Für einen Großteil der deutschen Unternehmen hat das Thema Cyber-Risikomanagement deutlich an Bedeutung gewonnen: 94 Prozent sehen Cyber-Risiken als relevant an. 86 Prozent finden die Möglichkeit, Cyber-Risiken in eine eigene Versicherungspolice zu transferieren, sinnvoll – das berichtet die aktuelle „Cyber-Studie 2019“.
Dabei kennen allerdings nur 36 Prozent der befragten Unternehmen den Umfang einer Cyberversicherung, und es bestehen nach wie vor Unsicherheiten, was die Abgrenzung zu bestehenden Maßnahmen im IT-Schutz angeht.
Es scheint, als seien die Unternehmen in Deutschland endlich aufgewacht und erkennen die potenziellen Gefahren durch Cyberangriffe. Allerdings stehen die Unternehmen in diesem Zusammenhang vor Herausforderung – denn es muss die Risikoeinschätzung, aber auch eine quantitative Bewertung von Schadensszenarien als Vorleistung eigenständig übernommen werden, um eine Cyberversicherung in Anspruch zu nehmen.
Cyberversicherung: Für den Ernstfall gewappnet
Trotz aller Vorsicht und Maßnahmen gegen Cyberattacken kann es aber zum digitalen Gau kommen, wenn Cyberkriminelle in Unternehmensnetzwerke eindringen und auf sensible Daten zugreifen können – oft sind die Opfer gar nicht selbst schuld daran. Legt aber ein Virus die Unternehmens-IT für längere Zeit lahm und beschädigt auch externe Geschäftsprozesse von Partnern oder anderen Dienstleistern, steht im schlimmsten Fall die Existenz der Firma auf dem Spiel. Für diese und viele weitere Fälle gibt es Cyberversicherungen, die aus unterschiedlichen Maßnahmen-Paketen bestehen und individuell auf die Begebenheiten einer Unternehmens-IT passen. Die Versicherung springt vor allem dann ein, wenn trotz aller Vorsicht oder bei Unglücksfällen Unternehmen doch einmal zum Betroffenen werden – besonders wichtig, wenn Schadenersatzansprüche von Dritten aufkommen.
Das kann eine Cyberversicherung im Idealfall leisten
Nach den Musterbedingungen des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV) handelt es sich bei einer Cyber-Versicherung in der Regel um eine Kombination aus einer Haftpflichtversicherung, einer Betriebsausfallversicherung und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden. Sie kann u. a. individuell vereinbarte und je nach Bedarf festgehaltene Schäden und Leistungen abdecken:
- Eigenschäden: Bei einem Hacker-Angriff oder der Ausspähung persönlicher Daten kann auch dem Versicherungsnehmer selbst ein Schaden entstehen. Versicherungsrechtlich spricht man dabei von einem Eigenschaden. Deshalb bieten die Cyberversicherungen auch Schutz vor Eigenschäden, die durch einen Hacker-Angriff, eine DoS-Attacke (Dienstverweigerung), Computermissbrauch, Diebstahl von Datenträgern oder eine sonstige Datenrechtsverletzung entstehen. Dabei dienen Cyberversicherungen nicht nur dazu, den direkten Schaden auszugleichen, den der Angriff verursacht hat, sondern vor allem für die Kosten aufzukommen, die mit der vollständigen Wiederherstellung der Geschäftstätigkeit verbunden sind.
- Drittschäden: Werden beispielsweise Kundendaten aus dem Firmennetzwerk gestohlen und missbraucht, können Kunden Schadensersatz vom bestohlenen Unternehmen verlangen. Auch wenn Kunden nach einem erfolgreichen Angriff auf das IT-System nicht beliefert werden können und deshalb Schäden erleiden, leistet die Versicherung. Die Cyberversicherung entschädigt die Kunden und wehrt für das versicherte Unternehmen unberechtigte Forderungen ab.
