IT-Security

Wann zahlt die Versicherung?

06.08.2014
Von  und
Stefan Sievers, seit 2010 Underwriting Manager Specialty Lines, ist seit 2008 bei der britischen Versicherungsgesellschaft Hiscox beschäftigt. Zu seinen Verantwortlichkeiten zählen derzeit die Produktbereiche Kidnap & Ransom, Cyber Risk Management und das Krisenassistance Cover. Davor war der studierte Wirtschaftswissenschaftler sieben Jahre für die Mannheimer Versicherung AG tätig. Dort fungierte er unter anderem als Firmenkundenberater für die Ausschließlichkeitsorganisation. Nach seinem Wechsel zu Hiscox startete Sievers als Underwriter für Art und Private Clients.
Robin Kroha leitet den Bereich Corporate Security Management bei der auf Sicherheits- und Krisenmanagement spezialisierten Unternehmensberatung HiSolutions AG mit Sitz in Berlin. Zu seinen Kernkompetenzen gehören neben Krisenmanagement und -kommunikation Business Intelligence und Information Security. Neben seiner Tätigkeit für die HiSolutions AG nimmt er Lehraufträge für Krisen- und Sicherheitsmanagement an der FH Campus Wien und der Frankfurt School of Finance & Management wahr.
Hacker, Cracker, Datenfänger: Unternehmen können sich gegen Cyberkriminalität und Datenverlust wappnen und mögliche Schäden teilweise versichern.
Wer versichert ist, kann trotz Datenverlust vielleicht doch noch lachen...
Wer versichert ist, kann trotz Datenverlust vielleicht doch noch lachen...
Foto: Gennadiy Poznyakov/Fotolia.de

Ob Hackerangriff oder Datenverlust - Cyberrisiken werden für Unternehmen zunehmend zum Problem. Die aufsehenerregenden Fälle der letzten Monate bei Vodafone, Adobe und Sky sind nur die Spitze des Eisbergs. Gerade kleine und mittlere Unternehmen haben häufig Probleme im Umgang mit Cyberrisiken. Aus einem einfachen Vorfall wird schnell eine handfeste Krise. Und deren Auswirkungen sind oft nur schwer zu handhaben: Es lauern rechtliche Fallstricke, die Kunden sind beunruhigt, das Firmenimage leidet. Die öffentliche Aufmerksamkeit gegenüber Cyberrisiken ist hoch und der potenzielle Schaden so bedrohlich wie diffus.

Dennoch sind viele Unternehmen nur mangelhaft vorbereitet: So ergab die Hiscox eDNA Studie 2013, eine repräsentative Umfrage auch unter deutschen Mittelständlern, dass 22 Prozent der befragten Unternehmen über kein Backup-System verfügen, 41 Prozent sensible Daten unverschlüsselt mailen und mit 94 Prozent die meisten Unternehmen nicht gegen Online-Kriminalität versichert sind.

Die Ergebnisse der Hiscox eDNA Studie 2013 zeigen, dass deutsche Mittelständler immer noch unzureichend gegen IT-Risiken gewappnet sind.
Die Ergebnisse der Hiscox eDNA Studie 2013 zeigen, dass deutsche Mittelständler immer noch unzureichend gegen IT-Risiken gewappnet sind.
Foto: Hiscox

Neben dem oftmals trügerischen Vertrauen in die Leistungsfähigkeit und Sicherheit der eigenen IT-Systeme besteht ein weiteres Problem: Cyberangriffe sind nicht zwangsläufig IT-basiert. Ebenso häufig nutzen Angreifer Schwächen in der Organisation oder bedienen sich der Hilfsbereitschaft von unbedarften Mitarbeitern, die dann unfreiwillig dafür sorgen, dass IT-Schutzmaßnahmen nicht mehr greifen ("Social Engineering"). Doch selbst die Antizipation aller Risiken und die größtmögliche Anstrengung zu deren Minimierung können keinen absoluten Schutz garantieren.

Das Krisenmanagement entscheidet

Wenn sich scheinbar hypothetische Risiken doch in konkrete Krisen verwandeln, kann dies vor allem mittelständische Unternehmen schnell in Existenznöte bringen. Neben den juristischen Konsequenzen beim Verlust personenbezogener Daten (wie die Informationspflicht nach §42a BDSG) sind es vor allem die Herausforderungen des Krisenmanagements, die Mittelständler überfordern. Zur Bewältigung werden neben vertrauenswürdigen Experten für IT-Forensik vor allem Krisenmanager und Kommunikationsexperten benötigt, die entsprechende Erfahrung mit Cyberangriffen mitbringen. Denn Cyberkrisen unterscheiden sich in zwei entscheidenden Punkten von anderen kriminellen Angriffen auf Unternehmen: Sie erzeugen fast immer und explosionsartig Öffentlichkeit - und sie erfordern die Übersetzung komplexer technischer Sachverhalte in eine Sprache, die Kunden und Geschäftspartner verstehen.

Hierbei spielt es keine Rolle, wodurch genau die Krise ausgelöst wurde - ob durch selbstverschuldete Nachlässigkeit oder einen komplexen Cyberangriff. In einer Situation, in der sich viele Menschen Sorgen um den Schutz ihrer Daten machen, ist die Schuldfrage für die Öffentlichkeit unerheblich. Deshalb ist eine gute Krisenkommunikation entscheidend dafür, dass das Vertrauen von Verbrauchern, Kunden und Partnern nicht verloren geht. Die eigene Kommunikationsabteilung eines Unternehmens kann viele IT-Krisen jedoch nicht alleine handhaben und benötigt oftmals Unterstützung von außen.

