So lassen sich IT-Risiken im Unternehmen versichern

Cyberversicherungen
88545359
Sicherheit
Cyberversicherungen
So lassen sich IT-Risiken im
Unternehmen versichern
Eine Cyberversicherung zählt zu den wichtigsten Maßnahmen der Risikominimierung.
S
chäden, die durch Missbrauch, Manipulation oder Zertraditionellen Betriebsversicherungen greifen hier zu kurz“,
störung von IT-Systemen entstehen, lassen sich durch
sagt Sabine Pawig-Sander, geschäftsführende Gesellschafteherkömmliche Betriebsversicherungen nur unzureichend
rin und Mitgründerin des Maklerbüros Erichsen, „sie bieten
abdecken. Cyberversicherungen schließen diese Lücke.
keinen oder nur unzureichenden Schutz für die neuen
Die Absicherung betrieblicher Risiken gehört für
und sehr konkreten Daten- und Cyberrisiken.“ So
Unternehmen zur Routine. Ob Sachschäden,
zahle zum Beispiel die BetriebsunterbrechungsHaftung gegenüber Dritten, Vermögensverversicherung nicht, wenn die Produktionsbänlust, Betriebsunterbrechung oder das Fehlverder aufgrund eines Hacker-Angriffs stillsteMilliarden Dollar
halten von Managern – für alles gibt es eine
hen. „Es fehlt schlicht am Eintritt eines Sachwurden 2015 weltweit
Police.
schadens.“
mit Cyber­policen
Die bisherigen Modelle stammen allerdings
Dem veränderten Absicherungsbedarf traumgesetzt
aus einer analogen Zeit, die Gefahren der digigen die Cyberversicherungen Rechnung, die
talen Welt decken sie nur unzureichend ab: „Die
seit etwa fünf Jahren auf dem Markt angeboten
2,5
Quelle: Lloyd’s
114
3/2016 com! professional
Cyberversicherungen
werten. „Erstmals wird hier explizit das Risiko versichert, das
sich aus der Verletzung der Informationssicherheit ergibt“, erklärt Peter Graß, Leiter Haftpflicht- und Kreditversicherung
beim Gesamtverband der Deutschen Versicherungswirtschaft
(GDV).
Derzeit bieten erst eine Hand„Spezielle Risiken
wie Vertragsstrafen aus
voll Versicherungen ausdrückder Verletzung von
lich solche Policen an (siehe TaGeheimhaltungspflichten
belle auf Seite 118). Sie decken
lassen sich individuell
in der Regel Schäden ab, die
in den Vertrag
durch Viren und Trojaner, Daeinschließen.“
tenverlust und -diebstahl, Denial-of-Service-Attacken oder ErOle Sieverding
pressersoftware (Ransomware)
Product Head Cyber
entstehen.
& Data Risks
„Cyberpolicen bieten marktwww.hiscox.de
weit erstmals eine Kombination
aus der Versicherung von Vermögenseigenschäden (…) mit einer Art Haftungsversicherung für Ansprüche Dritter wegen dort entstandener Vermögensschäden. Das ist zumindest in dieser Konstellation völlig
neu“, sagt Holger Tittko, Referent beim Deutschen Versicherungs-Schutzverband DVS.
Auch die Definition von sogenannten Vertrauensschäden
wird in den Cyberpolicen weiter gefasst als in herkömmlichen
Vertrauensschadensversicherungen, die ausschließlich Schäden durch kriminelle Handlungen von Vertrauenspersonen
abdecken.
„Bei der Cyberversicherung reicht es aus, eine Informa­
tionssicherheitsverletzung und ihre wirtschaftlichen Folgen
festzustellen beziehungsweise nachzuweisen. Ob es sich um
Vertrauenspersonen handelt oder nicht, ist dabei nicht maßgeblich“, sagt Frank Schwandt, Gesellschafter und Geschäftsführer von acant Service, einem Maklerbüro, das sich
auf Cyberversicherungen und Managerhaftplicht spezialisiert hat.
Cyberversicherungen gehen noch einen Schritt weiter. Sie
decken nicht nur direkte Schäden ab, sondern auch Kosten,
die ursächlich auf den Cybervorfall zurückzuführen sind. Das
sind zum Beispiel Kosten für die Ursachenfeststellung, Wiederherstellungskosten bei Datenverlust oder Kosten für die
Wiederinbetriebnahme der IT-Infrastruktur und die Verfügbarkeit der Systeme.
Auch Aufwendungen für Forensiker, gesetzlich oder regulatorisch vorgeschriebene Benachrichtigungen, Verhandlungen mit Behörden, das Krisenmanagement oder die Krisen-PR
würden von den Cyberversicherungen übernommen, erklärt
Natalie Kress, Cyber Practice Manager Germany & Austria bei
der ACE Group.
