Über unsMediaKontaktImpressum
Manfred Vosseler 03. November 2015

Cyberversicherungen – Versicherungsinnovation 4.0

Die Versicherungswirtschaft gilt als wertkonservativ, unflexibel und wenig innovativ. Für die IT-Branche trifft dies jedoch wirklich nicht zu. Seit mehr als einem Jahrzehnt hat sich die IT-Haftpflichtversicherung für IT-Experten und Dienstleister am Markt etabliert. Mit Bedingungserweiterungen und neuen Versicherungsbausteinen – beispielsweise Eigenschadendeckungen für Projektverträge – haben sich die Versicherer mittlerweile bedarfsgerecht auf die Anforderungen der EDV-Branche eingestellt. Mit einem ganz neuen Versicherungsbereich reagiert der Markt jetzt wieder auf neue Gefahrenbereiche aus dem Technologiesektor: Die Absicherung von Cyberrisiken!

Für Unternehmen stellt sich nicht die Frage, ob sie generell Opfer eines Hackerangriffs werden könnten, sondern nur, wann dies passieren wird… und wie mit einer solchen Cyberattacke, auch jenseits der finanziellen Belastung des Unternehmens, mit dadurch entstehenden Kosten umzugehen ist. Unternehmensgröße oder Branchenzugehörigkeit spielen bei der Beurteilung der Gefährdungslage dabei erstaunlicherweise gar keine Rolle. Laut Studien von KPMG [1] und des CFIS sind im internationalen Vergleich die Schäden durch Cyberkriminalität – gemessen an der Wirtschaftsleistung – in Deutschland am höchsten. Alleine 2015 sind 40 Prozent der Unternehmen von E-Crime betroffen und mehr als 70 Prozent der Unternehmen rechnen damit, innerhalb der nächsten beiden Jahre Opfer einer Hackerattacke zu werden. Der durchschnittliche Schaden liegt – inklusive forensischer Kosten – bei über 370.000 Euro.

Und noch eine bemerkenswerte Zahl: Nach eigenen Angaben zählt die Deutsche Telekom 800.000 Hackerangriffe pro Tag (!) auf sogenannte Honeypots [2]. Die Assekuranz sieht hierin wachsende Marktchancen und will deshalb mit geeigneten Cyberpolicen den gefährdeten Unternehmen professionelle Hilfestellung geben.

Seit 2011 können Firmen auf diesen modernen und innovativen Versicherungsschutz zurückgreifen. Aktuell bieten allerdings erst 13 Versicherungsgesellschaften so genannte Cyber-Deckungen an (vorrangig ACE, AIG, Allianz, AXA, Chubb, DUAL, HDI, Hiscox, Württembergische, Zurich, XL-Catlin). Der Markt ist also noch relativ überschaubar.

Die Cyber-Versicherung setzt sich typischerweise aus drei Komponenten zusammen und kann an die unternehmenstypischen Anforderungen individuell angepasst werden:

  • Cyber-Haftpflichtversicherung
  • Cyber-Eigenschadenversicherung
  • Cyber-Assistance-Leistungen

Der Cyber-Haftpflichtbaustein deckt den sogenannten Drittschaden ab. Das heißt konkret, berechtigte Schadenersatzansprüche, die an das versicherte Unternehmen gestellt werden, sind vom Versicherer zu begleichen und unberechtigte Ansprüche werden mit der Unterstützung durch die Schadenabteilung abgewehrt.

Das Studium der Vertragsbedingungen ist von essentieller Bedeutung

Ist man durch einen Hackerangriff allerdings selbst von einem Schaden betroffen, so liegt ein Eigenschaden vor. Bei Cyber-Eigenschäden unterscheidet sich der Versicherungsschutz bei den einzelnen Anbietern ganz erheblich. So können beispielsweise Betriebsunterbrechungsschäden inklusive Gewinnausfall, Lösegeldzahlungen nach Cybererpressung, Strafzahlungen nach Verurteilungen, Diskriminierungstatbestände, Honorare für Sicherheitsanalyse und Sicherheitsverbesserungen, Kosten für Kreditüberwachungsdienstleistungen und Computerforensik und manch anderes mitversichert werden. Das Studium der Vertragsbedingungen, im Fachjargon "Wording" genannt, ist also für das Unternehmen von essentieller Bedeutung, um den bedarfsgerechten und lückenlosen Versicherungsschutz zu erhalten.

Nach einem Cyberangriff sind Unternehmen häufig völlig überfordert, wie mit der Bewältigung des Hackerangriffs umzugehen ist, da diesbezüglich meist gar keine oder nur für einzelne Unternehmensbereiche Krisenpläne vorhanden sind.

