Lesedauer: 4 Minuten
Vor dem Schaden klug sein
Anforderungen für Cyber-Versicherungen steigen
Ach was muss man oft von bösen . . . Hackern hören oder lesen? Die Zahl der Cyberangriffe auf Unternehmen, Behörden oder Institutionen steigt rasant. Neben den öffentlich bekannten Fällen dürfte die Dunkelziffer noch sehr viel höher sein. Die Versicherungsbranche verzeichnet einen Run auf Cyberversicherungen. Im WIRTSCHAFTSSPIEGEL-Interview beantwortet Jürgen Schwab, Erfurter Niederlassungsleiter des Versicherungsmaklers und Risk Consultants Funk, die wichtigsten Fragen.
Foto: NicoElNino – stock.adobe.com
Was kann ich versichern beziehungsweise wogegen kann ich mich absichern? Was bekomme ich ersetzt?
Eine Cyber-Versicherung schützt bei Verletzungen der Informationssicherheit, genauer gesagt Verletzungen der Vertraulichkeit von Daten und IT-Systemen. Ebenso greift sie, wenn Daten oder IT-Systeme nicht verfügbar sind. Voraussetzung für den Schutz ist, dass der Schaden durch eine der im Versicherungsvertrag konkret benannten Gefahren verursacht wurde. Versicherungsgesellschaften und -makler entwickeln dazu jeweils eigene Versicherungslösungen. Wir bieten beispielsweise die Funk CyberSecure an. Diese sichert nicht nur die Sabotage durch Dritte oder das eigene Personal ab, sondern auch Bedien- und Programmierfehler und technische Probleme.
Die versicherten Gefahren im Überblick:
- Netzwerksicherheitsverletzungen
- Hacker, Viren, Trojaner
- Denial-of-Service-Attacken
- Datenschutz-/Vertraulichkeitsverletzungen
- Rechtswidrige Kommunikation
- Fehlbedienungen und Sabotage durch Mitarbeitende
- Technische Probleme
- Überspannung, Spannungsabfall, Ausfall der Stromversorgung am Ort
- Interne Netzwerkfehler, Hardwarefehler (inklusive Überhitzung der Hardware), Programmierfehler
Je nach Art des Schadens können dabei die folgenden Leistungsbausteine zum Tragen kommen:
- Drittschaden
- Abwehr/Befriedung von Ansprüchen Dritter
- Entschädigungen mit Strafcharakter oder Gebühren
- Vertragsstrafen und Bußgelder
- Eigenschäden
- Dienstleistungs-, Beratungs-, Überwachungs-, Informations-, Monitoringkosten
- Kosten für die Wahrung und Wiederherstellung der Reputation, Krisenberatung
- Betriebsunterbrechungsschäden
- Fortlaufende Kosten und Betriebsgewinn
- Definierte Mehrkosten
- Sonstige Deckungsbausteine
- Cyber-Kriminalität (zum Beispiel Fehlleiten von Geldern)
- Lösegeldzahlungen
- Sacheigenschäden
Erfahrene Versicherungsexperten beraten dabei jedes Unternehmen individuell zum passenden Versicherungsschutz und eventuell notwendigen Ergänzungen, wie beispielsweise einer Vertrauensschaden-Versicherung.
Kann ich Produktionsausfälle absichern? Gibt es hier Karenzzeiten, Selbstbehalte und weitere wichtige Aspekte?
Schäden durch Betriebsunterbrechungen sind inklusive Mehrkosten versichert. Diese Mehrkosten umfassen beispielsweise Überstunden von Mitarbeitenden, die Nutzung fremder Anlagen und ähnliche Maßnahmen. Dabei gibt es generell entweder Wartefristen oder zeitliche Selbstbehalte und Haftzeiten von üblicherweise 180 Tagen.
Welche Risikogruppen und Zielgruppen gibt es aus Sicht des Versicherers und warum?
Eine klassische Zielgruppe oder spezielle Risikogruppen gibt es in der Cyber-Versicherung nicht, denn jeder Versicherer beurteilt Risikosituationen anders. Trotzdem können bestimmte Branchen natürlich als besonders kritisch beurteilt werden. Hier zu gehören beispielsweise die Rüstungsindustrie, Stadtwerke und Versorgungsbetriebe oder Medienunternehmen.
Dies liegt zum einen an speziellen Compliance-Regelungen sowie an vergangenen Erfahrungen der Versicherer, zum anderen am sogenannten Exposure, also der Frage, wie hoch das Risiko für bestimmte Unternehmen ist. So sind Stadtwerke in Sachen ITSicherheit häufig schlecht aufgestellt. Gleichzeitig stehen sie, gemeinsam mit Universitäten und Medienunternehmen, oft im Fokus der Angreifer.
Welche Voraussetzungen bestehen zum Abschluss einer Cyber-Versicherung?
Die Voraussetzungen für den Abschluss einer Cyber-Deckung sind aktuell sehr hoch. Die Fachwelt nimmt derzeit einen stetigen Anstieg der Anforderungen der Versicherer an Art, Umfang und Komplexität der technischen und organisatorischen IT Sicherheitsmaßnahmen wahr. Maßgeblich hierfür verantwortlich sind die stark angestiegenen Schadenzahlen und -höhen. Zudem sind die Ver sicherer inzwischen nicht mehr darauf angewiesen, Neugeschäft zu generieren, so dass inzwischen ein deutlich selektiveres und zurückhaltenderes Zeichnungsverhalten zu beobachten ist. Vor diesem Hintergrund ist die Erfüllung von Mindestanforderungen durch Unternehmen inzwischen ausschlaggebend: um einen für die Bereitschaft der Versicherer zur Deckung von Risiken, zum anderen bei der Verlängerung bestehender Verträge.
Gibt es Mindestanforderungen der Versicherer?
Ja. Die Mindestanforderungen sind sehr umfangreich und abhängig vom Umsatz der Unternehmen. Zu den wichtigsten Punkten gehören jedoch jährliche Schulungen für Mitarbeitende, ein einheitliches Sicherheitskonzept für alle mitversicherten Unternehmen, klare Richtlinien für die Vergabe von Passwörtern und Rechten, die Einhaltung der DSGVO, die Einrichtung bestimmter technischer Funktionen rund um IT-Systeme und Netzwerke sowie ein ganzheitliches Back-up- und Notfallmanagement. Fast alle Versicherer führen eigene Penetrationstests vor Vertragsabschluss durch, das heißt, dass sie das Sicherheitsniveau der Kunden durch Experten einem Stresstest aussetzen.
Es gibt im Bereich Cyber-Sicherheit ganz unterschiedliche Zertifizierungen. Diese geben den Versicherern aber nur erste Anhaltspunkte bezüglich der Qualität der IT Sicherheit: Zwar lassen sich anhand der Anforderungen für die Zertifizierungen Rückschlüsse auf das Vorhandensein bestimmter Sicherheitsmaßnahmen ziehen. Trotzdem ist eine Zertifizierung keine Voraussetzung für die Versicherbarkeit und führt in der Regel auch nicht dazu, dass Versicherungsschutz leichter eingekauft werden kann.
Interview: Torsten Laudien
Jürgen Schwab
Niederlassungsleiter Erfurt Funk Gruppe GmbH
Foto: Carlo Bansini