Anforderungen für Cyber-Versicherungen steigen

Was kann ich versichern beziehungs­weise wogegen kann ich mich absichern? Was bekomme ich ersetzt?

Eine Cyber-Versi­cherung schützt bei Verlet­zungen der Infor­mations­sicher­heit, genauer gesagt Verlet­zungen der Vertrau­lichkeit von Daten und IT-Systemen. Ebenso greift sie, wenn Daten oder IT-Systeme nicht verfügbar sind. Voraus­setzung für den Schutz ist, dass der Schaden durch eine der im Versi­cherungs­vertrag konkret benannten Gefah­ren verursacht wurde. Versi­cherungs­gesell­schaften und -makler entwickeln dazu jeweils eigene Versi­cherungs­lösun­gen. Wir bieten beispiels­weise die Funk CyberSecure an. Diese sichert nicht nur die Sabotage durch Dritte oder das eigene Personal ab, sondern auch Bedien- und Programmier­fehler und technische Probleme.

Die versi­cherten Gefahren im Überblick:

• Netzwerk­sicherheits­verlet­zungen
• Hacker, Viren, Trojaner
• Denial-of-Service-Attacken
• Daten­schutz-/Vertrau­lichkeits­verlet­zungen
• Rechts­widrige Kommu­nikation
• Fehl­bedie­nungen und Sabo­tage durch Mitar­bei­tende
• Technische Probleme
• Überspannung, Spannungs­abfall, Aus­fall der Strom­versor­gung am Ort
• Interne Netzwerk­fehler, Hardware­fehler (inklu­sive Über­hitzung der Hardware), Programmier­fehler

Je nach Art des Schadens können dabei die fol­genden Leistungs­bau­steine zum Tragen kommen:

• Dritt­schaden
• Abwehr/Befriedung von Ansprüchen Dritter
• Entschädi­gungen mit Straf­charakter oder Gebühren
• Vertrags­strafen und Bußgelder
• Eigenschäden
• Dienst­leistungs-, Beratungs-, Über­wachungs-, Infor­mations-, Monitoring­kosten
• Kosten für die Wahrung und Wieder­herstellung der Reputation, Krisen­beratung
• Betriebs­unterbrechungs­schäden
• Fortlau­fende Kosten und Betriebs­gewinn
• Definierte Mehr­kosten
• Sonstige Deckungs­bau­steine
• Cyber-Krimi­nalität (zum Beispiel Fehl­leiten von Geldern)
• Löse­geld­zahlungen
• Sach­eigen­schäden

Erfah­rene Versicherungs­experten beraten dabei jedes Unter­nehmen indi­viduell zum passen­den Versiche­rungs­schutz und even­tuell not­wendigen Ergän­zungen, wie beispiels­weise einer Vertrauens­schaden-Versicherung.

Kann ich Produktions­ausfälle absichern? Gibt es hier Karenz­zeiten, Selbst­behalte und wei­tere wichtige Aspekte?

Schä­den durch Betriebs­unter­brech­ungen sind inklu­sive Mehr­kosten versichert. Diese Mehrkosten umfassen beispielsweise Überstunden von Mitarbeitenden, die Nutzung fremder Anlagen und ähnliche Maßnahmen. Dabei gibt es generell entweder Wartefristen oder zeitliche Selbstbehalte und Haftzeiten von üblicherweise 180 Tagen.

Welche Risikogruppen und Zielgruppen gibt es aus Sicht des Versicherers und warum?

Eine klassische Zielgruppe oder spezielle Risikogruppen gibt es in der Cyber-Versicherung nicht, denn jeder Versicherer beurteilt Risikosituationen anders. Trotzdem können bestimmte Branchen natürlich als besonders kritisch beurteilt werden. Hier zu gehören beispielsweise die Rüstungsindustrie, Stadtwerke und Versorgungsbetriebe oder Medienunternehmen.
Dies liegt zum einen an speziellen Compliance-Regelungen sowie an vergangenen Erfahrungen der Versicherer, zum anderen am sogenannten Exposure, also der Frage, wie hoch das Risiko für bestimmte Unternehmen ist. So sind Stadtwerke in Sachen ITSicherheit häufig schlecht aufgestellt. Gleichzeitig stehen sie, gemeinsam mit Universitäten und Medienunternehmen, oft im Fokus der Angreifer.

Welche Voraussetzungen bestehen zum Abschluss einer Cyber-Versicherung?

Die Voraussetzungen für den Abschluss einer Cyber-Deckung sind aktuell sehr hoch. Die Fachwelt nimmt derzeit einen stetigen Anstieg der Anforderungen der Versicherer an Art, Umfang und Komplexität der technischen und organisatorischen IT Sicherheitsmaßnahmen wahr. Maßgeblich hierfür verantwortlich sind die stark angestiegenen Schadenzahlen und -höhen. Zudem sind die Ver sicherer inzwischen nicht mehr darauf angewiesen, Neugeschäft zu generieren, so dass inzwischen ein deutlich selektiveres und zurückhaltenderes Zeichnungsverhalten zu beobachten ist. Vor diesem Hintergrund ist die Erfüllung von Mindestanforderungen durch Unternehmen inzwischen ausschlaggebend: um einen für die Bereitschaft der Versicherer zur Deckung von Risiken, zum anderen bei der Verlängerung bestehender Verträge.

Gibt es Mindestanforderungen der Versicherer?

Ja. Die Mindestanforderungen sind sehr umfangreich und abhängig vom Umsatz der Unternehmen. Zu den wichtigsten Punkten gehören jedoch jährliche Schulungen für Mitarbeitende, ein einheitliches Sicherheitskonzept für alle mitversicherten Unternehmen, klare Richtlinien für die Vergabe von Passwörtern und Rechten, die Einhaltung der DSGVO, die Einrichtung bestimmter technischer Funktionen rund um IT-Systeme und Netzwerke sowie ein ganzheitliches Back-up- und Notfallmanagement. Fast alle Versicherer führen eigene Penetrationstests vor Vertragsabschluss durch, das heißt, dass sie das Sicherheitsniveau der Kunden durch Experten einem Stresstest aussetzen.

Es gibt im Bereich Cyber-Sicherheit ganz unterschiedliche Zertifizierungen. Diese geben den Versicherern aber nur erste Anhaltspunkte bezüglich der Qualität der IT Sicherheit: Zwar lassen sich anhand der Anforderungen für die Zertifizierungen Rückschlüsse auf das Vorhandensein bestimmter Sicherheitsmaßnahmen ziehen. Trotzdem ist eine Zertifizierung keine Voraussetzung für die Versicherbarkeit und führt in der Regel auch nicht dazu, dass Versicherungsschutz leichter eingekauft werden kann.

Interview: Torsten Laudien