Cyber

Besonders im Zeitalter der Digitalisierung sollte Cyberkriminalität als Schadensrisiko nicht unterschätzt werden. Ob reines online-Unternehmen oder nicht - Kommt es zu einem Hacker-Angriff, kann dieser nicht nur hohe Kosten verursachen, sondern auch einen gesamten Betrieb lahmlegen. Eine Cyberversicherung übernimmt Schadenskosten aus Haftungs- und Eigenschäden durch Cyberkriminalität und bietet präventive Hilfsmaßnahmen an.

Was ist der Unterschied zwischen einer Cyberversicherung und einer IT-Haftpflichtversicherung?

Obwohl die Begriffe „Cyberversicherung“ und „IT-Haftpflichtversicherung“ zunächst nach verschiedenen Bezeichnungen für dieselbe Leistung klingen, handelt es sich hierbei doch um zwei sehr unterschiedliche Versicherungen.

 

Während beide Versicherungen Schäden im Bereich Computer und Internet abdecken, unterscheiden sich die jeweils abgedeckten Schadensrisiken jedoch in erheblichem Maße voneinander.

 

Die Unterschiede der Cyberversicherung und IT-Haftpflichtversicherung auf einen Blick.

 

Die IT-Haftpflichtversicherung kommt vor allem für Personen- oder Sachschäden verursacht durch die IT-bezogene Tätigkeit eines Unternehmens auf.

 

Ebenfalls abgedeckt von der IT-Haftpflichtversicherung sind reine Vermögensschäden, die beispielsweise durch fehlerhafte Beratung oder aber durch defektive Software entstehen können.

 

Die Cyberversicherung deckt im Gegensatz zu einer IT-Haftpflichtversicherung jedoch vor allem von außen, also von Hackern verursachte Eigen- und Haftungsschäden ab.

 

Verursacht ein solcher Hacker-Angriff einen Schaden für das Unternehmen oder seine Kunden und Geschäftspartner, übernimmt die Cyberversicherung die anfallenden Kosten.

 

Aber: Auch, wenn beide Versicherungen grundsätzlich unterschiedliche Risiken abdecken, kommt es zwischen den Versicherungsleistungen auch zu Überschneidungen.

 

Beispielsweise wird die Übertragung von Viren sowohl von der IT-Haftpflichtversicherung als auch der Cyberversicherung abgedeckt.

Wer benötigt eine Cyberversicherung?

In den letzten Jahrzehnten wurden wichtige Arbeitsprozesse in vielen Branchen digitalisiert.

 

Somit empfiehlt sich eine Cyberversicherung grundsätzlich jedem Unternehmen, das in seinem beruflichen Alltag auf digitale Geschäftsprozesse setzt und/oder mit vertraulichen Daten (Kreditkarten, Bankverbindungen, Persönliche Kundeninformation) arbeitet. Dabei spielt es keine Rolle, ob es sich um einen großen Konzern oder ein kleines/mittelständisches Unternehmen handelt.

 

Abhängig von der Branche des Betriebs, können Unternehmen Cyberrisiken ausgesetzt sein wie zum Beispiel:

  • Hackerangriff auf sensible Gesundheitsdaten
  • Reputationsverlust infolge eines Cyberschadens
  • Verstoß gegen die Datenschutz-Grundverordnung (DSGVO)
  • Ausfall vernetzter IT Systeme infolge eines Cyberschadens
  • Diebstahl von Kreditkarteninformationen
  • Unberechtigter Zugriff auf Daten, die unter die Schweigepflicht fallen
  • Virenbefall elektronischer Urkundenarchive
  • Lahmlegung von Online-Shops durch Schadsoftware
 

Von Betrieben, die lediglich auf digitale Datenbanken angewiesen sind, bis hin zu reinen online-Unternehmen, lohnt sich der Abschluss einer solchen Versicherung für mehr Betriebsarten als weitläufig vermutet.

Welche Risiken deckt die Cyberversicherung ab?

