Cyber-Versicherung: Der Schaden durch Cyber-Angriffe

gefährdet schnell die Existenz

Deutschlands größter Versicherer Allianz schließt eine Kooperation mit Apple und Cisco, um Policen gegen Cyber-Kriminalität zu verkaufen. Das Geschäftsfeld Cybersecurity wächst rasant: Die Rechtsexperten Lutz Keppeler und Stefan Jöster erklären, wer eine solche Versicherung braucht - und was Unternehmen vor dem Abschluss einer Cyber-Versicherung beachten müssen.- Ein Interview mit dem Manager Magazin

mm.de: Nicht nur die Allianz hat den Verkauf von Cyber-Versicherungen als ein neues Zukunftsfeld für die Branche entdeckt. Was sollten Cyber-Versicherungen leisten?

Keppeler: Cyber-Versicherungen sollen Unternehmen sowohl gegen die finanziellen als auch gegen die operativen Risiken absichern, die ihnen durch Cyber-Attacken drohen. Mit der Digitalisierung und der zunehmenden Vernetzung stellen sie eine allgegenwärtige Gefahr dar: Jedes Unternehmen kann Opfer solcher Angriffe werden. Ist das IT-System mitsamt Kundendaten einmal gehackt oder wurde die Internetplattform eines Unternehmens lahmgelegt, ist der Schaden schnell existenzgefährdend.

mm.de: Wann greift diese Versicherung? Lassen sich auch Schäden versichern, die durch eigene Mitarbeiter entstanden sind?

Jöster: Wenn es Kriminellen zum Beispiel gelingt, Zugang zur IT zu erlangen und Daten eines Unternehmens zu erbeuten, kann eine Cyber-Versicherung Unternehmen erheblich unterstützen: Im Fall der Fälle gleicht die Versicherung nicht nur den finanziellen Schaden aus, der durch die Cyber-Attacke entstanden ist. Sie stellt dem betroffenen Unternehmen auch einen Dienstleister zur Seite, der Daten rettet oder dabei hilft, das lahmgelegte IT-System rasch wieder in Betrieb zu nehmen. Cyber-Versicherungen können je nach Ausgestaltung der Police auch Rechtsschutz bieten, wenn es zu behördlichen Ermittlungen kommt. Zudem ist es sogar möglich, Schäden abdecken zu lassen, die durch eigene Mitarbeiter verursacht wurden. Dieser Schutz fängt dann nicht nur externe, sondern auch interne Risiken auf.

mm.de: Eine solche Rundum-Sorglos-Police dürfte sehr teuer werden. Worauf müssen Städte, Kommunen und Unternehmen bei Abschluss achten? Gibt es eine Deckungs-Obergrenze?

Jöster: Dieser Punkt muss genau geprüft und analysiert werden. Denn am Ende bringt einem Unternehmen die beste Cyber-Versicherung nur wenig, wenn die Deckungssumme zu niedrig veranschlagt wurde. Zunächst einmal ist wichtig, dass sich Unternehmen darüber im Klaren sind, dass es die eine, universal passende Cyber-Versicherung nicht gibt. Es ist maßgeblich, dass der Vertrag auf die individuellen Anforderungen des Unternehmens abgestimmt ist. Neben den Schäden an oder durch computergesteuerte Maschinen sowie dem Verlust wichtiger Daten sollten die Verantwortlichen vor allem die hohen Haftungsrisiken und den eigenen Betriebsausfall durch einen Systemstillstand im Blick haben. Da sich bei Dienstleistern Schäden durch einen Betriebsausfall nur schwer beziffern lassen, kann es eine gute Alternative sein, eine Cyber-Versicherungen abzuschließen, die eine Pauschalentschädigung pro Tag anbietet.

mm.de: Also erst intern analysieren, dann versichern?

Keppeler: Wichtig ist, dass in den Prozess auch die IT-Abteilung des Unternehmens eingebunden wird - alleine schon, um genau zu analysieren, welche Systeme relevant sind und in welcher Zeit sie wiederhergestellt werden können. Zudem ist sicherzustellen, dass das IT-System des Unternehmens den Mindestkriterien entspricht, die viele Versicherer in ihren Cyber-Policen vorgeben.

mm.de: Gibt es weitere Punkte, auf die Unternehmen achten sollten?

Jöster: Zentral ist die Qualität der sogenannten Assistenz-Leistungen. Da im Schadensfall schnelle Unterstützung eines externen IT-Sicherheitsexperten, der Daten retten und IT-Systeme wieder einsatzfähig machen kann, notwendig ist, sind diese Leistungen extrem wichtig. Bei der Güte und Bandbreite der Assistenzleistungen gibt es jedoch große Unterschiede bei den Versicherern.

