Cyber-Versicherung

Cyberkriminelle attackieren die IT-Systeme von Unternehmen. Der Verlust von kritischen Daten und Zahlungsmitteln, die Unbrauchbarkeit von IT-Systemen (Hard- und Software), Reputationsschäden, aber auch die Inanspruchnahme auf Schadenersatz durch Dritte sind Folgen aus derartigen Angriffen.

„Als Versicherungsmakler sind wir davon überzeugt, dass Cyber Risiken in der Zukunft stark zunehmen und Schadensfälle sich massiv auf die Unternehmensbilanz sowie Reputation auswirken. Wir stufen dieses Risiko daher als Existenzgefährdend ein“.         

Sven Hoffmann

Die Cyberversicherung bietet Unternehmen die Möglichkeit, derartige Risiken auf einen Versicherer zu übertragen.

Cyberrisiken lassen sich in fünf Feldern definieren:

  1. Angriffe auf juristische oder natürliche Personen
  2. Angriffe auf Konten und Zahlungsmittel
  3. Angriffe auf Hardware, Software und/oder Daten
  4. Betriebsunterbrechung als Folge eines Ereignisses gemäß 1.), 2.) oder 3.)
  5. sowie wirtschaftliche Schäden aus Inanspruchnahme wegen Verschuldens (Haftpflicht) sowie Datenschutzvorfälle.
null
null
<span data-contrast='auto'>Es gilt als selbstverständlich, dass Unternehmen über Haftpflichtdeckungen verfügen. Auch Cyber-Vorfälle im Unternehmen können zu Schadenersatzansprüchen Dritter führen, die das Vermögen des Unternehmens gefährden. Dies setzt in der Regel Verschulden des Unternehmens voraus. Aber auch verschuldensunabhängig können zum Beispiel bei Datenschutzvorfällen erhebliche Kosten auf das Unternehmen zukommen (Stichwort DSGVO). Beide Varianten sind Gegenstand der Deckung dieses 5. Deckungselementes.</span></p> <p> </p> <p><span data-contrast='auto'>Beispiele:</span></p> <p> </p> <p><span data-contrast='auto'>Der Mitarbeiter eines Unternehmens leitet eine E-Mail mit Anhang an einen Empfänger bei einem anderen Unternehmen weiter. Der Anhang bei diesem E-Mail enthält Schadsoftware, die sich in dem Unternehmen des Empfängers verbreitet. In Folge dessen kommt es beim Empfänger zu Produktionsausfällen, für die er das Unternehmen des versendenden Mitarbeiters verantwortlich macht. Er fordert Schadenersatz.</span></p> <p> </p> <p><span data-contrast='auto'>In ein Unternehmen wird eingebrochen, Datenträger mit tausenden von Kundendatensätzen werden gestohlen. Die Täter machen diese Kundendaten (gewollt oder ungewollt) öffentlich. Der Vorfall wird bekannt und das Unternehmen hat alle Handlungsvorschriften zu erfüllen, die ihm für solche Fälle, beispielweise durch die DSGVO, auferlegt werden. Die Erfüllung dieser Pflichten ist ausgesprochen kostenintensiv; ein Verschulden des Unternehmens ist nicht erforderlich, um in eine solche Situation zu geraten.</span>

Um weitere Informationen zu erhalten klicken Sie bitte auf die Nummern der blau hinterlegten Bereiche.

Im Schadenfall müssen Experten Gegenmaßnahmen rasch, entschlossen und strukturiert einleiten, um Schäden einzugrenzen und den Normalbetrieb Ihres Unternehmens schnellstmöglich wiederherzustellen. Die ersten 24 Stunden nach einem Vorfall sind meist entscheidend. Zögerliches Verhalten oder ungeschulte Handhabung können zu einer deutlichen Ausweitung des Schadens sowie einem Reputationsschaden führ Ihr Unternehmen.

Unsere Empfehlung:

Wir empfehlen Ihnen das Cyber-Risiko umfassend zu versichern um im möglichen Störfall abgesichert zu sein.

Wir haben für Sie die uns bisher gestellten Fragen / Einwände unserer Gesprächspartner als FAQ zusammengefasst:

Was sind Cyber-Risiken überhaupt? Ich habe mich da noch nie richtig mit befasst.

Es gibt leider nicht das eine Cyber-Risiko, sondern eine Vielzahl von möglichen Fällen wie zum Beispiel:

  • Datenverluste
  • Datenschutzvorfälle (DSGVO)
  • Hackerangriffe
  • Erpressung (durch Programme, die den Rechner verschlüsseln)
  • Abgreifen von Firmeninterna oder Kundenkorrespondenz
  • Fake-President-Vorfälle
  • komplette Unterbrechung der IT-Systeme
  • vollständiger Betriebsstillstand (Betriebsunterbrechung).