Die Cyberversicherung deckt finanzielle Schäden verursacht durch Cyberkriminalität.

 

Dabei kann es sich sowohl um Eigen- als auch um Haftpflichtschäden handeln. Viele Versicherer decken dabei nicht nur die finanziellen Folgen eines Cyberschadens, sondern bieten auch Unterstützung im Schadensfall und kommen für präventive Maßnahmen auf. Abhängig vom gewählten Versicherer und Tarif, sichert die Cyberversicherung in der Regel folgende Risiken ab:

 

Absicherung gegen finanzielle Folgen

 

→ Cyber-Ertragsausfall

Die Absicherung von Cyber-Ertragsausfällen ist vergleichbar mit einer Betriebsunterbrechungsversicherung. Wird das IT-System beispielsweise durch Viren, Trojaner oder andere Schadsoftware so schwerwiegend geschädigt, dass der Betrieb temporär eingestellt werden muss, übernimmt die Versicherung die anfallenden Kosten.

 

→ Datenwiederherstellungskosten

Werden wichtige Daten durch einen Hackerangriff oder andere Schadsoftware gelöscht, führt dies häufig zu hohen Kosten für die Datenwiederherstellung. Wird die Wiederherstellung von Daten durch die ausgewählte Police abdeckt, übernimmt sie die hierbei anfallenden Kosten.

 

→ Mitversicherung von ungezielten Angriffen

Oftmals sind Cyberangriffe nicht direkt gegen das Unternehmen selbst gerichtet, sondern betreffen dieses lediglich zufällig. In den meisten Cyberversicherungspolicen, jedoch nicht in allen, sind solche ungezielten Angriffe bereits in den Versicherungsschutz eingeschlossen.

 

→ Cyber-Kreditkartenschaden

Auch Bezahlungssysteme wie Kreditkarten sind nicht vor Cyberschäden sicher. Gehen Kreditkartendaten verloren, werden Kreditkartenprogramme beschädigt oder wird gegen Kreditkartenverarbeitungsvereinbarungen oder gegen andere Vereinbarungen im Zusammenhang mit Bezahlsystemen verstoßen, kommen in der Regel hohe Kosten auf den Unternehmer zu. Diese Kosten werden von der Cyber-Kreditkartenschaden abdeckenden Versicherung übernommen.

 

→ Schaden durch Bedienungsfehler von Mitarbeitern

Verschiedenste IT-Systeme vereinfachen den unternehmerischen Betriebsalltag mittlerweile zwar enorm, bergen jedoch auch viele Risiken. Bereits kleine Fehler in der Bedienung durch die Mitarbeiter eines Unternehmens können schwerwiegende Folgen haben- Sowohl für das finanzielle Wohl des Unternehmens als auch für den Betriebsablauf. Sind Bedienungsfehler durch Mitarbeiter im Tarif eingeschlossen, kommt der Versicherer für die daraus resultierenden Kosten auf.

 

→ Schadensersatzansprüche aufgrund von Persönlichkeitsverletzung nach einem Hackerangriff

Greift ein Hacker unberechtigt auf die Daten des Unternehmens zu, ist ein Datenmissbrauch nicht auszuschließen. Kommt es zu einem Datenmissbrauch, werden häufig auch die Persönlichkeitsrechte Dritter verletzt. Dabei kann es von der Verletzung des Namensrechtes bis hin zur Missachtung des Rechtes am eigenen Bild kommen. Je nach Police werden die entstehenden Kosten vom Versicherer übernommen.

 

→ Schadensersatzansprüche aufgrund der Weiterverbreitung von Computerviren an Dritte

Computerviren stellen nicht nur eine Bedrohung für private Computer dar, sondern auch für betrieblich genutzte Rechner. Vor allem, wenn Viren durch den Unternehmensrechner an Dritte weitergeleitet werden, können hohe Kosten anfallen. Sind Ersatzansprüche derartiger Schäden durch die Cyberversicherung abgedeckt, kommt der Versicherer für die Kosten hieraus auf.