Da mehrere Unternehmen gleichzeitig betroffen sein können, kann es zudem bei großen Cyber-Attacken zu Engpässen kommen - was dann dazu führen kann, dass betroffene IT-Systeme im Fall der Fälle erst mit Verzögerung abgesichert und wieder einsatzfähig gemacht werden können. Um für das eigene Unternehmen eine hohe Priorität zu erhalten, können Dienstleistungsverträge entsprechend gestaltet werden. Das spiegelt sich natürlich im Preis wieder.

mm.de: Viele Unternehmen fürchten, dass eine solche Police im Ernstfall nicht einspringt. Welche Mindest-Kriterien muss ein Unternehmen mit Blick auf seine Sicherheitsstandards erfüllen, damit eine Versicherung bei einem Schaden überhaupt zahlt?

Jöster: Die Frage 'Hat das IT-System die Obliegenheiten des Versicherers erfüllt?' ist nach Cyber-Attacken regelmäßig zentraler Streitpunkt, wenn es darum geht, ob die Versicherung den Schaden deckt oder nicht. Um eine verlässliche Grundlage zu haben, sollten Unternehmen ihre Systeme von Drittanbietern zertifizieren lassen - auch wenn das für sie unter Umständen bedeutet, dass sie IT-technisch nachrüsten müssen, um eine Cyber-Versicherung abschließen zu können.

mm.de: Aber viele Firmen haben Daten und IT-Services längst ausgelagert ...

Jöster: Bei Unternehmen, die mit einer Cloud arbeiten, muss diese Zertifizierung sich auch auf ihre Cloud-Dienstleister erstrecken oder diese müssen eine eigene Zertifizierung haben. Ansonsten laufen die Unternehmen Gefahr, dass ihre Cyber-Versicherung bei Schäden nicht einspringt.

Keppeler: Wichtig ist außerdem, dass ein Unternehmen seinem Versicherer gegenüber angeben muss, wenn sich maßgebliche Faktoren ändern - etwa, wenn das Belegwesen nur noch digital geführt wird. Denn dadurch erhöht sich natürlich der Gefahrenstatus und damit auch die Prämie. Zudem ist es natürlich maßgeblich, dass die IT-Systeme immer auf dem aktuellsten Stand der Technik gehalten werden - das betrifft die Hardware, aber natürlich auch den Punkt, dass alle Software-Updates installiert werden. Und Unternehmen sollten ihre Mitarbeiter darauf hinweisen und dahingehend schulen, dass sie zum Beispiel keine Anhänge in einer E-Mail öffnen oder nicht auf Links klicken, deren Herkunft sie nicht kennen.

mm.de: Wird eine Cyber-Versicherung bald ein Massenprodukt sein - und damit auch günstiger?

Jöster: Kein Unternehmen ist gesetzlich dazu verpflichtet, eine Cyber-Versicherung abzuschließen. Gleichwohl ist es grundsätzlich die Aufgabe jeder Geschäftsführung, dafür zu sorgen, dass der Versicherungsschutz des eigenen Unternehmens ausreichend ist. Verzichtet ein Unternehmen auf eine Cyber-Versicherung oder wenigstens die grundlegendsten Sicherheitsmaßnahmen und ignoriert offensichtlich existentielle Risiken, drohen den verantwortlichen Organen zudem persönliche Haftungsrisiken. Daher steigt die Nachfrage nach Cyber-Versicherungen stark an und ich bin überzeugt davon, dass Cyberversicherungen schon in wenigen Jahren Standard sein werden - so wie heute zum Beispiel kein Unternehmen mehr ohne Feuerversicherung tätig ist.

mm.de: Ein Cyberangriff, der alle Teile eines Konzerns betrifft, kann aber noch gefährlicher sein als zum Beispiel ein Feuer an einem einzelnen Standort. Und jede Versicherung wird sich ihr Risiko entsprechend bezahlen lassen ...

Jöster: Bisher waren Cyber-Versicherungen noch Nischenprodukte und es existieren keine Standard-Policen. Da viele Anbieter mit neuen Produkten in den Markt drängen, sind die Prämien für eine Cyber-Versicherung noch überschaubar. Aufgrund der jüngsten Cyber-Attacken sind die Versicherer jedoch vorsichtiger geworden.

Es ist spätestens jetzt klar, dass auch bei Cyber-Attacken ein existentielles Risiko besteht. Die Wahrscheinlichkeit, dass bei einem Unternehmen alle Standorte gleichzeitig abbrennen oder gleich mehrere versicherte Unternehmen betroffen sind, ist gering. Bei einer erfolgreichen Cyber-Attacke können aber durchaus alle Standorte und gleich große Teile der Wirtschaft betroffen sein. Je mehr Schäden eintreten, desto teurer werden die Policen und desto restriktiver werden die Verträge. Für Unternehmen kann es sich also durchaus lohnen, sich schon jetzt mit dem Thema zu beschäftigen.

Lutz Keppeler ist Fachanwalt für Informationstechnologierecht und Spezialist für IT-Sicherheitsrecht und Cyber-Versicherungen bei der Kanzlei Heuking Kühn Lüer Wojtek.

Stefan Jöster ist Fachanwalt für Versicherungsrecht sowie Spezialist für Cyber-Versicherungen bei Heuking Kühn Lüer Wojtek.

Quelle:
Manager Magazin