Wo die Versicherung ins Spiel kommt

Findet das gesamte Krisenmanagement rasch und professionell statt, lassen sich viele Vorfälle unterhalb der öffentlichen Wahrnehmungsschwelle managen. Um aber zumindest den monetären Schaden im erträglichen Rahmen zu halten, bieten seit einigen Jahren auch verschiedene Versicherungsgesellschaften eigene Policen zur finanziellen Absicherung gegen Cyberschäden und IT-Sicherheitsrisiken an. Jedes Unternehmen muss im eigenen Fall entscheiden, wo eine Versicherung sinnvoll ist - grundsätzlich gibt es verschiedene Art von Policen. Typische Risiken für IT-Systeme, gegen die sich Versicherungen abschließen lassen, lassen sich in sechs Bereiche aufteilen:

  • Malware

  • Hacking

  • Missbrauch durch Insider

  • Soziale Angriffe (Social Engineering)

  • Physische Angriffe und Verlust von Speichermedien

  • Fehlfunktionen

Beispiel: Cyber Risk Management by Hiscox

Der Spezialversicherer Hiscox beispielsweise listet ausgeschlossene Risiken ebenso wie die Deckungsinhalte der Versicherung explizit auf - hier ein kurzer Überblick über die entsprechenden Bedingungen:

Prüfung vor Versicherungsbeginn

Zunächst füllt der Kunde einen Fragebogen aus. Dort wird vor allem die Art und Menge der gespeicherten Daten, die Art der elektronischen Zahlungsabwicklung und die Datensicherheit abgefragt. In Einzelfällen beauftragt der Versicherer einen externen Dienstleister mit der Prüfung und Einschätzung der Datensicherheit.

Wann zahlt die Versicherung?

Die Versicherung greift, wenn entweder Datenschutzrechte von Dritten verletzt wurden, etwa durch Datenverlust oder durch einen Angriff von außen, oder wenn das eigene System von Hackern attackiert wurde. Bei Schadensersatzansprüchen von Dritten werden diese ebenfalls vom Versicherer geprüft: Sollten diese berechtigt sein, entschädigt die Versicherung; unberechtigte Ansprüche wehrt sie im Namen des Kunden ab. Zur weiteren Schadensbegrenzung unterstützen von der Versicherung bestellte externe Dienstleister, in diesem Fall HiSolutions, das Unternehmen bei der Wiederherstellung von Daten und beim Krisenmanagement.

Welche Risiken sind ausgenommen?

Ausgeschlossen sind in der Regel Schäden durch Programmierfehler, Verschleiß oder Schäden durch unterbrochene Stromversorgung. Auch vorsätzlich herbeigeführte Versicherungsfälle sind nicht geschützt. Hiscox schließt jedoch nur den Vorsatz leitender Angestellter aus: Insider-Attacken durch Mitarbeiter sind also abgesichert.

Wer wird nicht versichert?

Unternehmen bestimmter Branchen werden in der Regel nicht versichert. Dazu zählen Anbieter von Bezahlsystemen, Social-Network-Plattformen oder Anbieter pornografischer Inhalte.

Die Kosten für einen klassischen Cyberschaden gehen schnell in die Millionen.
Die Kosten für einen klassischen Cyberschaden gehen schnell in die Millionen.
Foto: Hiscox

Im Ernstfall

Hat sich ein Unternehmen gegen Cyberrisiken versichert, ergibt sich im Ernstfall das im Folgenden dargestellte Szenario.

Ausgangslage: Ein kleiner IT-Dienstleister dient einer Hackergruppe als Einfallstor in die Datenbank eines mittelständischen Unternehmens. Wie schon beim Angriff auf die Washington Post via Outbrain überwinden die Angreifer das schwach gesicherte System des Dienstleisters und verschaffen sich Kontrolle über die offene Schnittstelle zum Unternehmen. Den Tätern gelingt es, eine große Anzahl sensibler Kundendaten abschöpfen.

Das weitere Vorgehen:

  1. Der Versicherer wird über den Schaden informiert. Über eine eingerichtete Notfall-Hotline fordert das Unternehmen zusätzlich ein Expertenteam für die Unterstützung bei der Krisenbewältigung an. Der Versicherer verständigt seine Kooperationspartner für IT-Sicherheit.

  2. Der beauftragte IT-Sicherheitsdienstleister beginnt unverzüglich mit der Schadensbegrenzung und Sicherstellung von Beweisen. Es wird ein IT-forensisches Gutachten angefertigt.

  3. Experten für Krisenmanagement und -kommunikation unterstützen das betroffene Unternehmen in der Krisenbewältigung und Öffentlichkeitsarbeit, um die hohe mediale Aufmerksamkeit zu bewältigen und einem drohenden Imageschaden entgegen zu wirken.

  4. Spezialisierte Anwälte beraten das Unternehmen bezüglich der Umsetzung der gesetzlichen Informationspflicht und stützen sich dabei auf die Ergebnisse der IT-Forensiker.

Alle bisherigen Aufwendungen, sowie die Kosten für die Information der Dateninhaber und Ansprüche Dritter trägt der Versicherer.

Und danach?

Auf Wunsch der Geschäftsleitung vermittelt der Versicherer einen professionellen Dienstleister zur nachhaltigen Optimierung des IT-Sicherheitssystems. Der Versicherer subventioniert das Anliegen des Kunden und beauftragt eine externe Firma, eine umfassende Sicherheitsprüfung vorzunehmen. (sh)