Checkliste für Unternehmen

Vor dem Abschluss der Cyber-Versicherung

02.11.2015
Von  und
Ralph Dombach hat jahrzehntelange Erfahrung als EDV-Operator und PC-Administrator. Sein Schwerpunkt ist die IT-Sicherheit, seit 1989 beschäftigt er sich auch privat - im Rahmen seines Unternehmens secuteach - mit Security-Schulungen und dem Thema Awareness. Angestellt ist Dombach im IT-Bereich eines großen Versicherungsunternehmens.


Andreas Th. Fischer ist freier Journalist im Süden von München. Er verfügt über langjährige Erfahrung als Redakteur bei verschiedenen IT-Fachmedien, darunter NetworkWorld Germany, com! professional und ChannelPartner. Seine fachlichen Schwerpunkte liegen in den Bereichen IT-Security,  Betriebssysteme, Netzwerke, Virtualisierung, Cloud Computing und KI. Über diese Themen schreibt er auch für Smokinggun.de.
Worauf achten Versicherer, bevor sie Unternehmen gegen Cyberrisiken absichern? Was müssen Anwender beachten, bevor sie eine Police abschließen können? Wir klären die wichtigsten Fragen.
Wer nach einem IT-Vorfall nicht im Regen stehen will, der benötigt eine passende Cyber-Versicherung. Dabei gibt es einige Punkte zu beachten.
Wer nach einem IT-Vorfall nicht im Regen stehen will, der benötigt eine passende Cyber-Versicherung. Dabei gibt es einige Punkte zu beachten.
Foto: Golden Dayz - shutterstock.com

Versicherungen, wie wir sie heute kennen, sind seit Mitte des 17. Jahrhundert bekannt. Ihr Ursprung geht auf klassische Feuer- und Transportweg-Versicherungen zurück, wie nach wie vor zum Portfolio vieler Versicherungs-Unternehmen gehören. Risiken, die eine Einzelpersonen, Gemeinschaft oder ein Unternehmen nicht tragen kann (oder will), übernimmt ein Versicherer. Im Laufe der Jahrhunderte entstanden so viele allgemeine und spezielle Versicherungen, die oft einen "Value Added Service" offerieren (wie die Bereitstellung eines Vermittlers bei einem Entführungsfall).

Zunehmende IT-Risiken

In den letzten Jahren müssen sich aber Unternehmen auch verstärkt mit IT-Risiken auseinandersetzen. Diese ergeben sich aus der IT-Nutzung selbst (Fehlbedienung, technisches Versagen) oder durch Bedrohung aus dem Cyberspace.

Fällt beispielsweise ein zentrales NAS-Speichersystem aus, führt dies möglicherweise zu einer eingeschränkten E-Mail-Kommunikation oder einer ungenügenden Datenverfügbarkeit (Betriebsunterbrechung). Dazu kommen nun auch Cyberrisiken, wie beispielsweise Datendiebstahl, Denial-of-Service-Attacken oder Seiteneffekte durch Computerviren.

Wer ersetzt etwa die Schäden durch die massiv zunehmenden Ransomware-Attacken?
Wer ersetzt etwa die Schäden durch die massiv zunehmenden Ransomware-Attacken?
Foto: Andrey_Popov - shutterstock.com

Versicherungsprinzip

Das Geschäft von Versicherungen ist das Risiko. Sie kalkulieren, mit welcher Wahrscheinlichkeit ein Risiko eintritt und welche Schäden dabei entstehen können. Aufgrund des errechneten Risikos ergibt sich eine Prämie, zu welcher der Versicherer bereit ist, das Risiko zu übernehmen und im eintretenden Schadensfall Ersatzleistungen erbringt. Das Geschäftsmodell einer Versicherung basiert also auf dem Konzept des Risikotransfers. Versicherungen sammeln von ihren Kunden Prämien ein und nutzen dieses Geld, um Risiken abzudecken, die im Falle eines Schadens oder einer Krankheit eintreten können.

Üblicherweise werden beide Parteien bestrebt sein, zusammenzuarbeiten. Empfiehlt beispielsweise die Versicherung eine technische Nachbesserung, die das Eintrittsrisiko senkt, führt dies in der Regel auch zu einer günstigeren Prämie für den Versicherungsnehmer.

Vorfälle und Versicherungen

Das Risiko durch Cyber-Angriffe ist in den vergangenen Jahren weiter gestiegen. So sind drei von zehn mittelständischen Unternehmen in Deutschland in den Jahren 2018 bis 2020 von Cyberkriminellen angegriffen worden. Das hat eine Anfang 2023 veröffentlichte Sonderauswertung des Mittelstandspanels der Staatsbank KfW ergeben.

