Durch Cyberangriffe entstehen Kosten von rund 223 Milliarden Euro pro Jahr. Cyberversicherungen sollen nun allerdings vor Attacken schützen. Was leistet so eine Cyberversicherung und was wird versichert?
Dennis Bertram: Der rasante technologische Fortschritt bringt nicht nur Vorteile mit sich, sondern auch neue, sich schnell entwickelnde Risiken. Immer häufiger berichten die Medien von schwerwiegenden Schadenfällen, die durch Cyberrisiken verursacht werden. Um sich gegen die adversen Folgen dieser Cyberrisiken abzusichern, haben Unternehmen die Möglichkeit, eine Cyberversicherung abzuschließen. Cyberversicherungsprodukte lassen sich am besten als 3-Säulen-Modell verstehen: Die erste Säule ist hierbei der Haftpflichtteil, welcher die Prüfung, Abwehr und Entschädigung im Falle von Haftpflichtansprüchen gegen Versicherte infolge eines deckungsauslösenden Ereignisses (bspw. Datenschutzverletzung, Datenvertraulichkeitsverletzung oder Netzwerksicherheitsverletzung) beinhaltet.
Dazu gehört beispielweise Schadenersatzansprüche aufgrund des Verlustes von personenbezogenen Daten, der Offenlegung von vertraulichen Daten oder der unbeabsichtigten Übermittlung von infizierten Mailanhängen durch versicherte Personen, die zu einem Schaden bei Dritten führen.
Der Eigenschadenteil bildet die zweite Säule, welcher sich zusammensetzt aus der Erstattung von Betriebsunterbrechungsschäden, Verfahrensschutz (z.B. Bußgelder und Vertragsstrafen) und Kostenschutz. Zu den Kosten, die in der Cyber-Versicherung erstattet werden, gehören beispielsweise:
Beseitigungs- und Wiederherstellungskosten (inkl. Forensik)
Krisenberaterkosten
Rechtsanwaltskosten
Kosten zur Abwehr und Minderung eines Reputationsschadens
Überprüfungs- und Beratungskosten
Informations- und Benachrichtigungskosten
Löse-/Erpressungsgelder infolge einer Cyber-Erpressung
und sonstige weitere Schadenabwendungs- und Schadenminderungskosten
Entsteht Versicherten durch ein deckungsauslösendes Ereignis ein Betriebsunterbrechungsschaden, z.B. durch einen Hacker-Angriff, eine Fehlbedienung der IT-Systeme durch Mitarbeiter oder den Ausfall von Cloud-Dienstleistern, entschädigt der Versicherer die fortlaufenden Kosten und den entgangenen Betriebsgewinn.
Die dritte Säule bildet die von den Versicherungsunternehmen bereitgestellte Notfallhotline, welche Versicherten rund um die Uhr (24/7) zur Verfügung steht. Im Falle eines Cyber-Vorfalls oder des schlichten Verdachts auf einen Vorfall, haben versicherte Unternehmen die Möglichkeit, einen Krisenberater einzuschalten, welcher bei der Bewältigung des Vorfalls unterstützt. Dazu gehören u.a. das Einleiten erforderlicher Erstmaßnahmen, die Auswahl von benötigen weiteren Dienstleistern (bspw. Forensik) und Abstimmungen mit den Versicherern.
Warum könnte solch eine Versicherung für kleine und mittlere Unternehmen wichtig sein? Für wen von diesen ist eine Cyberversicherung besonders attraktiv?
Dennis Bertram: Die Schadenursachen reichen vom fahrlässigen Umgang der Mitarbeiter mit mobilen Geräten, wie z.B. Smartphones oder Laptops, bis hin zu gezielten und über einen langen Zeitraum vorbereiteten, professionellen und kriminell motivierten Attacken auf die IT-Infrastruktur eines Unternehmens. Diesen Risiken sind grundsätzlich Unternehmen jeglicher Größe ausgesetzt. Jedoch ist der Absicherungsbedarf der Unternehmen zusätzlich abhängig von einer Vielzahl an Faktoren, wie bspw. Branche, Reifegrad der IT-Sicherheit und IT-Governance. Grundsätzlich kann man sagen, dass die Attraktivität der Cyberversicherung für Unternehmen mit deren Abhängigkeit von IT-Systemen positiv korreliert.
Worauf muss beim Abschließen einer Cyberversicherung geachtet werden?
Dennis Bertram: Vor dem Abschluss einer Cyberversicherung sollten Unternehmen sich der Gefahren durch Cyberrisiken bewusst sein und bereits präventive organisatorische und technische Maßnahmen getroffen haben. Anschließend können spezialisierte Versicherungsmakler – wie FINLEX – dabei helfen, den individuellen Versicherungsbedarf der Unternehmen zu ermitteln und eine maßgeschneiderte Lösung zu gestalten.
Welche Kosten treten beim Abschließen der Versicherung auf?
Dennis Bertram: Wie bei jedem anderen Versicherungsprodukt auch, ist für den Cyber-Risikotransfer eine entsprechende Versicherungsprämie zu zahlen. Diese ist abhängig von vielen Faktoren, wie bspw. Höhe der Versicherungssumme, Selbstbehalt, Deckungsumfang der Versicherungsbedingungen und Auswahl optionaler Deckungserweiterungen.
Kann man sich mit einer Cybersicherung nur in Gänze schützen oder lassen sich auch Teilbereiche abdecken wie beispielsweise das Online-Banking?
Dennis Bertram: Das Cyberversicherungsprodukt besteht im Regelfall aus den zuvor genannten Deckungsinhalten. Dennoch besteht die Möglichkeit, individuelle Anpassungen vorzunehmen oder optionale Deckungserweiterungen abzuschließen. Hierzu zählt beispielsweise die erweiterte Deckung für die Folgen von Cyber-Kriminalität, welche, infolge eines deckungsauslösenden Ereignisses (z.B. Dritte manipulieren das Online-Banking Versicherter), Versicherungsschutz für den Abfluss von Vermögenswerten in Form von Geldern, Wertpapieren oder Waren bietet.
Was kann man tun, um Risiken im virtuellen Raum zu minimieren und warum ist eine Prävention so wichtig?
Dennis Bertram: Zunächst einmal sollten Unternehmen ihre individuellen Cyberrisiken identifizieren und analysieren. Anschließend sollten geeignete Maßnahmen getroffen werden, um sich bestmöglich gegen diese zu schützen. Dazu gehört u.a. die Implementierung von Daten- und Netzwerksicherheitsrichtlinien, ein geregelter Patchmanagement- und Backupmanagement-Prozess und regelmäßige Mitarbeiterschulungen hinsichtlich Cyberrisiken (inkl. Phishing-Tests).
Der deutliche Anstieg an Ransomware-Vorfällen und Supply-Chain-Angriffen, wie beispielsweise bei SolarWinds und Kaseya, sowie die Microsoft-Exchange-Schwachstelle, haben dazu geführt, dass die Versicherer ihren Risikoappetit überdenken und die zu versichernden Risiken deutlich umfangreicher prüfen. Folge dieser Risikoprüfung kann sein, dass sich die Versicherer gänzlich gegen die Zeichnung entscheiden, sollten die getroffenen Präventionsmaßnahmen aus deren Sicht nicht ausreichen.