"Wir sind doch viel zu klein, um ein Ziel für Hacker zu sein."

Kleine Unternehmen stellen gegenüber Großunternehmen oftmals ein interessantes Ziel dar, da die Sicherheitsvorkehrungen nicht so hoch sind.

  • Angriffe, die sich nicht allein gegen ein spezielles Unternehmen richten, können auch kleine Unternehmen betreffen.

Es werden beispielsweise Programme „auf die Suche geschickt“, um Einfallstore in IT-Systemen zu finden und diese zu nutzen

„Wir können uns auf unsere Mitarbeiter verlassen und vertrauen ihnen.”

Das ist sehr lobenswert und dieser Punkt richtet sich auch nicht gegen die Mitarbeiter. Jedoch werden geschätzt 80% aller Fälle von Datenverlust durch Mitarbeiter verursacht, meist aus Unachtsamkeit im Tagesgeschäft.

  • Sollte ein Mitarbeiter mit einem privaten IT-System (Smartphone, Laptop, Tablet etc.) im Firmennetz eingebunden sein, kann allein dies schon ein nicht zu kontrollierendes Einfallstor für einen Cybervorfall sein.

Es muss nicht einmal ein böser Willen der Mitarbeiter dahinterstecken.

“Cyber-Security ist doch nur ein technisches Problem, warum sollte ich mich als Geschäftsführer damit auseinandersetzen?”

Cyber-Vorfälle können für das Unternehmen existenzbedrohende Ausmaße annehmen, hier ist regelmäßig die Geschäftsführung gefragt.

Der Geschäftsführung obliegt das Risikomanagement im Unternehmen, somit sollte diese auch stark eingebunden werden.

“Unsere IT-Abteilung (oder auch der Dienstleister) sind einfach Top, die beheben Störungen immer schnell.”

Es geht nicht darum, die IT (oder den Dienstleister) in ein schlechtes Licht zu rücken. Aber jede Störung kann weitreichende Folgen haben, zum Beispiel die Verschlüsselung der Rechner oder einen Datenverlust. Dann hilft auch jede noch so schnelle IT-Abteilung nichts mehr und es müssen Profis ans Werk, die als Krisenmanager fungieren, um den Schaden möglichst gering zu halten und die Folgen eindämmen können. Versicherer verfügen über ein umfangreiches Spezialisten Netzwerk, die häufig rund um die Uhr zur Verfügung stehen, an 365 Tagen im Jahr.

„Wir haben einen Dienstleister, der sich um sämtliche IT-Themen kümmert. Warum sollten wir dann noch eine Cyberversicherung abschließen?”

Wichtiger Hinweis, denn es geht nicht darum, den IT-Dienstleister aus dem Spiel zu nehmen. Vielmehr ist dieser notwendig, um den wichtigen Aspekt der (oftmals technischen) Prävention zu erfüllen, bevor im nächsten Schritt über die entsprechende Absicherung gesprochen wird. Vergleich zur Hausratversicherung: Trotz dem Vorhandensein einer gesicherten Eingangstür oder verschließbarer Fenster, verbleibt das Restrisiko eines Einbruchs, welches über eine Hausratversicherung abgedeckt werden kann.

„Wir haben unsere Daten ausgelagert an einen Dienstleister, die Verantwortung trifft uns dann ja nicht. Benötigen wir dann überhaupt eine solche Versicherung?“

Die Verantwortung für Datensicherheit kann nicht vollständig ausgelagert werden. Ferner ist im Sinne des Bundesdatenschutzgesetzes (§ 3 Abs. 7 BDSG) das Unternehmen für den Datenschutz verantwortlich, welches die Daten erhebt.

„Sollten wir von einem Datenschutzverstoß betroffen sein, regeln wir das mit den betroffenen Personen schnell und unkompliziert; wofür brauchen wir da eine Versicherung?“

Nach Art. 33 der EU-DSGVO (Datenschutzgrundverordnung) ist Ihr Unternehmen verpflichtet, unverzüglich und binnen 72 Stunden nach Bekanntwerden der Datenschutzverletzung, eine Meldung an die zuständige Aufsichtsbehörde vorzunehmen.

Ferner müssen die Betroffenen qualifiziert informiert werden. Die Kosten dafür sind schwer zu berechnen, da man im Regelfall nicht feststellen kann, welche Datensätze kompromittiert wurden. Im schlimmsten Fall ist die gesamte Kundendatenbank betroffen.

