FAQ Cyber-Versicherung

IT-Risiken richtig versichern

28.12.2021
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.

Welche ist die richtige Cyber-Versicherung?

Der GDV listet aktuell 42 Versicherer und deren Produktportfolios für spezielle Cyber-Versicherungen. Dementsprechend vielfältig und komplex sind die Angebote.

Als Orientierungshilfe haben die Versicherungsberater der Agentur Franke und Bornberg eine notenbasierte Bewertungsmatrix für Policen erarbeitet. Für den Mittelstand und kleine Betriebe schnitten Produkte von AIG, HDI, Hiscox und Markel mit "sehr gut" ab. Um eine gute oder sehr gute Bewertung zu erhalten, musste ein Tarif die folgenden Leistungen abdecken können:

  • Betriebsunterbrechung: Deckung von Ertragsausfällen;

  • Drittschäden: Deckung auch für immaterielle Schäden;

  • Mehrere Versicherungsverträge: keine Subsidiarität (durchgängiger Versicherungsschutz durch den Abschluss verschiedener Versicherungen bei unterschiedlichen Versicherungsgesellschaften) der Cyber-Deckung;

  • Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen);

  • Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als zwölf Monate nach Schadenfeststellung.

Der GDV beschreibt weitere allgemeine Service-Leistungen, die Cyber-Versicherungen standardmäßig abdecken sollten. Die Themen Betriebsunterbrechung sowie Drittschäden nennt der Verein ebenfalls und definiert sie näher.

  • Entschädigung bei Betriebsunterbrechung: Tagessatz, der für den entgangenen Gewinn entschädigt und laufende Kosten deckt. Beispielformel zur Berechnung des Tagessatzes: Tagessatz = Jahresumsatz / 365 Tage * Umsatzrendite + Jahreskosten / 365 Tage

  • Übernahme von Drittschäden: Entschädigung für Kunden, die von Datendiebstahl betroffen sind, und Abwehr unberechtigter Forderungen an das Unternehmen. Auch wenn Kunden nicht beliefert werden können und deshalb Schäden erleiden, springt die Versicherung ein.

  • Erstattung der Kosten für Datenwiederherstellung: Rekonstruktion und Wiederherstellung der Computersysteme.

  • Bezahlung der IT-Forensik: Analyse der Ursachen und Folgeschäden des Ausfalls sowie Sicherung von gerichtsfesten Beweisen.

  • Angebot einer Rechtsberatung für Datenschutzverletzung: Werden sensible Daten gestohlen, stellt die Versicherung Fachanwälte für die Korrespondenz mit Datenschutzbehörden und Betroffenen. Sie trägt auch die Kosten für die Beratung, ob der Datenschutz verletzt wurde.

  • Bezahlung eines Krisenkommunikators und von Call-Center-Kosten: Bei Bedarf vermittelt der Versicherer einen Krisenkommunikator, um Imageschäden zu minimieren. Nach Vereinbarung übernimmt er auch die Kosten für zeitweisen Call-Center-Einsatz zur Kundenberatung.

Was wollen Versicherer von Unternehmen wissen?

Ist eine passende Versicherung gefunden, wird diese beim Kunden die Risiken erfassen, anhand derer die Leistungen und Kosten definiert werden. Dies geschieht meist anhand eines Fragebogens, der je nach Versicherer und Unternehmensgröße unterschiedlich umfang- und detailreich ausfällt. Zum Vergleich: Der Fragebogen von Markel (PDF) für deren KMU-Produkt umfasst insgesamt vier Seiten, das Pendant der Gothaer (PDF) für Unternehmen zählt elf Seiten.

Einen guten Überblick, worauf es den meisten Versicherungen ankommt, bietet der unverbindliche Musterfragenbogen des GDV (PDF). Er umfasst allgemeine Fragen zum Geschäfts- und Risikofeld, die bestimmen, in welche von drei verschiedenen Risikokategorien das Unternehmen fällt. Dabei wird beispielsweise abgefragt, ob Daten Dritter verarbeitet, Dienstleister beauftragt oder automatisierte Produktionssysteme verwendet werden. Die Abschnitte zu den Kategorien vertiefen die Fragestellungen zu den jeweiligen Themen. Abschließend folgt ein Block mit Zusatzfragen zu bestimmten Aspekten, wie der Verwendung privater Geräte oder Details zum E-Commerce-Bereich.

