Cyber-Crime verursacht Milliarden-Schäden

Wie Cyber-Versicherungen schützen können

11.11.2016 von Tillmann Braun  
Um sich vor den Folgen von Cyber-Angriffen besser schützen zu können, bieten immer mehr Versicherungshäuser Cyber-Versicherungen an. Das allein genügt aber nicht - auch die möglichen Gefahren der Zukunft wollen beachtet sein.

Der britische Schatzkanzler Philip Hammond verkündete in dieser Woche, dass die Regierung in London ein neues Paket im Kampf gegen Cyber-Crime schnüren wird. Um sich vor Kriminellen, fehlgeleiteten Teenagern sowie den Geheimdiensten anderer Staaten besser zu schützen, will die britische Regierung 1,9 Milliarden Pfund in entsprechende Maßnahmen investieren. Durch die Verdoppelung des bisherigen Etats soll die nationale Sicherheit ebenso erhöht werden wie der Schutz für Unternehmen und Privatleute. "Wir müssen mit dem Ausmaß und der Geschwindigkeit der Bedrohungen Schritt halten", begründete Hammond die neuen Maßnahmen der britischen Regierung. Gleichzeitig betonte der Schatzkanzler jedoch, dass das Management aller Unternehmen ihrer Pflicht nachkommen müsste, alles dafür zu tun, um das eigene Unternehmen bestmöglich abzusichern.

Diesen Appell sollten sich auch deutsche Unternehmen zu Herzen nehmen. Schließlich wurden im letzten Jahr laut Bitkom Research die Hälfte aller Unternehmen in Deutschland Opfer eines Cyber-Angriffs. Je nach Angriff und Unternehmen können die Schäden im Einzelfall dabei so gravierend ausfallen, dass mitunter gar der Fortbestand des Betriebs gefährdet ist. Denn anders als bei Konzernen haben viele Unternehmen nicht die notwendigen finanziellen Ressourcen, um nicht einkalkulierte Schäden und Ausfallkosten, die durch Cyber-Kriminelle verursacht wurden, ohne Weiteres zu kompensieren.

Cyber-Versicherungen für Unternehmen

Für die meisten Unternehmen ist es daher sinnvoll, sich entsprechend zu versichern. Versicherungshäuser wie die Allianz oder auch AXA bieten mittlerweile Cyber-Versicherungen an, die bei Angriffen aus dem Netz eine Reihe von möglichen Folgekosten abdecken. "Die deutsche Wirtschaft ist weltweit vernetzt und hoch digitalisiert und damit stark gefährdet durch Internetkriminalität", sagt beispielweise Dr. Christopher Lohmann, CEO Central & Eastern Europe bei der Allianz Global Corporate & Specialty (AGCS). "Die Gefahren aus dem Netz sind mittlerweile in den Vorstandsetagen angekommen", weiß Lohmann jedoch zu berichten.

Die Versicherungslösung "Allianz Cyber Protect Premium" soll Unternehmen umfassend gegen Gefahren aus dem Netz absichern. Gedeckt sind laut Allianz vielfältige Eigen- und Drittschäden. "Unsere Cyber-Versicherung kombiniert Bausteine aus der Sach-, Haftpflicht- und Vermögensschadenversicherung", erklärt Hartmut Mai, AGCS-Vorstandsmitglied und Chief Underwriting Officer Corporate Lines.

Policen-Angebote gegen digitale Angriffe sind in der Versicherungsbranche derzeit stark im Kommen.
Foto: serpeblu - shutterstock.com

Neuartiger Rundumschutz für deutsche Unternehmen

Bei der HDI Versicherung geht man noch einen Schritt weiter. Deren Cyber-Risk-Versicherung wurde speziell für die Bedürfnisse kleiner und mittlerer Unternehmen entwickelt. Dabei werden zum einen Folgekosten von Cyber-Attacken wie Denial-of-Service-Angriffen, Datendiebstahl oder nicht autorisierter Nutzung abgedeckt. Und zum anderen auch weitere Leistungen wie unmittelbar durch eine Betriebsunterbrechung verursachte Ertragsausfallschäden sowie unmittelbare Wieder­herstellungskosten von Online-Shops - und sogar Krisen-PR. Das größte Unterscheidungsmerkmal ist allerdings, dass durch die Kooperation mit dem Beratungs- und Software-Unternehmen Cocus Cyber-Angriffe in den meisten Fällen bereits im Vorfeld abgewehrt werden können. Die Versicherung bildet also in erster Linie einen Schutz vor minimalen Restrisiken.

