Das zunehmende Cyberrisiko haben insbesondere in der IT-Branche viele Firmen auf der Agenda. Security-Maßnahmen werden verstärkt, doch fällt es gerade kleinen und mittleren Unternehmen schwer, mit den sich ständig wandelnden Risiken Schritt zu halten.
Um die unvermeidlichen Restrisiken abzudecken, erwägen immer mehr IT-Dienstleister, ihren Versicherungsschutz auszuweiten – worauf die Versicherer mit einer Vielzahl an Cyber-Produkten reagieren.
Da der Markt für Cyberversicherungen noch relativ jung ist, haben sich erst wenige Standards etabliert, was die Vergleichbarkeit der Angebote erschwert. Hinzu kommen mögliche Überschneidungen mit Leistungen der IT-Haftpflichtversicherung, was im Schadensfall zu Komplikationen führen kann. „Unternehmer sollten ihre IT-Haftpflicht- und Cyberversicherung unbedingt beim selben Anbieter abschließen“, empfiehlt daher Kai Doerk, Inhaber des unabhängigen Versicherungsmaklers Asekurado. „Andernfalls kann sich die Schadensregulierung kompliziert und langwierig gestalten.“ Um im Dschungel der Versicherungstarife die geeignete Absicherung für das eigene Unternehmen zu finden, ist Hintergrundwissen notwendig. Doerk rät er Geschäftsführern und Selbständigen insbesondere dazu, die folgenden Punkte zu beachten.
1. Beide Policen beim selben Versicherer abschließen
Auf den ersten Blick scheint die Abgrenzung einfach zu sein: Die IT-Haftpflicht schützt IT-Unternehmen vor den Folgen selbstverschuldeter Fehler, also wenn Dritte Schadenersatz fordern. Eine Cyberversicherung greift bei unverschuldeten Problemen wie Schäden durch Malware oder einen Hackerangriff. In der Praxis ist es leider komplizierter. Welche Versicherung ist beispielsweise zuständig, wenn aufgrund eines Cybervorfalls ein Projekt in Verzug gerät oder ein Mitarbeiter versehentlich Schadsoftware beim Kunden einschleust? Wer übernimmt die Abwehr von Schadenersatzansprüchen, wer trägt welche Kosten?
Diese Fragen stellen sich nicht, wenn alle IT-Risiken bei ein- und demselben Anbieter versichert sind. „Ein weiterer großer Vorteil ist, dass die Produkte dann aufeinander abgestimmt sind“, erklärt Asekurado-Geschäftsführer Doerk. Das heißt: Es bestehen keine gravierenden Deckungslücken (alle wesentlichen Risiken sind von einer der beiden Police abgesichert) und auch keine Doppelversicherungen (für die der Versicherungsnehmer unnötig bezahlen muss).
2. Mögliches Unternehmenswachstum einplanen
Wer vorhat, als IT-Dienstleister in den kommenden Jahren zu wachsen, sollte dies beim Abschluss von Versicherungsverträgen berücksichtigen. Denn nicht bei jedem Anbieter ist eine entsprechende Erhöhung der Versicherungssumme problemlos möglich. Oft lassen sich IT-Haftpflicht- und Cyberversicherung nur bis zu einer Deckungssumme von 2 Mio. Euro unkompliziert abschließen. Benötigt eine Firma mehr, ist bei vielen Anbietern eine aufwändige Risikoanalyse notwendig oder Versicherungsschutz gar nicht möglich.
Ähnliches gilt für den Jahresumsatz des IT-Unternehmens. Versicherungsnehmer sollten sich daher vorab informieren, bei welchen Umsatz-Schwellenwerten die Versicherungsbeiträge gegebenenfalls sprunghaft steigen oder ab welcher Unternehmensgröße Versicherungsschutz nicht mehr standardmäßig angeboten wird.
3. Cyber-Vollversicherung möglich?
Die Palette der auf dem Markt erhältlichen Cyber-Versicherungen ist groß. Immer mehr Versicherer reagieren auf die steigenden Cyberrisiken und bieten eigene Produkte hierfür an. Doch verbergen sich hinter Namen wie Cyberschutz, Data Protect, Hacker- oder Cyberversicherung Produkte mit höchst unterschiedlichem Leistungsumfang.
