Immer perfider gestalten sich mittlerweile die Attacken von Cyberkriminellen. Neben der entsprechenden ­technologischen Absicherung mittels IT-Sicherheit, ­Backup oder Hochverfügbarkeit können spezielle ­Cyberversicherungen Unternehmen nach einem Angriff aus der Klemme helfen.

Speziell für den IT-Bereich bieten Versicherer verschiedene Policen an. Im Grunde genommen decken Cyberversicherungen für Unternehmen Eigen- und Drittschäden ab, die durch eine Datenschutzverletzung, Datenvertraulichkeitsverletzung oder Netzwerksicherheitsverletzung entstanden sind, skizziert Johannes Steffl, Head of Underwriting Cyber bei HDI Global SE, das Angebot. Dabei können Haftpflichtansprüche Dritter oder eigene Kosten und Aufwendungen des Unternehmens zur Bewältigung des Cybervorfalls Folge dieser Schäden sein. „Neuere Policen bieten beispielsweise auch finanzielle Entschädigung bei Betriebsunterbrechungen infolge eines Ausfalls von Cloud- oder IT-Dienstleistern“, ergänzt Steffl.

Die Gründe, warum die Unternehmensverantwortlichen entsprechende Cyberpolicen abschließen sollten, sind vielfältig. Grundsätzlich federn Versicherungen den finanziellen Schaden nach erfolgreichen Cyberattacken ab. „Deshalb nennen wir sie auch die Feuerversicherung des 21. Jahrhunderts“, betont Sascha Michel Kessel, Leiter Competence Center Cyber der Schunck Group. Denn bei Datenabfluss, Betriebsunterbrechungen oder Haftpflichtforderungen Dritter steigen die Kosten rasant. Sie könnten sogar schnell die Existenz von Unternehmen gefährden. „Eine Betriebs- und Vermögensschadenhaftplicht reicht hierfür nicht aus“, betont Kessel.

Zunehmende Vernetzung, höheres Risiko

Im Bereich der Cyberkriminalität werden Täter jedoch selten erwischt. Häufig scheiden auch Ansprüche gegen Sachversicherer aus, es wurden keine Cyberpolicen abgeschlossen und Haftungsansprüche gegen andere mögliche Verantwortliche scheitern an Beweisproblemen. Damit rückt die Haftung des eigenen Managements und etwaiger D&O -Versicherer in den Fokus der Regressprüfung. Haftbar ist das Management für eigenes pflichtwidriges Tun oder Unterlassen, das kausal dafür war, dass die Cyberattacke einen solchen Schaden verursachte.

Da die zunehmende Digitalisierung und Vernetzung von Prozessen, Maschinen, Anlagen, Standorten und weltweiten Lieferketten gleichzeitig zu einer immer größeren Störanfälligkeit führen, sind im Grunde Unternehmen aller Größen von Cyberrisiken betroffen. „Daher gibt es inzwischen Versicherungsschutz gegen Cybergefahren für Unternehmen jeder Größe: vom selbstständigen Handwerksmeister über den Mittelständler mit 50 Mio. Euro Jahresumsatz bis hin zu großen Industriekonzernen und Global Playern“, berichtet Johannes Steffl. Ähnlich argumentiert Hanno Pingsmann, Geschäftsführer bei Cyber-Direkt: „Grundsätzlich kann heutzutage jedes Unternehmen Opfer von Cyberattacken werden.“ Doch vor allem Firmen, die mit einer großen Anzahl an vertraulichen und sensiblen Daten arbeiten oder bei einer Betriebsunterbrechung mit hohen finanziellen Einbußen zu rechnen hätten, sollten die Absicherung von Cyberrisiken prüfen.

Bei der Auswahl der Policen sollten die Verantwortlichen ihr Augenmerk schließlich auf verschiedene Bausteine legen. „Es sollten in jedem Fall Eigen- und Drittschäden abgedeckt sein, insbesondere auch Betriebsunterbrechungsschäden infolge von Cyberzwischenfällen“, weiß Johannes Steffl. Weitergehende Assistance-Leistungen wie IT-Forensik und Krisenkommunikation seien ebenfalls empfehlenswert. Außerdem sollten die Deckungssummen für die Größe bzw. die Umsatzhöhe des zu versichernden Unternehmens angemessen sein.

Weitere Details nennt Oliver Schulze, Rechtsanwalt und Experte für Cyberversicherungen bei der Gothaer. So gebe es diverse, optional angebotene Vertragsbausteine, wie beispielsweise eine Deckung für PCI-DSS-Vertragsstrafen. Das heißt, für Strafzahlungen, die dann anfallen können, wenn das versicherte Unternehmen Kreditkartendaten von Kunden verliert. „Dies ist insbesondere für Unternehmen relevant, die Kreditkartendaten von Kunden vorhalten. Ist das in einem Betrieb nicht der Fall, lohnt sich der Kauf des Bausteins kaum“, so Schulze weiter. Zum einen rät er dazu, beim Einkauf von Cyberversicherungen genau die Bausteine zusammenzustellen, die den Gegebenheiten und der Risikosituation im Unternehmen gerecht werden. Zum anderen seien die Versicherungssumme und der Selbstbehalt wichtige Vertragsinhalte.

