Hackerangriffe und die Folgen: So sichern Sie sich ab

„Warum sollte sich jemand die Mühe machen, sich in unsere Daten zu hacken?“ Viele Unternehmen halten sich für zu klein, als dass sie ins Visier von kriminellen Hackern geraten könnten. „Das ist ein gefährlicher Irrglaube“ sagt Alexander Erdland, Präsident des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Häufig kann bei Cyberangriffen weder auf die Identität noch auf die Hintergründe des Angreifers geschlossen werden. Eine Vielzahl von Hackerangriffen richtet sich nicht einmal gezielt gegen ein bestimmtes Opfer, sondern verbreiten sich viral über das Internet. Hier entsteht die eigentliche Gefahr: Jeder ist ein potenzielles Opfer. Mit einer Cyberversicherung schützen Sie sich vor den Folgen.

Cyberversicherung Metaplan

Was ist eine Cyberversicherung?

Stellen Sie sich einmal vor, Ihre gesamte IT fällt aus: Was machen Ihre Mitarbeiter, wenn die Server nicht am Netz sind? Welche Kosten entstehen Ihnen dadurch? Um sich vor solchen Risiken zu schützen, gibt es zahlreiche Sicherheitsmaßnahmen, die ein Unternehmen ergreifen kann, wie beispielsweise eine regelmäßige Datensicherung durch Backup-Systeme. Auch ein Notfallhandbuch hilft im „worst case“, das Richtige zu tun. Falls Ihr Unternehmen dennoch Opfer eines Hackerangriffs wird, hilft Ihnen eine sogenannte Cyberversicherung. Sie mindert nicht nur die finanziellen Folgen.

Die Geschichte der Cyberversicherung

Durch die fortschreitende Digitalisierung erwachsen neue Risiken. Galt die EDV in vielen Firmen früher nur als Unterstützung der täglichen Arbeit, so ist sie heute nicht mehr wegzudenken. Schon allein wenn das Internet ausfällt, können viele Menschen ihren Job nicht mehr richtig ausführen. Im Großteil aller Firmen sind sämtliche Prozesse nur noch elektronisch abgebildet, das Arbeiten mit Akten und schriftlichen Notizen gehört der Vergangenheit an. Informationen sind elektronisch jederzeit und überall abrufbar. Die steigende Abhängigkeit wird jedoch erst bei einem tatsächlichen Ausfall der IT ersichtlich. 

Eine Versicherung gegen diese „Cyberrisiken“ kann man seit etwa vier Jahren in Deutschland abschließen. In den ersten auf dem Markt erschienenen Versicherungsbedingungen waren die versicherten Schadenereignisse zunächst jeweils einzeln definiert. Trat eines dieser beschriebenen Schadenereignisse ein, wurde eine Leistung fällig, nicht genannte Schadenereignisse waren nicht versichert.

2017: Paradigmenwechsel in der Cyberversicherung

Im Jahr 2017 ist viel passiert: Der Gesamtverband der Deutschen Versicherungswirtschaft hat sogenannte Musterbedingungen zur gewerblichen Cyberversicherung veröffentlicht. Diese sollen Versicherern die Entwicklung von Angeboten erleichtern und dienen als eine Art „Wegweiser“. Die Musterbedingungen sind im Vergleich zu den bis dato marktüblichen Versicherungsbedingungen umfangreicher. Vor allem beinhalten sie einen weiter gefassten Versicherungsbegriff. Eine Cyberversicherung leistet heute nicht nur bei Datenklau und Betriebsunterbrechungen Hilfe, sondern übernimmt auch Kosten für IT-Forensiker, Krisenkommunikation und vor allem für eine Soforthilfe im Schadenfall, um den Folgeschaden möglichst gering zu halten.

In der Cyberversicherung kann im Vergleich zu Schadenfällen in anderen Versicherungssparten der tatsächliche Schaden anfänglich nicht klar definiert werden. Das potenzielle Schadenspektrum ist meist um ein Vielfaches höher.