 

→ Schadensersatzansprüche aufgrund eines Verstoßes gegen Geheimhaltungspflichten

Viele Berufe und Branchen, wie zum Beispiel Ärzte oder Steuerberater, sind zur Geheimhaltung sensibler Informationen verpflichtet. Werden diese Daten durch Viren oder Hackerangriffe entwendet und möglicherweise veröffentlicht, kommt es unwillentlich zu einem Verstoß dieser Geheimhaltungspflicht. Einige Cyberpolicen decken Schadensansprüche nach Verstößen gegen die Geheimhaltungspflichten ab.

 

→ Schadensersatzansprüche aufgrund eines Verstoßes gegen gesetzliche/ vertragliche Datenschutzbestimmungen

Wird das Unternehmen durch einen Hacker, Trojaner, Virus oder andere schadhafte Software geschädigt, kann es zu unwillentlichen Verstößen gegen gesetzliche oder vertragliche Datenschutzbestimmen und/oder -verpflichtungen kommen. Obwohl der Unternehmer den Verstoß nicht willentlich begangen hat, muss er dennoch die Kosten für den Schaden tragen. Einige Tarife übernehmen Schäden dieser Art.

 

Unterstützung im Schadensfall

 

→ Beauftragung externer Computer-Forensik-Analysten

Ist es erst zu einem Schaden durch Cyber-Kriminelle gekommen, ist es wichtig, die Verantwortlichen zu finden. Wie auch bei anderen Verbrechen, müssen dazu zunächst Spuren gesammelt werden. Bei Cyber-Verbrechen wird diese Aufgabe von Computer-Forensik-Analysten übernommen. Einige Cyber- Versicherungspolicen decken die Beauftragung externer Computer-Forensik-Analysten ab und übernehmen die anfallenden Kosten.

 

→ Cyber-Erpressung

Erpressungen finden heute auch online statt. Wird böswillig ein Trojaner auf dem Firmenserver installiert, verschlüsselt dieser oftmals automatisch alle relevanten Daten. Für die Entschlüsselung verlangen Cyberkriminelle dann ein hohes Lösegeld. Ist eine Cyber-Erpressung durch die Cyberversicherung abgesichert, kommt der Versicherer für die angedrohte oder bereits erfolgte Beschädigung auf.

 

→ Wiederherstellung und Reparatur beschädigter IT-Systeme

Hackerangriffe und Beschädigungen durch Viren, Trojaner und andere Schadsoftware können so schwerwiegend sein, dass sie in einigen Fällen komplette IT-Systeme lahmlegen. Um dennoch einen reibungslosen Betriebsablauf gewährleisten zu können, ist es notwendig, den Schaden zeitnah zu beheben. Viele Versicherer kommen im Rahmen der Cyberversicherung für eine solche Wiederherstellung auf.

 

→ PR-Maßnahmen nach einem Hackerangriff

Kommen bei einem Hackerangriff Dritte zu Schaden, kann dies schnell einen Imageverlust für das Unternehmen bedeuten. Damit dies keinen negativen Einfluss auf das Image des Unternehmens nimmt, sind gute und zeitnahe PR-Maßnahmen notwendig. Abhängig von der Versicherungspolice kommt der Versicherer für diese Maßnahmen auf.

 

→ Krisendienstleister

Im Falle eines Cyberschadens wissen viele Unternehmer zunächst nicht, wie sie richtig auf die Attacke reagieren. Aus diesem Grund bieten viele Versicherungstarife eine 24 Stunden- Rundumberatung. Kommt es zum Schadensfall, bietet der exklusive Krisen-Manager erste Hilfestellung für das Unternehmen. In den meisten Policen ist dieser Dienst kostenfrei.

