SECURITY POLICIES

Cyberversicherung geplant? Diese 5 Fakten sollten Sie kennen

Lesedauer 6 Min.

In den letzten Jahren hat das Risiko, von Cyberkriminellen angegriffen zu werden, stetig zugenommen. Deshalb interessieren sich immer mehr Unternehmen für eine Cyberversicherung. Wir haben für Sie die fünf häufigsten Fragen beantwortet, die im Zusammenhang mit dem Thema Cyberversicherung gestellt werden.

Vielen IT-Verantwortlichen ist klar, dass sie früher oder später Opfer eines Cyberabgriffs werden. Entsprechend arbeiten sie die Maßnahmenpalette von technischer Aufrüstung bis zur Intensivschulung der Mitarbeiter komplett ab. Dennoch kann eine hundertprozentige Sicherheit nicht garantiert werden. Daher stellt sich die Frage nach der Begrenzung der Schäden, wenn das Worst-Case-Szenario wirklich eintritt. Hier kommen Cyberversicherungen ins Spiel. Daten eingeben, Schutzniveau definieren, Preise vergleichen und absenden: Was bei Auto- oder Reiserücktrittsversicherungen so schnell von der Hand geht, funktioniert bei den Absicherungen längst nicht so einfach.

Was ist eine Cyberversicherung?

Cyberversicherungen sollen Unternehmen vor Ausfällen durch einen digitalen Angriff schützen. Ähnlich wie bei anderen Versicherungen auch zahlt sie eine vereinbarte Entschädigung im Schadensfall. Dies ist vergleichbar mit der Abwicklung durch eine Kfz-Police, wo der Schaden an den betroffenen Fahrzeugen geregelt und ggf. Schmerzensgeld an verletzte Personen gezahlt wird. Damit ist es bei Cyberversicherungen jedoch nicht getan, wenn eine Attacke den Geschäftsbetrieb ganz oder teilweise zum Erliegen bringt. Hinzu kommt, dass auch Rechte von Dritten betroffen sein könnten oder die Kommunikation nach außen nicht professionell durchgeführt werden kann. Deswegen bieten Cyberpolicen diese „Assistance-Leistungen“ an, die insbesondere kleineren Unternehmen zugutekommen. Dazu zählen beispielsweise IT-Forensik-Experten, spezielle Anwälte für IT- und Datenschutz oder eben PR-Spezialisten.

Kurz zusammengefasst handelt es sich bei Cyberversicherungen um eine Kombination aus einer Haftpflichtversicherung, einer Betriebsausfallversicherung und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden.

Für wen lohnt sich eine Cyberversicherung?

Es dürfte kaum noch ein Büro, eine Kanzlei oder ein Unternehmen geben, das keinen Internetanschluss besitzt. Insofern lohnt sich eine Cyberpolice für jeden, der sein Geld auch mit dem Einsatz moderner digitaler Möglichkeiten erwirtschaftet. Je höher der finanzielle Schaden durch einen Betriebsausfall wegen Cybercrime wäre – der vielleicht sogar existenzgefährdend ist – desto eher sollte man sich davor schützen. Die Frage ist vielmehr, wie die individuelle Police ausgestattet sein soll. Eine Arztpraxis hat andere Sicherheitsbedürfnisse als ein Handwerksbetrieb oder ein Großunternehmen. Insofern sollte man von einer Versicherung „von der Stange“ eher absehen und lieber individuell mit dem Leistungsgeber einen gangbaren Weg entwickeln.

Ersetzt eine Cyberversicherung andere Sicherheitsmaßnahmen?

Ganz eindeutig: Nein! Einem Irrtum unterliegt derjenige, der glaubt, dass die eigenen Anstrengungen und Investitionen in IT-Sicherheit verringert werden können. Genau das Gegenteil ist der Fall: Versicherungen haben klare Vorstellungen, welche Sicherheitslösungen und -prozesse im Unternehmen vorhanden sein müssen. Dies kann unter Umständen bedeuten, dass erst investiert werden muss, bevor eine Police zum Abschluss kommt.

