Cyber Risiken: Versicherung bietet Schutz

Cyber-Kriminalität ist inzwischen weltweit die größte Verbrechenssparte und übertrifft sogar das Geschäft mit Drogen. Datenverluste und Betriebsunterbrechungen aufgrund von IT-Attacken decken konventionelle Versicherungen aber allenfalls bruchstückhaft ab.

Daher bieten immer mehr Versicherer eine eigene Cyber-Versicherung. In dem Beitrag werden die Leistungen von Cyber-Versicherungen sowie die Prüfung der IT-Schutzmaßnahmen vor Vertragsabschluss erläutert.

Typische Betriebsunterbrechungsversicherungen decken Schäden durch Cyber-Angriffe nicht ab

Trotz steigender Risiken und einer sinkenden digitalen Sorglosigkeit in den Chefetagen hält sich der Absatz von Cyber-Policen aber in Grenzen. Nur rund 5 % der deutschen Unternehmen sichern sich mit speziellen Versicherungspolicen gegen IT-Angriffe ab, wie der Verband der Internet-Wirtschaft Eco in seiner Studie „IT-Sicherheit 2018“ unter 950 Firmen erhoben hat. 18 % planen zumindest eine Cyber-Schutzversicherung. Untersuchungen aus der Versicherungswirtschaft zeigen, dass deutsche Firmen im internationalen Vergleich eher unterversichert sind. Ein Grund dafür liegt darin, dass diese Versicherung insbesondere für den Mittelstand noch relativ neu ist.

Sie bietet erstmalig eine Versicherung für IT-Anwender. Zuvor waren Vorfälle wie Betriebsunterbrechungen von der Vermögensschadenversicherung gedeckt, allerdings nur wenn ein Sachschaden wie die Zerstörung einer Maschine vorausging. Eine zeitweilige Blockade – wie sie bei einem IT-Angriffe typisch ist – war nicht gedeckt.

Cybercrime Versicherungen versprechen folgende Leistung

Die Leistungen umfassen die Haftung für Schadenersatzansprüche Dritter wegen des Verlusts fremder Daten und die eigenen Schäden wie:

  • entgangene Einnahmen durch Betriebsunterbrechungen und Angriffe auf die Unternehmens-Website (die Versicherung zahlt dafür einen vereinbarten Tagessatz),
  • den Verlust von Daten und
  • die Wiederherstellungskosten beschädigter Systeme und Daten.
  • Darüber hinaus sind Reputationsschäden sowie die Folgekosten für Krisenmanagement durch PR-Berater, für Informationspflichten, Anwälte, IT-Forensiker und sonstige Sachverständige gedeckt.
  • Bei Erpressungen durch Ransomware wird neben der Beratung durch eine Sicherheitsfirma sogar das Lösegeld bezahlt.

Die Leistungen von Cyber-Policen unterscheiden sich allerdings je nach Anbieter teilweise deutlich. Unternehmer müssen das genau prüfen.

Die Cyber-Versicherung ist mehr als eine reine Schadenversicherung: Weil nach einem Angriff jede Minute zählt, um die Auswirkungen zu begrenzen, und weil auch die Rechte von Dritten berührt sein können, bietet eine Cyber-Police zugleich wichtige Service-Leistungen. Die helfen gerade kleinen Unternehmen, denen dieses Know-how oft fehlt. Als Faustregel kann gelten, dass es besonders für kleine und mittlere Unternehmen sinnvoll sein kann, eine eigenständige Cyber-Deckung abzuschließen. Großunternehmen haben oft einige Schutzelemente der Policen wie Haftpflicht oder Betriebsunterbrechung bereits über andere Verträge abgedeckt.