Neben der Risikoeinschätzung dienen solche Fragebögen auch dazu, die "Sorgfaltspflichten" auf Seiten der Versicherungsnehmer festzulegen. Darunter fällt etwa die Einhaltung der oben genannten allgemeinen Sicherheitsstandards. Kommt es zum Schadensfall prüft der Versicherer, ob sein Klient die Compliance mit den Vorgaben eingehalten hat. Ist das nicht der Fall, kann die Regulierung ausbleiben. Um dem vorzubeugen, bietet es sich an, entweder regelmäßig manuell den Compliance-Status zu überprüfen, oder automatisierte Tools wie Netzwerk-Scanner einzusetzen, die beispielsweise laufend analysieren, ob alle Patches aktuell sind.

Auf welche Fallstricke müssen Unternehmen achten?

Der eingangs beschriebene Rechtsstreit zwischen Mondelez und Zurich macht deutlich, dass es bei Cyber-Versicherungen auf das Kleingedruckte ankommt.

Vor allem der standardmäßige Ausschluss von "kriegerischen Handlungen" aus den meisten Policen wird in der IT zunehmend problematisch. Malware, selbst wenn sie ursprünglich staatlich initiiert wurde, gelangt früher oder später auf die Marktplätze im Darknet und steht gewöhnlichen Kriminellen zur Verfügung. Es ist schwierig, staatliche Angriffe von denen der Trittbrettfahrer zu unterscheiden. Zwar liegt es an den Versicherern, im Zweifelsfall den Nachweis dafür zu erbringen, der Prozess kostet jedoch Zeit und Geld. Beides sind Ressourcen, die Unternehmen nach einem Zwischenfall oft nicht haben.

Die Betriebe sollten im Vorfeld mit dem Versicherer klären, wie in unklaren Fällen verfahren wird und welche Verzögerungen oder eventuelle Mehrkosten das mit sich bringt.

Weitere Fallstricke nennt die Agentur Franke und Bornberg in ihrem oben erwähnten Policen-Ranking.

Wirbt eine Versicherung damit, Cloud-Ausfälle und damit die dynamisch an den Bedarf angepassten IT-Dienstleistungen eines Unternehmens abzusichern, gilt es, die Details zu prüfen. Einige Angebote schließen beispielsweise SaaS-Dienste von der Deckung aus oder versichern nur Denial-of-Service (DoS)-Angriffe auf den Cloud-Anbieter. Zudem schränken einige Policen die Deckungssummen bei Angriffen auf Cloud-Betreiber und daraus resultierenden Unterbrechungen beim Versicherungsnehmer stark ein oder schließen solche Szenarien ganz aus.

Soll die Versicherung gegen vorsätzliche IT-Zwischenfälle schützen, die beispielsweise durch Innentäter passieren können, ist auch Vorsicht geboten. Der Cyber-Schutz der Allianz schützt in diesem Bereich zwar dagegen, wenn Mitarbeiter dem Unternehmen willentlich schaden (Daten löschen oder veröffentlichen), schließt aber Repräsentanten wie Geschäftsführer, Inhaber oder Vorstände aus. Bei Hiscox besteht ebenfalls Versicherungsschutz bei vorsätzlichen IT-Zwischenfällen durch Mitarbeiter. Laut Angaben des Versicherers sollen dabei auch Leiter der IT-Abteilung, die Rechtsabteilung oder das Risikomanagement mit eingeschlossen sein, obwohl diese von Hiscox als Repräsentanten definiert werden.

Die Prämienkosten orientieren sich an der Größe und dem Risikofaktor des Unternehmens sowie den jeweils vereinbarten Leistungen. Laut einem Bericht von Haufe ist hier ein Spanne von 500 bis über 100.000 Euro pro Jahr möglich. Einige Versicherer bieten Optionen, diese Kosten zu senken, wenn ein Unternehmen nachweisen kann, dass es alle geforderten Schutzmaßnahmen vor Vertragsabschluss umgesetzt hat. Auch Zertifizierungen gemäß anerkannter Standards wie beispielsweise der Richtlinie VdS 3473 zum Schutz von Cyber-Angriffen der VdS Schadenverhütung GmbH, können mitunter zu geringeren Prämien führen.

Je nach Branche kann der Versicherer sich auch weigern, eine Police abzuschließen, weil das Risiko zu hoch ist. Finanzdienstleister fallen meist in diese Kategorie.