“Wenn einer unserer Rechner von einem Cyberangriff befallen sein sollte und nur gegen Lösegeld wieder freigeschaltet werden kann, dann zahlen wir halt einmalig. Das ist sicher günstiger, als eine Versicherung dagegen abzuschließen.”

Sobald ein Rechner infiziert wurde, kann dieser sowohl weitere Rechner als auch das gesamte Netzwerk oder sogar durch Datenaustausch externe Rechner (zum Beispiel von Kunden) infizieren.

Selbst wenn ein Lösegeld gezahlt wurde, ist dies keine Garantie dafür, dass der Erpresser den Zugang wieder freischaltet. Oftmals sind solche Schadprogramme so geschrieben, dass keine Freischaltung möglich ist und eine vorgenommene Zahlung schlimmstenfalls signalisiert, dass das Unternehmen erpressbar ist.

„Ich kann mir nicht vorstellen, dass ein Computervirus oder ein Angriff uns so treffen wird, dass wir spürbare Umsatzeinbußen zu verzeichnen haben.“

In der heutigen Zeit ist die Kommunikation per E-Mail nicht mehr wegzudenken. Auch viele Telefonanlagen arbeiten inzwischen durch Voice-over-IP (VoIP) und sind somit Ziele von Angriffen. Wenn das Unternehmen für beispielsweise 7 Tage von sämtlicher Kommunikation abgeschnitten ist, wird dies mit hoher Wahrscheinlichkeit zu deutlichen Auswirkungen auf den Umsatz führen.

Schwerwiegend sind auch Fälle von Reputationsverlust, da durch eine Cyberattacke Angriffe gegen die Firma oder wichtige Personen innerhalb der Organisation erfolgen.

“Wir haben sowohl eine Betriebshaftpflichtversicherung als auch eine Elektronikversicherung, wir brauchen also keine Cyberversicherung.”

Beide vorhandenen Versicherungen sind natürlich wichtig und haben ihre Berechtigung, jedoch hinsichtlich der möglichen Auswirkungen eines Cybervorfalles auf den Betrieb auch Schwächen:

Eine Betriebshaftpflicht kommt nur für Fremdschäden auf, aber beispielsweise nicht für die entstehenden Kosten bei einer Datenschutzverletzung oder Schäden an eigenen Systemen. Eine Elektronikversicherung bietet zwar diese Sachdeckung, schützt aber nicht bei vorsätzlichen Handlungen eigener, unzufriedener Mitarbeiter (Einschleusen von Viren in das Firmennetzwerk, möglicherweise vor dem Austritt aus dem Betrieb) oder durch einen Fake-President-Vorfall (Geldüberweisung durch einem Mitarbeiter auf Anweisung des vermeintlichen Vorgesetzten).

“Unser Unternehmen arbeitet mit virtuellen Desktops und sichert alles in der Cloud. Wenn dort ein Cybervorfall entsteht, betrifft uns das ja nicht.”

Dieser Irrglaube ist weit verbreitet. Auch hier können Umsatzeinbußen oder Datenverstöße entstehen und in solch einem Fall ist es wichtig, dass die Cyberversicherung einen möglichst weit gefassten Cyber-Begriff verwendet, der nicht nur auf das eigene IT-System abstellt.

“Eine Cyberversicherung kann mir aber auch nicht garantieren, dass wir nie mehr von einem Cyberangriff betroffen sind. Wo liegt also mein Vorteil in einer solchen Versicherung?”

Denken Sie zum Vergleich an eine Inhaltsversicherung oder eine Gebäudeversicherung: Durch den Abschluss der Versicherung wird nicht der Einbruch verhindert, sondern die finanziellen Folgen aufgefangen, die durch den Einbruch entstanden sind. In der Cyberabsicherung sind die Folgen, gerade im Fremdschadenbereich (Haftpflicht), nicht kalkulierbar. Die Folgen einer Cyberattacke und die Bewertung offenbaren sich hier oftmals erst später und nicht allein durch die Zerstörung von materiellen Dingen.

Eine schnelle Reaktion bei einem Cyber Schaden ist ein Muss. Hier besteht oft Ratlosigkeit im Unternehmen, wie nach einem Cyberschaden zu handeln ist.

“Selbst, wenn ich jetzt eine Versicherung abschließen würde, kann mir ja niemand garantieren, dass nicht schon seit Wochen oder Monaten ein Virus in meinen Datenbanken schlummert. Dann zahlt doch ohnehin keiner.”

Wir haben die Möglichkeit eine zeitlich unbefristete rückwirkende Deckung für Folgen aus Cyber-Vorfällen auszuhandeln, die vor dem Beginn des Vertrages eingetreten, aber zum Zeitpunkt des Vertragsabschlusses unbekannt waren.

Interessant für Sie?