Die Möglichkeit, schnell auf ein Expertenteam zugreifen zu können, ein organisiertes Schadenmanagement und die Ursachenforschung mit Hilfe von spezialisierten Forensikern ist im Schadenfall viel wichtiger als die finanzielle Befriedigung der gestellten Schadenersatzansprüche. Diese Cyber-Assistance-Leistungen sind deshalb eine nicht zu unterschätzende Versicherungskomponente, deren Wert jenseits rein monetärer Aspekte gar nicht hoch genug eingeschätzt werden kann; nicht zuletzt weil in solchen schnell öffentlich wahrgenommenen Krisenfällen die Reputation des gesamten Unternehmens in Gefahr gerät.

Gute Versicherungsgesellschaften bieten nach Vertragsabschluss zusammen mit einem versierten Cyber-Dienstleister kostenfrei die präventive Erstellung von Krisen- und Notfallplänen an. Das geschieht nicht ganz ohne Eigennutz, um prophylaktisch Schadenfälle und damit verbundene hohe Entschädigungszahlungen zu vermeiden und den Unternehmer auf IT-Sicherheitslücken aufmerksam zu machen.

Beim Einkauf von Cyber-Versicherungsschutz sollten mindestens folgende Komponenten enthalten sein:

  • Eine Kombination aus Dritt-(Haftpflicht) und Eigenschäden.
  • Bei Mitversicherung von Betriebsunterbrechungsschäden sollten sämtliche Unternehmensumsätze, also sowohl Online- als auch Offline-Umsätze mitversichert sein.
  • "Primärdeckungskonzept": Das heißt, dass die Cyber-Police vorrangig und unabhängig von evtl. anderen bestehenden Versicherungen leistet, die sich in Teilbereichen überschneiden könnten. Das schützt vor Kompetenzstreitigkeiten mit den einzelnen Versicherungsunternehmen und ermöglicht schnelle, effiziente Problemlösungen.
  • Der Versicherungsschutz soll nicht durch viele Sublimits (in Teilbereichen geringere Entschädigungsgrenzen als die generelle Versicherungssumme) eingeschränkt sein.
  • Die Versicherungsleistung sollte für den Versicherungsnehmer nicht durch versteckte Auflagen in den Cyber-Versicherungsbedingungen (sog. Obliegenheitspflichten) gefährdet sein, durch die im Schadensfall die Leistung vom Versicherer verweigert werden könnte.
  • Der Versicherungsschutz sollte weltweit (einschließlich der USA!) bestehen; also keine Einschränkung des Geltungsbereichs nur auf bestimmte Länder enthalten, da Hackerangriffe kein nationales, sondern definitiv ein internationales Problemfeld darstellen.
  • Die Definition des Versicherungsfalls sollte weder auf elektronische noch auf rein personenbezogene Daten beschränkt sein, um eine größtmögliche Bandbreite an Schadensfall-Szenarien abdecken zu können. Dann gilt der Verlust einer Papierakte oder eines traditionellen Terminplanbuches ebenso mitversichert wie der von Laptop, Smartphone, USB-Stick oder anderen physischen Datenträgern.
  • Mitversicherung von vertraglichen Haftungsansprüchen zusätzlich zu den rein gesetzlichen Haftungsansprüchen.
  • Kein Ausschlusstatbestand für ungezielte Angriffe in den Versicherungsbedingungen.
  • Der Anspruch auf die kompetente Unterstützung im Krisen- bzw. Schadenfall durch ein qualifiziertes Experten-Team sollte durch die Vertragsbedingungen verbindlich gewährleistet sein.

Fazit

 

Auch wenn der Versicherungsmarkt in diesem Segment noch relativ jung ist und die Leistungsanforderungen noch nicht so klar ausgeprägt sind wie in anderen etablierten Bereichen (wie z. B. bei der IT-Haftpflicht), so ist der Abschluss einer geeigneten Cyberversicherung für jedes Unternehmen doch schon jetzt frühzeitig zu empfehlen.

Wichtige Unternehmens- oder Arbeitsprozesse werden schon heute primär durch die IT zumeist webbasiert gesteuert und sind somit nach außen hin exponiert von Hackerangriffen bedroht. Sowohl personenbezogene als auch sonstige vertrauliche Daten von Kunden, Mitarbeitern, Patienten oder sonstigen Personenkreisen werden heute überwiegend digital verarbeitet und gespeichert. Die IT-Infrastruktur und das Internet sind die Schauplätze der Dramen, die sich in unseren Tagen mit wachsender Unübersichtlichkeit zunehmend häufiger abspielen.

Sie sollten auf alle derartigen Unwägbarkeiten durch adäquaten Versicherungsschutz möglichst gut vorbereitet sein.

Autor

Manfred Vosseler

Manfred Vosseler ist Experte für IT-Haftpflichtversicherungen und Versicherungen für IT-Selbständige und Freiberufler.
>> Weiterlesen
botMessage_toctoc_comments_9210