Cyberangriffe

Was wird durch eine Cyberversicherung abgesichert?

In den Musterbedingungen des GDV zur Cyberversicherung wird das versicherte Risiko einer Cyberversicherung erstmalig als eine „Informationssicherheitsverletzung“ definiert. Diese ist wie folgt beschrieben: „[…] Informationssicherheitsverletzung ist eine Beeinträchtigung

  •     der Verfügbarkeit,
  •     der Integrität und
  •     der Vertraulichkeit

von elektronischen Daten des Versicherungsnehmers oder von informationsverarbeitenden Systemen, die er zur Ausübung seiner betrieblichen oder beruflichen Tätigkeit nutzt.“ Der Begriff „elektronische Daten“ umfasst in diesem Sinne auch sämtliche Softwares und Programme. Eine Cyberversicherung deckt neben Eigenschäden auch Drittschäden ab und stellt für den Notfall eine Vielzahl an Serviceleistungen zur Verfügung.

Beispiel: Trojaner Locky

Anhand eines realen Beispiels, dem in 2016 in Umlauf geratenen „Trojaner Locky“, wollen wir Ihnen das gesamte Leistungsspektrum einer Cyberversicherung veranschaulichen:

„Locky“ ist eine Schadsoftware, die in verschiedenen Ländern der Welt – und insbesondere in Deutschland – in Umlauf geraten ist. Es handelt sich dabei um einen Verschlüsselungstrojaner, der bei Infizierung eines Rechners den Zugriff auf die gespeicherten Daten verschlüsselt. Ist der Server befallen, steht im schlimmsten Fall der gesamte Geschäftsbetrieb still. Bei einem Cyberangriff ist es notwendig, schnell zu handeln. Die Cyberversicherung stellt speziell den Unternehmen geschulte Experten, sogenannte IT-Forensiker, zur Verfügung, die im Notfall analysieren können, warum und wie ein Netzwerk lahmgelegt wurde. So kann das Ausmaß eines Schadens eingeschätzt und mögliche Folgeschäden verhindert werden. Zudem helfen die Experten dabei, den gewohnten Betriebsablauf möglichst schnell wiederherzustellen.

Das ist versichert

Die Cyberversicherung kommt sowohl für die entstandene Betriebsunterbrechung, als auch für die Kosten der Rekonstruierung befallener Daten und die Entfernung dieser Schadsoftware auf (Eigenschäden).

Wird im Rahmen einer forensischen Untersuchung festgestellt, dass durch diesen Cyberangriff bestimmte Daten, wie bspw. die gesamte Kundendatei, entwendet wurden, besteht für das betroffene Unternehmen eine Meldepflicht. Weigert sich ein Unternehmen, drohen erhebliche Bußgelder. In so einem Fall stellt die Cyberversicherung den Kontakt zu Anwälten aus dem IT- und Datenschutzrecht her. Zudem kann das betroffene Unternehmen für diese ungewollte Datenübermittlung haftbar gemacht werden. Zudem können die geschädigten Kunden bei Missbrauch ihrer Daten Schadenersatz verlangen. Die Cyberversicherung prüft in diesem Fall die Haftpflichtfrage, entschädigt die geschädigten Kunden und wehrt unberechtigte Schadenersatzansprüche ab (Drittleistung).

Solch ein Szenario kann schnell zur Schlagzeile „Datenklau bei …“ führen und den Ruf eines Unternehmens nachhaltig schädigen. Auch hier bietet die Cyberversicherung eine passende Lösung an. Durch den Einsatz von professionellen PR- und Krisenberatern wird versucht, einen Imageverlust zu vermeiden und die öffentliche Reputation zu wahren.

Wie funktioniert eine Cyberversicherung

Welche Mindeststandards muss ein Unternehmen aufweisen? 

