Theodoros Bitis: Cyberversicherung ist sinnvoll

Theodoros Bitis verantwortet das Cyberversicherungsgeschäft bei der Howden Group in Deutschland. Mit ihm sprechen wir über Cyberversicherung, Kosten sowie Minimierung von Risiken.

Theodoros Bitis

Durch Cyberangriffe entstehen Kosten von rund 223 Milliarden Euro pro Jahr. Cyberversicherungen sollen vor Attacken schützen. Was leistet eine Cyberversicherung und was wird versichert?

Die Cyberversicherung lässt sich grundsätzlich in folgende Komponenten unterteilen:

Sie bietet erstens Versicherungsschutz für Betriebsunterbrechungsschäden (Eigenschaden): Der Versicherer ersetzt hier in erster Linie Ertragsausfälle und Kosten zur Aufrechterhaltung des Geschäftsbetriebs, die durch einen Hackerangriff auf die eigenen IT-Systeme oder die Systeme der IT-Dienstleister entstehen.

Zweitens gibt es Versicherungsschutz für Haftpflichtansprüche (Drittschaden): Im Rahmen der Drittschadendeckung werden gesetzliche Haftpflichtansprüche versichert, die aufgrund einer (vermuteten oder tatsächlich begangenen) Datenschutz-, Vertraulichkeits- oder Netzwerksicherheitsverletzung erfolgen.

Die dritte Komponente ist der Kostenschutz: Die Cyberversicherung zahlreiche Kostenbausteine vor, die der Aufarbeitung und Behebung des Cybervorfalls dienen. Dazu gehören insbesondere Kosten für forensische Ermittlungen, Datenwiederherstellung und -bereinigung sowie Rechts- und PR-Beratung.

Im Rahmen unsere hauseigenen Konzepte bieten wir auch zusätzliche Leistungen an, z.B. Schutz bei vorsorglicher Systemabschaltung, für Hardwareausfälle und Rückwirkungsschäden.

Für wen ist eine Cyberversicherung interessant? Und warum kann eine Cyberversicherung gerade auch für kleine und mittlere Unternehmen wichtig sein?

Die Cyberversicherung ist prinzipiell für alle Unternehmen wichtig, deren Geschäftsbetrieb vom Funktionieren der eigenen oder von externen IT-Systemen abhängig ist. Darüber hinaus ist diese Versicherung aufgrund des Datenschutz- und Vertraulichkeitsbausteins auch für Unternehmen relevant, die zahlreiche sensible Informationen speichern oder physisch aufbewahren.

Gerade für kleine und mittlere Unternehmen sind die Assistance-Leistungen im Rahmen der Cyberversicherung attraktiv: Unternehmen bekommen über eine 24/7-Hotline ein Krisennetzwerk zur Verfügung gestellt. Das Assistance-Netzwerk beinhaltet Leistungen wie Forensik, Krisen-, Rechts- und PR-Beratung. Diese Leistungen sind auf dem Markt in der Regel teurer als die Cyberversicherung selbst.

Worauf muss beim Abschluss einer Cyberversicherung besonders geachtet werden?

Versicherte sollten besonders darauf achten, dass die Risikoinformationen, die sie bei Vertragsschluss angeben, korrekt sind. Sie sollten außerdem prüfen, ob das entsprechende Produkt das eigene Risiko überhaupt sorgfältig abdeckt, also beispielsweise die Nutzung einer Cloud-Lösung oder die Einhaltung von technischen Obliegenheiten. Einen auf Cyberversicherungen spezialisierten Berater einzubeziehen hilft dabei, die Risiken richtig zu bewerten und ein passendes Deckungskonzept zu entwickeln; damit lässt sich auch bösen Überraschungen in einem möglichen Schadenfall vorbeugen. Anders als beim Standardversicherungsvertrieb ist bei der Cyberversicherung ein technisches Verständnis im Hinblick auf die Risiken und den Deckungsschutz nötig.

Welche Kosten fallen für den Abschluss der Versicherung an?

Die Versicherungsnehmerin zahlt einen jährlichen Versicherungsbeitrag an den Versicherer. Die Assistance-Leistungen sind hier kostenfrei mit abgedeckt.  Die Höhe des Versicherungsbeitrags ist stark abhängig von der Branche, den Umsätzen und der Mitarbeiterzahl des versicherten Unternehmens. Hinzukommen etwaige Kosten für Zusatzbausteine wie z.B. Versicherungsschutz für den Ausfall externer IT-Dienstleister, Hardwareschäden und Cyber-Diebstahl.

Kann man sich mit einer Cybersicherung nur in Gänze schützen oder lassen sich auch Teilbereiche abdecken wie beispielsweise das Online-Banking? 

Die Cyberversicherung hat sich als ein gewisses „All-In“-Produkt etabliert. Bestimmte Bereiche wie Online-Banking oder Bestellerbetrug sind auch über sogenannte Vertrauensschadenversicherungen abgesichert, wobei dort der Schutz teilweise sogar umfangreicher ist als in den Zusatzbausteinen der Cyberversicherung.

Doch es gibt weitere Entwicklungen im Hinblick auf bestimmte Einzelrisiken: Seit September 2021 bieten wir eine sogenannte parametrische Cloud-Ausfallversicherung als eigenständigen Teilbereich an. Der Versicherer zahlt bei einem Ausfall von bestimmten Cloud-Lösungen – unabhängig vom auslösenden Ereignis – einen bei Vertragsabschluss vereinbarten Stundensatz direkt an das betroffene Unternehmen aus. Dieses Produkt kann separat oder als Ergänzung zur Cyberversicherung hinzugekauft werden.

Was können Unternehmen tun, um Risiken im virtuellen Raum zu minimieren? Und warum ist eine Prävention so wichtig?

Die Cyberversicherung sollte nicht als Ersatz, sondern vorrangig als Ergänzung zu angemessenen IT-Sicherheitsmaßnahmen gesehen werden.

Neben Virenscanner, Firewalls und regelmäßigen Back-ups verlangen Cyberversicherer mittlerweile ein breites Spektrum an präventiven Maßnahmen. Dazu gehören im Einzelnen etwa ein  Richtlinienmanagement, Notfallpläne, der Schutz mobiler Geräte, Multifaktorauthentifizierungen bei externen Zugriffen, die Trennung von Admin- und sonstigen Benutzerkonten, der Schutz von Produktionssystemen sowie turnusmäßige Mitarbeiterschulungen.

Ohne solche Präventionsmaßnahmen bieten Unternehmen eine Angriffsfläche für zunehmend professionell agierende Hacker. Neben den gravierenden finanziellen Auswirkungen für das betroffene Unternehmen wird häufig auch der Vorwurf eines Organisationsverschuldens gegen die Manager laut. Bei schuldhaften Versäumnissen haften diese dann auch mit ihren Privatvermögen.

Herr Bitis, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.