heutigen Zeit auf fast jedes Unternehmen zutreffen.

Keyed: Mit welchen Kosten müssen Unternehmen für eine Cyberversicherung rechnen?

Lars Besse: Das ist ganz unterschiedlich und kann nicht pauschal gesagt werden. Die Prämie ist abhängig von mehreren Kriterien. Diese sind z.B.:

• Jahresumsatz des Unternehmens
• Mitarbeiterzahl
• Anzahl Datensätze
• Art der Daten
• Branche
• Stand der IT-Sicherheit
• Stand des Datenschutzes

Keyed: Was ist bei der Auswahl für Cyberversicherungen zu beachten?

Lars Besse: Bei der Auswahl sollte nicht die Versicherungsprämie als oberstes Entscheidungskriterium dienen, sondern ein Blick in die Obliegenheiten und Ausschlüsse im Bedingungswerk.

Eine günstige Versicherungsprämie klingt zwar verlockend aber in wie weit ist meinem Unternehmen geholfen, wenn beispielhaft Nicht-zielgerichtete Angriffe, wie WannaCry oder Petya, ausgeschlossen sind und keine Leistung erfolgt.

Eine andere Stolperfalle sind Obliegenheiten wie die „Stand der Technik Klausel“. Diese besagt, dass die IT-Sicherheit immer dem aktuellen Stand der Technik entsprechen muss. Doch was bedeutet das genau? Verstoße ich bereits gegen die Klausel sobald ich ein Windows-Update nicht umgehend ausgeführt habe und genau in dieser Zeit erfolgt ein Cyber-Angriff? Die Klausel bietet im Schadenfall viel Interpretations- und Diskussionsspielraum. Daher sollte sie tunlichst nicht in den Obliegenheiten auftauchen.

Den kompletten Beitrag von Keyed finden Sie hier.