Dabei zeigte sich, dass besonders größere Unternehmen mit mehr als hundert Beschäftigten und solche mit besonders ausgeprägten Digitalisierungsaktivitäten Ziel der Cyber-Attacken waren. 43 Prozent der Unternehmen, die im Jahr 2020 mehr als 10.000 Euro für Digitalisierungsprojekte ausgegeben haben, wurden attackiert. Bei Firmen ohne derartige Investitionen betrug der Anteil der angegriffenen Betrieb nur 23 Prozent. Isnbesondere Ransomwarre- und DDoS-Attacken gehören aktuell zu den größten Gefahren. Die Experten rechnen bei der weiter zunehmenden Digitalisierung auch mit zusätzlichen kriminellen Machenschaften.

Ein Hacker-Angriff auf den US-Krankenversicherer Anthem mit nachfolgendem Datendiebstahl war mit einer Cyber-Versicherung abgesichert. Aber Schätzungen gehen davon aus, dass keine 100 Prozent Deckung erreicht wird, da die Schadensansprüche die Deckungssumme von 100 Millionen Dollar überschreiten. Der US-Mobilfunkriese AT&T musste 25 Millionen Dollar in einem Vergleich bezahlen, als Strafe für die Verfehlungen von Mitarbeitern (Verkauf/Weitergabe von Daten an Dritte). Eine Versicherung und die Optimierung des internen Monitorings wären sicherlich preiswerter gewesen.

Abgedeckte Bedrohungen

Cyber-Versicherungen basieren auf einem Standardangebot, welches üblicherweise individuell angepasst wird, da jeder Kunde ein spezifisches Risiko hat. Zu den Bedrohungen, die durch eine Cyber-Versicherung abgedeckt werden zählen zum Beispiel:

  • Betriebsunterbrechung (beispielsweise als Folge eines Hacker-Angriffs)

  • Verlust von Datenträgern und Geräten

  • Erstattung der Kosten für Datenwiederherstellung nach Datendiebstahl

  • Haftpflichtschutz bei Ansprüchen Dritter (Fremdschaden)

  • Kostenübernahme der erforderliche Maßnahmen um die Ursachen für den Schaden aufzuklären

Zusätzlich zum Basis-Schutz werden aber auch bei einer Cyber-Versicherung Zusatzmodule angeboten, die eine weitreichendere Schadensregulierung erlauben. Einige Versicherungen bieten Module an, die beispielsweise Kosten abdecken, die eine Rechtsberatung verursacht, aber auch Kosten für Öffentlichkeitsarbeit zur Reputationswiederherstellung oder Ausgaben durch behördliche Forderungen bei einem Vorfall.

Üblicher Leistungsumfang von Cyber-Versicherungen

Der Leistungsumfang von Cyber-Versicherungen variiert je nach Versicherungsunternehmen und Versicherungspolice. Zu den häufigsten Angeboten gehören:

Kosten für die Beseitigung von Schäden: Beispielsweise die Kosten für die Wiederherstellung von Daten, die Beseitigung von Malware und die Reparatur beschädigter Systeme.

Kosten für forensische Untersuchungen: Versicherungen decken in der Regel auch die Kosten für forensische Untersuchungen, um die Ursache eines Cyber-Angriffs zu ermitteln.

Kosten für die Kommunikation mit Kunden und Geschäftspartnern: Manche Versicherungen decken auch die Kosten für die Kommunikation mit Kunden und Geschäftspartnern, da diese nach den Vorgaben der DSGVO ebenfalls über einen Cyber-Angriff informiert werden müssen.

Kosten für Rechtsstreitigkeiten: Versicherungen kümmern sich meist auch um die Kosten für Rechtsstreitigkeiten, die sich aus einem Cyber-Angriff ergeben.

Kosten für Public Relations: Einige Versicherungen übernehmen die Kosten für Public Relations, um das Image des Kunden nach einer Cyber-Attacke wiederherzustellen.

Nicht alle Cyber-Versicherungen bieten natürlich den gleichen Leistungsumfang. Manche Leistungen sind nur gegen einen höheren Prämienzuschlag erhältlich. Es ist daher empfehlenswert, die Bedingungen und Leistungen der ins Auge gefassten Cyber-Versicherung sorgfältig zu prüfen, bevor Sie eine Entscheidung treffen.