"AssuredSecurity umfasst drei hochentwickelte Scan-Engines, die die Unternehmenswebseite oder den Online-Shop regelmäßig nach Schwachstellen absuchen und Probleme so frühzeitig erkennen", erklärt Cocus-Vorstand Oliver Hüttig. Wird ein Angriffspunkt identifiziert, kann der Kunde diesen entweder innerhalb von 90 Tagen selbst beheben beziehungsweise von einem Partner der Wahl beheben lassen. Alternativ lässt sich über das Security-Portal auch direkt ein Sicherheitsexperte damit beauftragen, die Schwachstelle zu beheben.

Anders als bei anderen Anbietern derartiger Screening-Lösungen wird AssuredSecurity von einem deutschen Unternehmen gehostet, sodass beispielsweise US-Vorschriften wie der Patriot Act keine unnötigen Einschränkungen darstellen. "Durch die einzigartige Kombination aus Scannen, Erkennen, Beheben und Versichern erhalten deutsche Unternehmen einen einmaligen und weltweiten 360-Grad-Rundumschutz", versichert Hüttig.

Je nach Bedarf des jeweiligen Unternehmens liegt der durch die kombinierte Versicherung garantierte Schutz zwischen 25.000 und 250.000 Euro. Bei den Premium-Optionen sind dabei auch Drittschäden abgedeckt. Sollte es Kriminellen also gelingen, trotz aller Sicherheitsmaßnahmen Schäden anzurichten, muss sich das Unternehmen und deren Management dennoch keine Sorge machen, dass der Betrieb eingestellt werden muss. (sh)

5 Tipps zu Cybersecurity-Versicherungen
Versicherung gegen Hacker?
Eine Cybersecurity-Versicherung kann Unternehmen im Falle eines Hacker-Angriffs vor finanziellem Schaden schützen. Eine Komplettlösung mit Rundum-Schutz gegen jegliches Risiko ist aber auch diese nicht. Auf die folgenden fünf Dinge sollten CIOs vor Abschluss einer Police achten.
1. Kronjuwelen schützen
Eine Cybersecurity-Versicherung legt einen Teil des finanziellen Risikos einer Cyberattacke auf die Versicherungsgesellschaft um. Dabei unterscheidet man zwischen der first-party-insurance, die einer Vollkaskoversicherung ähnelt. Abgedeckt sind im Regelfall Schäden an digitalem Content, Geschäftsausfall und in manchen Fällen auch Reputationsschäden. Das Pendant zur sogenannten third-party-insurance wäre die Haftpflichtversicherung: Sie deckt im Regelfall zum Beispiel Ermittlungs- und Anwaltskosten, sowie Entschädigungs- oder Strafzahlungen ab. Das Problem: Das Spektrum einer Cyberattacke ist so breit, dass eine Absicherung gegen alle Risiken schlicht unmöglich ist. Der beste Weg für CIOs: die digitalen Kronjuwelen des Unternehmens identifizieren, quantifizieren und das Restrisiko versichern.
2. Marktunterschiede Europa / USA: Marktunterschiede
Der Markt für Cybersecurity-Versicherungen ist in den USA wesentlich reifer als in Europa. Das liegt in erster Linie daran, dass in den USA bereits eine Meldepflicht bei Cyberattacken besteht. Mit dem Inkrafttreten der EU-Datenschutzrichtlinie wird sich das ändern. In den USA sind die third-party-insurances momentan deutlich gefragter als in Europa. Studien zufolge sind rund 30 Prozent aller großen und circa 10 Prozent aller US-Unternehmen mit einer Cybersecurity-Versicherung ausgestattet.
03. Auf den Wortlaut achten
Bevor Sie eine Police abschließen, sollten Sie sich genau über die abgedeckten Risiken kundig machen - auch im Hinblick auf bereits bestehende Versicherungen! Eventuell gibt es hier - unnötig Kosten verursachende - Überschneidungen. Im Idealfall sollten sie Ihren Versicherungsmakler damit beauftragen, eine Police zu finden die exakt auf die Ansprüche Ihres Unternehmens zugeschnitten ist.
4. Schaden trotz Versicherung?
Es gibt Bereiche, für deren Schutz eine Cybersecurity-Police nicht beziehungsweise nur unzureichend geeignet ist. Den Diebstahl geistigen Eigentums oder die Beschädigung der geschäftlichen Reputation durch eine Cyberattacke kann eine Versicherung zwar teilweise finanziell kompensieren - aber kaum wiedergutmachen. Inzwischen ist in der Industrie eine Diskussion darüber entbrannt, ob dies auch im Fall eines staatlich unterstützten Cyberangriffs gilt.
5. Raum für Verbesserungen
Im Idealfall sollte eine Cybersecurity-Versicherung Unternehmen dazu motivieren ihre Sicherheitsstandards anzuheben, um von niedrigeren Versicherungsprämien zu profitieren. Allerdings fehlen den Versicherern bislang die statistischen Daten und Erkenntnisse, um solche kundenspezifischen Preismodelle anbieten zu können.