- Service-Leistungen: Bei einem Cyberangriff ist schnelle Hilfe gefordert. Die Versicherung schickt speziell geschulte Experten, die als IT-Forensiker analysieren, warum beispielsweise die Unternehmens-IT lahmgelegt ist. Die Ursachenforschung ist Voraussetzung, um das Ausmaß des Schadens abschätzen und mögliche Folgeschäden verhindern zu können.
Werden sensible Daten gestohlen, müssen sich Unternehmen vor Datenschutzbehörden und Betroffenen erklären – sonst drohen empfindliche Bußgelder. Damit sich Unternehmen rechtlich nicht angreifbar machen, hilft die Cyberversicherung mit Anwälten, die sich genau im IT- und Datenschutzrecht auskennen. Die Kosten für die Beratung, ob der Datenschutz verletzt wurde, übernimmt die Versicherung.
- Reputationsschutz: Die Reputation eines Unternehmens ist sein wertvollstes Gut und gleichermaßen gefährdet wie nie: Wenn nach einem Cyberangriff eine Reputationskrise eintritt und beispielsweise weniger Produkte verkauft werden, so kann der innerhalb einer vereinbarten Haftzeit entstandene Ertragsausfall ab Beginn der Reputationsbeeinträchtigung erstattet werden. Bei der Berechnung des finanziellen Schadens orientieren sich die Versicherungen in der Regel am Konzept aus der Betriebsunterbrechungsversicherung, mit dessen Hilfe der entgangene Gewinn nach Eintritt einer Reputationsbeeinträchtigung ermittelt wird.
Das muss das Unternehmen vorab leisten
Für selbstständige, kleine und mittlere Unternehmen gibt es je nach Versicherung unterschiedliche Bedingungen, die vorab erfüllt werden müssen, damit eine Versicherung abgeschlossen werden kann. Dabei handelt es sich in der Regel um IT-Mindeststandards wie das regelmäßige Updaten der Software, damit keine Sicherheitslücke entsteht, oder die Mitarbeitersensibilisierung. Die IT-Maßnahmen, die bereits vorab getätigt wurden, werden durch eine Risikoeinschätzung identifiziert und nach ihrer Wirkung beurteilt, damit der Versicherungsschutz passgenau ist und alles Notwendige abdeckt. Der GDV hat dafür Musterbedingungen sowie einen Risikofragebogen entwickelt. Die unverbindlichen Musterbedingungen richten sich vor allem an die Zielgruppe kleiner und mittelständischer Unternehmen. Sie dienen dazu, dass die Unternehmen und Makler einen Vergleichsmaßstab haben, um Versicherungsangebote zu bewerten. Der Fragebogen ist behilflich bei der Risikoeinschätzung vor dem Abschluss einer Versicherung und gibt Auskunft über die Schwachstellen der firmeneigenen IT.
Cyberversicherung: Vorbereitet für den Schadenfall
Mittelständische und kleine Unternehmen werden immer mehr von Cyberkriminellen attackiert. So können Produktionsstörungen, Wettbewerbsnachteile und Imageeinbußen infolge eines Cyberangriffs erhebliche Schäden verursachen. Eine Cyberversicherung bewahrt Unternehmen vor dem Schicksal, eigene große Summen nach einem Cyberangriff zu investieren. Die Versicherung zahlt eine vereinbarte Entschädigung, wenn eine Attacke den Geschäftsbetrieb ganz oder teilweise zum Erliegen bringt. Sie ist aber mehr als eine reine Schadensversicherung: Weil nach einem Angriff jede Minute zählt, um die Auswirkungen zu begrenzen, und weil auch die Rechte von Dritten berührt sein können, bietet eine Cyberpolice zugleich wichtige Serviceleistungen. Die helfen vor allem kleineren und mittelständischen Unternehmen, denen das entsprechende Know-how oft fehlt.
http://m2solutions.de