Cyber-Versicherung für Unternehmen prüfen IT vor Vertragsabschluss

Vor Vertragsabschluss wird vom Versicherer geprüft, ob das Unternehmen so umfassend wie möglich vor einem Schaden geschützt ist. Dazu zählen eine detaillierte Befragung nach Technik und Organisation und Maßnahmen wie Mitarbeiterschulungen, Security-Konzepte und die Notfallplanung. Qualitätsmerkmale wie Zertifizierungen und anerkannte Audits werden positiv gewertet. Außerdem führen Experten der Versicherung oder beauftragte Partner einen Schwachstellen-Check durch. Auf dieser Grundlage kann der Versicherer eine maßgeschneiderte Risikodeckung bieten.

Auch angesichts dieser umfangreichen Prüfung sollte klar werden, dass eine Cyber-Versicherung nicht Investitionen in die IT-Sicherheit ersetzt, sondern eine ergänzende Investition für den möglichen Versicherungsfall ist, um die Kosten von Schäden zu minimieren. Nur wenn ein Unternehmen in der IT-Sicherheit gut aufgestellt ist, kommt es als Versicherungsnehmer in Frage. Dabei sollten Unternehmer berücksichtigen, dass die Angriffsflächen durch die zunehmende Digitalisierung und die Industrie 4.0 zunehmen werden.

Unternehmen sollten vor Vertragsabschluss auch darauf achten, welche Schäden bereits durch bestehende Versicherungen abgedeckt sind, ob die maximale Deckungssumme für Schäden ausreichend kalkuliert ist und bis zu welcher Summe eine Eigenbeteiligung sinnvoll ist.

Nach dem Vertragsschluss ist es wichtig, dass Firmen

  • die Zugänge zu ihrer IT regeln und damit sichern,
  • stets einen Schutz vor Schadsoftware installiert haben,
  • ihre Daten regelmäßig sichern und
  • Sicherheits-Updates aufspielen.

Bei einem Schadensfall empfehlen Fachleute, nicht selbst zu versuchen, die Systeme wieder in Gang zu bringen oder neu aufzusetzen, sondern sich sofort mit der Versicherung in Verbindung zu setzen, damit deren IT-Experten tätig werden können.

Beitrag für Cyber Versicherung hängt von Schutzmaßnahmen ab

Die Prämienkosten variieren stark, sie richten sich nach Risiko und Größe der Firma, der Art der Daten und der vereinbarten Leistungen. Die Spanne reicht von 500 bis über 100.000 Euro pro Jahr. Der Versicherungsnehmer kann durch den Nachweis der vor Vertragsschluss geforderten Maßnahmen die Höhe der Prämie senken. Auch wer sich nach dem von der VdS Schadenverhütung entwickelten Standard VdS 3473 für den Schutz von Cyber-Angriffen zertifizieren lässt, zahlt mitunter geringere Prämien für eine Police.
2017 lag das Prämienvolumen in Deutschland bei rund 100 Millionen Euro, schätzen die Wirtschaftsprüfer von KPMG. Der Rückversicherer Munich Re erwartet, dass der weltweite Markt für Cyber-Versicherungen bis zum Jahr 2020 von 4 Milliarden Dollar auf 8 bis 9 Milliarden Dollar wächst. Derzeit (Stand Dezember 2018) bieten hierzulande nach Angaben des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) 38 Versicherer Cyber-Versicherungen an, Tendenz steigend. Die Palette ist bunt gemischt, sie reicht von Industrieversicherern bis zu den Großen der Branche. Darunter sind auch solche, die sich nur an Privatpersonen richten. Der GDV hat 2017 unverbindliche Musterbedingungen für eine Cyber-Versicherungspolice herausgegeben, die sich speziell für kleine und mittlere Unternehmen bis 50 Millionen Euro Umsatz und einer Größe bis 250 Mitarbeiter eignet. Danach geht die Cyber-Versicherung der Betriebshaftpflicht vor, die ebenfalls Drittschäden abdeckt, damit bei IT-Angriffen durch die Service-Leistungen wie das Einschalten von IT-Experten schnell gehandelt werden kann.

Haufe Online Redaktion
Schlagworte zum Thema:  Cyberkriminalität, Datenschutz, IT-Sicherheit