Erste Schritte im Schadenfall

Doch was ist zu tun, wenn Unternehmen erfolgreich angegriffen wurden? „Die schnellstmögliche Einbeziehung von Spezialisten für Incident Response und IT-Forensik ist der wichtigste Schritt, um zeitnah Sofort- und Gegenmaßnahmen einzuleiten“, betont Hanno Pingsmann. Mitunter beinhalten die Tarife den 24/7-Zugang zu solchen IT-Dienstleistern, so dass die Kunden im Notfall jederzeit technische Hilfe in Anspruch nehmen können.

Bei den Sofortmaßnahmen geht es darum, umgehend sämtliche Schritte einzuleiten, um mögliche Schäden zu reduzieren. „Dabei entscheidet sich im Schadenfall, ob es die Sicherung bestimmter Vorgänge ist oder die Wiederherstellung von Daten und Programmen sowie Maßnahmen, um zumindest die wichtigsten Systeme wieder ans Laufen zu bekommen und Betriebsunterbrechungen zu verhindern“, erklärt Kessel. Aus diesem Grund sei es wichtig, bereits im Vorfeld einen Krisenplan zu erarbeiten, ähnlich wie bei einer Brandschutzübung. „Viele unterschätzen, dass IT-Sicherheit immer Chefsache sein sollte. Denn stets steht der Geschäftsführer in der Verantwortung, solche Fälle zu vermeiden“, betont Kessel weiter.

Aufsehenerregende Präzedenzfälle

Darüber hinaus ist laut Pingsmann ein professionelles Krisenmanagement erforderlich, um die richtigen Maßnahmen einzuleiten und zu koordinieren. Dabei gehe es in erster Linie um die Analyse der Ursache und Beseitigung der Bedrohungslage. Vielfach ist eine Meldung an die Datenschutzbehörde innerhalb der 72-Stundenfrist erforderlich. „Zudem müssen Anweisungen an Mitarbeiter, Kunden und Lieferanten ausgegeben werden, um z.B. eine weitere Verbreitung von Schadprogrammen zu stoppen. Es ist auch im Interesse des Versicherers, diese Schritte schnellstmöglich einzuleiten, daher deckt die Cyberversicherung auch das Krisenmanagement mit ab“, betont Pingsmann.

Präzedenzfälle, inwieweit Schäden reguliert wurden, gibt es bereits zuhauf. „Einer unserer deutschen Kunden besitzt eine Produktionsstätte in Südafrika, die in der Vergangenheit Opfer eines Hackerangriffs wurde. Unser externer IT-Forensiker, den wir im Rahmen der Assistance-Leistungen den Kunden zur Verfügung stellen, hat das betroffene Unternehmen dabei unterstützt, die Folgen des Angriffs binnen 48 Stunden zu beheben, so dass es zu keinem wesentlichen Produktionsstillstand kam“, erläutert Johannes Steffl die konkrete Schadenregulierung.

Auf einen weiteren Fall aus dem Jahr 2017 verweist Hanno Pingsmann. Hier wurden Kosten von drei Millionen Euro für IT-Forensik, Krisenkommunikation und Betriebsunterbrechung reguliert. „Der Cyberschaden wurde in diesem Fall durch einen Innentäter ausgelöst, der nach Verlust seiner Stelle im IT-Bereich eines Dienstleisters gezielte Aktionen durchführte“, so Pingsmann. Den größten Schadenfall im Jahr 2017 hatte laut Pingsmann jedoch der Pharmakonzern Merck zu beklagen. „Es wird erwartet, dass eine Schadenregulierung von bis zu 275 Mio. US-Dollar auf die Versicherungsgesellschaften zukommt“, so Pingsmann weiter.

Doch nicht immer kommt es zu Schäden in Millionenhöhe, vielmehr sind zunehmend auch kleinere Firmen sowie der Mittelstand regelmäßig betroffen. „In kleineren Bereichen geht es hauptsächlich um Verschlüsselungstrojaner, neudeutsch Ransomware. Das Versenden von mit dieser Angriffsvariante verseuchten E-Mails und die darauffolgende Erpressung (Zahlung von Lösegeld gegen Bekanntgabe des Entschlüsselungscodes) ist mittlerweile eine echte eigene Industrie geworden, die hohe Umsätze erzielt“, betont Oliver Schulze.

In diesem Zusammenhang gibt Sascha Michel Kessel abschließend folgenden Tipp mit auf den Weg: „Wiederherstellungs- und Rettungskosten aufgrund von Hackerangriffen und Ransomware sind in nahezu allen Produkten inkludiert. Eine erpressungsbedingte Betriebsunterbrechung in der Regel auch. Schwieriger wird es, wenn es um die Zahlung von Lösegeldern geht. Unternehmer sollten darauf achten, dass diese ebenso mitversichert ist.“

Welche Risiken lassen sich abdecken?

Mit den hierzulande üblichen Cyberversicherungen lassen sich zum einen die aus Cyberkriminalität und sonstigen Datenrechtsverletzungen resultierenden Haftpflichtrisiken abdecken, die immer dann entstehen können, wenn Daten abhanden kommen. Zum anderen leisten Cyberversicherungen aber auch Ersatz für aus Cyberkriminalität entstehende Eigenschäden der Unternehmen, wie eine Betriebsunterbrechung als Folge eines Hackerangriffs, und bieten darüber hinaus diverse Assistance-Bausteine, wie etwa Forensik oder Krisenmanagement. Diese Assistance-Dienstleistungen werden in der Regel nicht vom Versicherer selbst erbracht, sondern durch spezialisierte, vom Versicherer beauftragte Firmen.

Quelle:

IT-Zoom

Autor:

Ina Schlücker

Unser Tipp:

Vergleichen Sie hier direkt Ihre Cyberversicherung