Was allen gemeinsam ist: Im Schadensfall stehen spezialisierte Dienstleister bereit, um den Schaden eines Cyberangriffs sofort einzudämmen. Hiervon profitieren insbesondere IT-Unternehmen, die nicht selbst über ausreichend Expertise zur Cyber-Abwehr verfügen (und natürlich die Versicherer, die die Schadenskosten so gering wie möglich halten wollen). Ebenfalls im Versicherungsschutz enthalten sind in der Regel die Wiederherstellung und Reparatur der IT-Systeme sowie die Beauftragung externer Forensik-Analysten und spezialisierter Anwälte.
Für ein umfassendes Risikomanagement sind jedoch noch weitere Faktoren wichtig, die nicht in allen Policen enthalten sind. Beispielsweise kann eine erfolgreiche Cyber-Attacke die Arbeitsfähigkeit des IT-Unternehmens über längerer Zeit beeinträchtigen. Kündigen daraufhin wichtige Kunden, ist der Ertragsausfall immens. „Zu einer Cyber-Vollversicherung zählt auch der Einschluss von Betriebsunterbrechungsschäden“, betont Kai Doerk vom Versicherungsmakler Asekurado. Weitere wesentliche Risiken sind unter anderem Cyber-Diebstahl (z.B. unrechtmäßige Überweisungen), Telefon-Hacking, Datenrechts-Eigenschäden und Cyber-Schäden bei Dritten.
4. Versicherungssumme nicht zu knapp kalkulieren
IT-Unternehmen benötigen sowohl bei der IT-Haftpflicht als auch bei der Cyber-Versicherung hohe Deckungssummen, insbesondere für Vermögensschäden. Wer den Versicherungsbeitrag reduzieren möchte, sollte lieber den Selbstbehalt erhöhen oder einen Anbieter mit einem besseren Preis-Leistungsverhältnis suchen, als eine Unterversicherung zu riskieren. Denn überschreitet im Ernstfall der fällige Schadenersatz den versicherten Betrag, muss das IT-Unternehmen für die Mehrkosten selbst aufkommen. Dies stellt insbesondere für den Geschäftsführer ein hohes Risiko dar: Er kann für unzureichendes Risikomanagement persönlich haftbar gemacht werden.
Ein Auge sollten IT-Unternehmer auch auf die Sublimite haben. Diese sehen vor, dass die Versicherung bei bestimmten Risiken (z.B. bei Urheberechtsverletzungen) nur bis zu einem bestimmten Betrag leistet, der oft deutlich unter der vereinbarten Versicherungssumme liegt.
5. All-Risk-Deckung und Innovationsklausel
Dass der digitale Wandel schnell voranschreitet, ist eine Binsenweisheit. Für den Versicherungsschutz bedeutet dies: Kaum jemand kann vorhersehen, welche neuen Anwendungsgebiete und Risiken in den kommenden Jahren hinzukommen. IT-Versicherungen, die länger als ein Jahr Bestand haben sollen, sollten daher eine All-Risk-Deckung beinhalten – also alle jetzigen und zukünftigen IT-relevanten Tätigkeiten mitversichern. Empfehlenswert ist ebenso eine Innovationsklausel: Diese besagt, dass der Versicherungsnehmer automatisch von künftig verbesserten Leistungen profitiert, ohne seinen Vertrag dafür stets aktualisieren zu müssen.
Um Stolperfallen zu vermeiden empfiehlt Rutkowski zudem einen Versicherungsschutz, der weltweit gilt und auch Fehler von Subunternehmern, freien Mitarbeitern und Praktikanten abdeckt.
6. Spezialisierte Anbieter für IT-Haftpflicht oder Allrounder?
Viele Versicherer haben Haftpflicht- und Cyberversicherungen im Angebot. Wie gut deren Leistungsumfang und Vertragsbedingungen zu den tatsächlichen Bedürfnissen der Kunden passen, ist höchst unterschiedlich. Grundsätzlich kann man sagen: Über je mehr Erfahrung ein Versicherer mit einer bestimmten Kundengruppe verfügt, desto besser sind die Produkte auf deren spezifische Anforderungen zugeschnitten. Für IT-Unternehmen bedeutet das, dass sie in der Regel bei einem spezialisierten Gewerbeversicherer besser aufgehoben sind als bei Anbietern, die IT-Haftpflicht und Cyberversicherungen „nebenbei“ im Portfolio haben.
www.asekurado.de