Kaum ein anderer Bereich in einem Unternehmen unterliegt einem so stetigen Wandel wie die IT. Sicherheitsmaßnahmen müssen regelmäßig aktualisiert und erneuert werden. Um eine Absicherung individuell zu gestalten, muss eine Bedarfsermittlung anhand einer Ist-Analyse erfolgen. Vereinfacht gesagt prüft die Versicherungsgesellschaft zunächst, ob der Kunde sein Möglichstes getan hat, um sich vor einer Vielzahl von Cyberbedrohungen zu schützen. Nur bei Einhaltung definierter Mindestanforderungen kann ein Versicherungsschutz geboten werden.

Je nach Größe, Unternehmenszweck und Anzahl der Datensätze variieren diese Mindestanforderungen. Grundlegend sollte jedes Unternehmen dafür Sorge tragen, dass die Software auf dem aktuellen Stand ist, eine regelmäßige Datensicherung stattfindet und neben einer Antivirensoftware eine Firewall den Zugang in das Firmen-Netzwerk beschränkt. Wenngleich diese Anforderungen als Mindeststandards für einen Versicherungsschutz zu verstehen sind, sollten diese Maßnahmen unabhängig hiervon Bestandteil einer gut aufgestellten Unternehmens-IT sein.

Was kostet eine maßgeschneiderte Absicherung?

Die Prämiengestaltung in der Cyberversicherung ist von zahlreichen Faktoren abhängig und erfolgt sehr individuell. Anhand von zwei Beispielen wollen wir Ihnen eine Größenordnung möglicher Prämiensätze aufzeigen:

  • Ein Unternehmen mit einem Jahresumsatz von 1 Mio. Euro und bis zu 5.000 gespeicherten Datensätzen zahlt für eine Cyberversicherung mit einem Versicherungsumfang ähnlich der Musterbedingungen des GDV, einer Versicherungssumme von 250.000,00 Euro und einer vereinbarten Selbstbeteiligung von 1.000,00 Euro einen Jahresbeitrag von ca. 795,00 Euro (inkl. Versicherungssteuer).
  • Ein Unternehmen mit einem Jahresumsatz von 5 Mio. Euro und bis zu 20.000 gespeicherten Datensätzen zahlt für eine Cyberversicherung mit einem Versicherungsumfang ähnlich der Musterbedingungen des GDV, einer Versicherungssumme von 1 Mio. Euro und einer vereinbarten Selbstbeteiligung von 2.500,00 Euro einen Jahresbeitrag von ca. 2.950,00 Euro (inkl. Versicherungssteuer).

Die Prämienkalkulation und die geforderten Mindestsicherungen sind abhängig von der Anzahl und der Art der gespeicherten Datensätze. Enthalten die zu versichernden Datensätze unter anderem Angaben zu Kreditkartendaten, wird das Risiko höher bewertet, so dass die Prämie entsprechend steigt.

Fazit

Je mehr ein Unternehmen von digitalen Prozessen abhängt, desto wichtiger ist der Schutz genau dieser Prozesse. Eine Cyberversicherung ersetzt keine Investitionen in IT-Sicherheitseinrichtungen, sondern ist vielmehr eine additive Investition für den möglichen Schadenfall, um entstehende Kosten durch Folgeschäden zu minimieren. Daher besteht die IT-Sicherheit der Zukunft in einem Unternehmen immer aus drei Bausteinen:

  • technischen Maßnahmen
  • organisatorischen Maßnahmen
  • Cyberversicherung

Wünschen Sie eine Cyberversicherung? Die Versicherungsmakler von Döhler Hosse Stelzer aus Braunschweig beraten Sie gerne!

Nichts mehr verpassen

Anmelden und als Erster alle neuen Beiträge aus unserem Online-Magazin 'BraWo aktuell' per E-Mail erhalten!

Mit der Anmeldung akzeptieren Sie die Datenschutzerklärung. Sie können den Newsletter jederzeit abbestellen.