 

→ Wiederbeschaffung physischer Datenträger vertraulicher Daten

Oft bestehen sensible Unternehmensdaten nicht nur digital, sondern befinden sich ebenso auf physischen Datenträgern wie USB-Sticks, Laptops und externen Festplatten. Geht ein solcher Datenträger verloren oder wird dieser entwendet, ist die Wiederbeschaffung nicht nur schwierig, sondern auch kostspielig. Einige Versicherer decken diesen Schaden in ihren Tarifen ab.

 

Präventive Maßnahmen

 

→ Präventivmaßnahmen

Kommt es zu einem Schaden durch Hacker, Viren oder sonstige Schadsoftware, sind hohe Kosten und großer Aufwand unvermeidbar. Damit es erst gar nicht zu einem solchen Schaden kommt, bieten einige Versicherer präventive Krisenberatungen. Im Rahmen dieser Krisenberatungen werden zum Beispiel Mitarbeiter geschult oder Krisenmanagementpläne erstellt.

 

→ Sicherheitsverbesserungen nach einem Hackerangriff

Kommt es zu einem Hackerangriff, zeigt dies, dass es eine Lücke im bestehenden Sicherheitssystem des Unternehmens gibt. Um Schäden dieser Art in Zukunft vorzubeugen, bieten einige Versicherer im Rahmen der Cyberversicherung an, die Kosten für Sicherheitsverbesserungen nach einem Hackerangriff zu übernehmen.

 

→ Leistungs-Update-Garantie

Viele Versicherer arbeiten regelmäßig daran, ihre Leistungen zu verbessern. In der Regel profitieren nur neue Kunden von solchen Verbesserungen. Ist jedoch eine Leistungs-Update-Garantie in der Versicherungspolice enthalten, gelten Leistungsverbesserungen auch automatisch für bereits abgeschlossene Verträge. Dabei fallen keine Mehrkosten für den Versicherungsnehmer an.

Welche optionalen Zusatzbausteine können in die Cyberversicherung eingeschlossen werden?

Eine Cyberversicherung deckt die grundlegenden Haft- und Inhaltsrisiken infolge von Cyberkriminalität.

 

Darüber hinaus ermöglichen viele Versicherer den Versicherungsschutz individuell an die Bedürfnisse des Unternehmens anzupassen. Um weitere Leistungen in die Cyberdeckung mitaufzunehmen, können benötigte Zusatzbausteine optional hinzugebucht werden. Generell lässt sich die Cyberversicherung durch folgende Deckungserweiterungen ergänzen:

  • Cyber-Betriebsunterbrechung
  • Cyber-Vertrauensschaden
  • Cyber D&O-Versicherung
  • Cyber-Spionage
  • Cyber-Kreditkartenschäden
  • Erweiterte Cyber-Eigenschäden (verursacht durch Mitarbeiter, Bedienfehler oder Cyber-Diebstahl)

Welche Mindestvoraussetzungen müssen erfüllt werden?

Um das eigene Unternehmen gegen Cyberrisiken absichern zu können, müssen gewisse Sicherheitsstandards erfüllt werden.

 

Welche genauen Anforderungen erfüllt werden müssen, kann sich von Versicherer zu Versicherer differenzieren. Die folgenden Kriterien gelten in der Regel jedoch als Mindestvoraussetzung:

 

Virenschutz

 

Um vor Viren und anderweitiger Schadsoftware sicher zu sein, muss ein Virenschutz auf allen Computern des Unternehmens installiert sein. Die Anti-Viren Software schützt jedoch nur effizient vor Viren, wenn sie stets auf dem neusten Stand ist.

 

Firewall

 

Anders als Schadsoftware werden Hackerangriffe nicht durch einen Virenschutz abgefangen. Damit sensible Daten gegen Angriffe durch Dritte geschützt sind, ist eine leistungsstarke Firewall unabdingbar. Diese unterbindet unerwünschte eingehende sowie ausgehende Kommunikation.

 

Zugriffsrechte

 

Doch nicht nur Hacker und Viren können ein Sicherheitsrisiko für ein Unternehmen darstellen, sondern auch die eigenen Mitarbeiter. Damit Angestellte nicht fahrlässig oder mutwillig Daten löschen bzw. missbrauchen können, müssen Zugriffsrechte klar definiert und abgestuft sein.