Eine Cybersicherung ist in den Augen von Security-Experten lediglich eine Absicherung gegen das Restrisiko durch einen Cyberangriff. Dieses hängt eng mit den bereits getätigten Vorkehrungen zur eigenen IT-Sicherheit zusammen. Für Unternehmen führt letztlich kein Weg an einer exakten Risikoabschätzung vorbei. Ist technisch alles Menschenmögliche getan? Sind die Mitarbeiter bestens geschult? Gibt es ein griffiges IT-Security-Notfallkonzept? Je öfter die Antwort „ja“ lautet, desto eher kann man mit einer Versicherung sensible Teile absichern. Anderenfalls muss für eine Police tiefer in die Tasche gegriffen werden.

Die richtige Police zu finden, ist schwierig

Unternehmen sind gut beraten, sich die verschiedenen Vertragsbedingungen genau anzuschauen. Einfach eine x-beliebige (oder schlimmstenfalls billige) Versicherung abzuschließen, bedeutet nicht, dass alle Schäden einfach so ausgeglichen werden. Hier gilt es, im Vorfeld die passenden Bausteine auszusuchen, die wirklich abgesichert werden müssen. Je mehr die Versicherung leisten soll, desto teurer wird sie.

Die Suche nach einer geeigneten Cyberversicherung erweist sich generell als schwierig. Der Begriff der Cyberversicherung ist aktuell kein allgemeingültiger Begriff. Da dieser Versicherungsbereich noch vergleichsweise neu ist, hat sich bisher keine einheitliche und gesetzlich geregelte Bezeichnung ergeben. So unterscheidet sich der Deckungsumfang von Versicherer zu Versicherer deutlich. Vom großen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen haben Unternehmen die Qual der Wahl. Die Konsequenzen können später beim Leistungsabruf gravierend sein. Der Gesamtverband der Deutschen Versicherungswirtschaft GDV hat dazu einen Fragebogen entwickelt, mit dem das individuelle Risiko des Kunden ermittelt und darauf aufbauend die entsprechenden Versicherungsbausteine zusammengestellt werden können.

Erst Security-Hausaufgaben erledigen, dann Police erhalten

Damit ein Betrieb eine Cyberversicherung abschließen kann, muss seine IT ein Mindestmaß an Schutz aufweisen. Das kennt man aus dem privaten Bereich. Beispielsweise kann niemand seinen Hausrat versichern, der keine abschließbare Wohnungstür hat. Die Anforderungen seitens der Cyberversicherer sollte man unbedingt vor Abschluss analysieren, bevor es später Ärger gibt. Bei manchen ist von „aktuell technischem IT-Sicherheitsstandard“ die Rede, andere verlangen explizite Sicherheitslösungen und die nächsten verlangen regelmäßige Datensicherungen bzw. installierte Sicherheitsupdates innerhalb von 72 Stunden. Für den Verbraucher ist dies unbefriedigend und für seinen Vergleich der Angebote zeitraubend bis schwierig. Immer mehr Versicherer verlangen bei größeren Unternehmen auch sogenannte „Endpoint Detection and Response“-Lösungen (EDR). Mit ihnen können Administratoren verdächtiges Verhalten und Sicherheitslücken im Netzwerk automatisch und frühzeitig aufspüren.

Das Problem der Ransomware

Das Problem von Ransomware hält nicht nur die IT-Abteilungen auf Trab, sondern auch die Versicherer von Cyberpolicen. Die Schäden durch die Verschlüsselungstrojaner haben in den letzten Jahren exponentiell zugenommen und somit die Zahlungen an die Versicherten. Darunter fallen auch Lösegelder, welche die betroffenen Unternehmen gezahlt haben. Diese sollen nach Schätzungen weltweit Milliarden von Euros betragen. Darauf müssen Versicherer logischerweise reagieren. So verkauft beispielsweise der französische Axa-Konzern in Frankreich keine Policen mehr, die Zahlungen an Cyberkriminelle abdeckt. Andere Anbieter klammern in Neuverträgen Ransomware (oder die Bezahlung von Lösegeld) explizit aus den Vertragsbedingungen aus oder schrauben an den Security-Voraussetzungen, die ein Versicherungsnehmer vorweisen muss.

FAZIT:

Cyberversicherungen gehören als fester Bestandteil in das Riskmanagement von Unternehmen jeglicher Größe. Die geschickte Auswahl der zugesicherten Leistungen hilft, die materiellen Schäden durch Cyberkriminalität abzufedern. Der Blick ins Kleingedruckte ist wie bei jeder Versicherung ein Muss. Wer am falschen Ende spart, könnte im Schadenfall ein böses Erwachen erleben.