Checkliste für Unternehmen

Vor dem Abschluss der Cyber-Versicherung

05. November 2015
Ralph Dombach hat jahrzehntelange Erfahrung als EDV-Operator und PC-Administrator. Sein Schwerpunkt ist die IT-Sicherheit, seit 1989 beschäftigt er sich auch privat - im Rahmen seines Unternehmens secuteach - mit Security-Schulungen und dem Thema Awareness. Angestellt ist Dombach im IT-Bereich eines großen Versicherungsunternehmens.
Worauf achten Versicherer, bevor sie Unternehmen gegen Cyberrisiken absichern? Was müssen Anwender beachten, bevor sie eine Police abschließen können? Wir klären die wichtigsten Fragen.

VersicherungenVersicherungen, wie wir sie heute kennen, sind seit Mitte des 17. Jahrhundert bekannt. Ihr Ursprung geht auf klassische Feuer- und Transportweg-Versicherungen zurück, wie nach wie vor zum Portfolio vieler Versicherungs-Unternehmen gehören. Top-Firmen der Branche Versicherungen

Risiken, die eine Einzelpersonen, Gemeinschaft oder ein Unternehmen nicht tragen kann (oder will), übernimmt ein Versicherer. Im Laufe der Jahrhunderte entstanden so viele allgemeine und spezielle Versicherungen, die oft einen "Value Added Service" offerieren (wie die Bereitstellung eines Vermittlers bei einem Entführungsfall).

In den vergangenen Jahren müssen sich aber Unternehmen auch verstärkt mit IT-Risiken auseinandersetzen. Diese ergeben sich aus der IT-Nutzung selbst (Fehlbedienung, technisches Versagen) oder durch Bedrohung aus dem Cyberspace.

Fällt beispielsweise ein zentrales NAS-Speichersystem aus, führt dies möglicherweise zu einer eingeschränkten E-Mail-Kommunikation oder einer ungenügenden Datenverfügbarkeit (Betriebsunterbrechung). Dazu kommen nun auch Cyberrisiken, wie beispielsweise Datendiebstahl, Denial-of-Service-Attacken oder Seiteneffekte durch Computerviren.

Versicherungsprinzip

Das Geschäft von Versicherungen ist das Risiko. Sie kalkulieren, mit welcher Wahrscheinlichkeit ein Risiko eintritt und welche Schäden dabei entstehen können. Aufgrund des errechneten Risikos ergibt sich eine Prämie, zu welcher der Versicherer bereit ist, das Risiko zu übernehmen und im eintretenden Schadensfall Ersatzleistungen erbringt.

Üblicherweise werden beide Parteien bestrebt sein, zusammenzuarbeiten. Empfiehlt beispielsweise die Versicherung eine technische Nachbesserung, die das Eintrittsrisiko senkt, führt dies in der Regel auch zu einer günstigeren Prämie für den Versicherungsnehmer.

Vorfälle und Versicherungen

In Amerika hat Cyber-Kriminalität eine größere Verbreitung erreicht, als in Europa. Die New York Times berichtet im Februar dieses Jahres über neun erfolgreiche Cyber-Attacken auf Großunternehmen - wie die Warenhauskette Target.

Target wurde Ende 2013 von Datendieben besucht und bestohlen. Deren Beute, die Kreditkartendaten von Kunden. 70 Millionen Datensätze konnten die Diebe erbeuten und richteten damit einen Schaden von 61 Millionen Dollar an. Target hatte eine Cyber-Versicherung abgeschlossen, die vom Schaden 44 Millionen Dollar übernommen haben soll.

Der Hacker-Angriff auf den US-Krankenversicherer Anthem mit nachfolgendem Datendiebstahl war mit einer Cyber-Versicherung abgesichert. Aber Schätzungen gehen davon aus, dass keine 100 Prozent Deckung erreicht wird, da die Schadensansprüche die Deckungssumme von 100 Millionen Dollar überschreiten.

Der US-Mobilfunkriese AT&T musste kürzlich 25 Millionen Dollar in einem Vergleich bezahlen, als Strafe für die Verfehlungen von Mitarbeitern (Verkauf/Weitergabe von Daten an Dritte). Eine Versicherung und die Optimierung des internen Monitorings wären sicherlich preiswerter gewesen.

Leistungsumfang einer Cyber-Versicherung

Cyber-Versicherungen basieren auf einem Standardangebot, welches üblicherweise individuell angepasst wird, da jeder Kunde ein spezifisches Risiko hat. Zu den Bedrohungen, die durch eine Cyber-Versicherung abgedeckt werden zählen zum Beispiel:

  • Betriebsunterbrechung (beispielsweise als Folge eines Hacker-Angriffs)

  • Verlust von Datenträgern und Geräten

  • Erstattung der Kosten für Datenwiederherstellung nach Datendiebstahl

  • Haftpflichtschutz bei Ansprüchen Dritter (Fremdschaden)

  • Kostenübernahme der erforderliche Maßnahmen um die Ursachen für den Schaden aufzuklären

Zusätzlich zu einem Basis-Schutz werde aber auch bei einer Cyber-Versicherung Zusatzmodule angeboten, die eine weitreichendere Schadenregulierung erlauben. Einige Versicherungen bieten Module an, die beispielsweise Kosten, die eine Rechtsberatung verursacht abdecken, aber auch Kosten für Öffentlichkeitsarbeit zur Reputationswiederherstellung oder Ausgaben durch behördliche Forderungen bei einem Vorfall.