 

Backup

 

Führen Systemausfälle oder Hackerangriffe zu einen Datenverlust, kann dies schlimmstenfalls den gesamten Betriebsablauf lahm legen. Um das System schnell wieder herstellen zu können, ist eine regelmäßige Datensicherung auf externen Systemen unverzichtbar.

Wie hoch sind die Kosten einer Cyberversicherung?

Je nach Tarif und Versicherer unterscheiden sich die Kosten einer Cyberversicherung immens.

 

Grundsätzlich werden die Kosten jedoch durch folgende Versicherungsfaktoren beeinflusst:

  • Selbstbeteiligung: Der Selbstbehalt gibt an, welchen finanziellen Beitrag der Unternehmer im Fall eines Schadens leisten muss. In der Regel kann der Gewerbetreibende die Höhe der Selbstbeteiligung selbst bestimmen. Dabei gilt: Je höher die Selbstbeteiligung, desto niedriger die monatlich zu entrichtende Prämie. Bei der Wahl der Selbstbeteiligung gilt es jedoch zu beachten, dass der Selbstbehalt pro Schadensfall und nicht etwa pro Jahr zu zahlen ist.
  • Versicherungssumme: Mit der Versicherungssumme wird festgelegt, welchen Betrag die Versicherungspolice im Schadensfall maximal zurückerstattet. Um eine gute Absicherung des Unternehmens gewähren zu können, ist es notwendig, den Deckungsbeitrag ausreichend hoch festzulegen. Andernfalls kann es zu Versicherungslücken und finanziellen Engpässen kommen. Wie im Fall der Selbstbeteiligung gilt die Summe pro Schadensfall.
  • Versicherungsumfang: Gerade bei der Cyberversicherung gibt es große tarifliche Unterschiede, welche einen Vergleich besonders lohnenswert machen. So kann es gut möglich sein, dass zwei Anbieter, bei identischem Versicherungsbeitrag, gänzlich unterschiedliche Leistungen anbieten. Hier muss der Bedarf des eigenen Unternehmens analysiert werden.
  • Vertragslaufzeit: Bei der Prämien-Zusammensetzung spielt auch die Vertragslänge eine Rolle. Denn je länger der Unternehmer sich an einen Versicherer bindet, desto niedriger fällt der Versicherungsbeitrag aus. Im Normalfall ist eine Vertragslaufzeit zwischen ein und drei Jahren üblich.

Was sind typische Schadensfälle einer Cyberversicherung?

Hacker-Angriff auf Onlineshop

 

Bereits vor der eigentlichen Stoßzeit des Shops weist der Server eine überdurchschnittlich hohe Belastung auf. Auch später in der Nacht steigt die Serverbelastung kontinuierlich weiter, was letztlich zum Server-Ausfall führt. Erst einige Stunden später wird bemerkt, dass die hohe Belastung aufgrund eines Hacker-Angriffs zustande kam. Schadenskosten bestehend aus Überstunden der IT-Mitarbeiter, der IT-Forensik und der Konsultation externer Fachkräfte übernimmt die Cyberversicherung.

 

Die Schadenskosten verursacht durch den Hacker-Angriff übernimmt die Cyberversicherung.

 

Diebstahl eines Datenträgers

 

Bei einem Einbruch in ein mittelständisches Unternehmen wurde ein Computer gestohlen. Auf diesem befanden sich vertrauliche Daten von hunderten Kunden. Die darauffolgende Rechtsberatung, Informationsverpflichtungen wie auch Forensik und Kreditüberwachungsleistungen verursachen hohe Kosten für das Unternehmen. Die Cyberversicherung kommt hierbei für die anfallenden Kosten in Folge des Einbruchdiebstahls auf.

 

Bei Datendiebstahl kommt begleicht die Cyberversicherung sämtliche Schadenskosten.