Oft ergänzen Dienstleistungspakete die Policen. So bietet
etwa die Württembergische Versicherung Hilfe bei der Ursachenforschung. „Unser zentraler Baustein ist die Unterstützung durch qualifizierte IT-Forensiker, die über eine Service-
com! professional 3/2016
Sicherheit
Hotline schnell Ersthilfe bieten und die weitere Schadenabwicklung auch vor Ort begleiten können“, sagt Gert Baumeister, Leiter Firmenkunden – Technische Versicherungen
bei der Württembergischen Versicherung.
Neben IT-Spezialisten lassen sich zum Teil auch die Services von Kommunikationsexperten gleich mitbuchen. Sie kennen sich mit Krisen-PR aus und können so die Reputationsschäden begrenzen, die häufig entstehen, wenn Unternehmen durch den Verlust von Kundendaten in die Schlagzeilen
geraten.
Welche Bausteine und Optionen ein Unternehmen tatsächlich braucht, lässt sich nicht pauschal beantworten. Für ein
Telekommunikationsunternehmen dürften Kostenbausteine
für Public Relations eine wichtige Rolle spielen, um nicht
durch einen Schadensfall einen erheblichen Vertrauensverlust bei den Kunden zu riskieren. Für kleinere Dienstleister
und IT-Unternehmen können hingegen Kostenpositionen für
die Wiederherstellung von Daten einen höheren Stellenwert
einnehmen.
Als Eckpfeiler bei der Schadensfeststellung und der Schließung von Datenlecks ist zudem zu überlegen, wie sinnvoll
Forensik-Dienstleistungen sind.
▶
Cyberkriminalität
Das Risikobewusstsein ist vor allem im deutschen Mittelstand noch so gering wie die Nachfrage nach Cyberversicherungen.
com! professional 3/16 Quelle: GDV
115
Sicherheit
Cyberversicherungen
Steigende Nachfrage
Hierzulande ist das Interesse noch sehr verhalDer weltweite Markt für Cyberversicherungen
ten. Laut dem „DNA of an Entrepreneur Report
boomt. Nach Angaben von Inga Beale, CEO
2015“ des Versicherers Hiscox haben gerade
des britischen Versicherungsunternehmens
einmal 8 Prozent der Unternehmen eine CyLloyd’s, betrug der Gesamtumsatz mit Cyberberversicherung. Vor allem der Mittelstand
der Cyberversicherungen
policen im vergangenen Jahr 2,5 Milliarden
habe sich mit dem Thema IT-Sicherheit noch
werden von US-Firmen
gekauft
Dollar, zwei Jahre zuvor waren es noch weninicht sehr stark beschäftigt.
ger als eine Milliarde. Hauptgrund sei das enorme Schadenspotenzial, so Beale weiter. UnternehQuelle: Lloyd’s
Eine erste Orientierung, welches Risiko besteht und
men verlieren demnach durch direkte Schäden und die
wie sinnvoll und notwendig eine Cyberversicherung ist, könFolgekosten von Cyberattacken pro Jahr 400 Milliarden Dolnen Online-Fragebögen zur Selbsteinschätzung geben, wie
lar. Jährlich geben sie im Durchschnitt 7,7 Millionen Euro für
sie das Maklerbüro Marsh mit dem Cyber-Risikotest (www.
die Bekämpfung von Angriffen und die Eindämmung der
cyber-risikotest.de) anbietet.
Folgeschäden aus, wie die Studie „2015 Cost of Cyber Crime“
Die Beantwortung von 31 Fragen soll bei der Einschätzung
des Ponemon-Instituts ergab.
helfen, welche Folgen ein Cyberschadensfall im UnternehDabei sind in den USA nicht nur die Schadenssummen mit
men haben könnte und welche finanziellen Schäden sich
durchschnittlich mehr als 15 Millionen Dollar pro Jahr am
durch eine Cyberversicherung abdecken ließen. Der Ausfülhöchsten, auch die Nachfrage nach Cyberpolicen kommt
lende erhält auch Rückmeldung darüber, wie es um das Rihauptsächlich von dort.
90 %
Versicherungsbedarf
Interview
Alles aus einer Hand
Alexander Geschonneck erklärt im Gespräch mit
com! professional, welche Vorteile Cyberversicherungen bieten und worauf man bei einem Abschluss besonders achten sollte.
com! professional: Sind Cyberversicherungen eigentlich ein neues Phänomen?
Alexander Geschonneck: Nicht wirklich, es gibt
Produkte, die schon seit fünf Jahren auf dem
Markt sind. Allerdings hat das Interesse daran in
den vergangenen ein bis zwei Jahren deutlich zugenommen.
Alexander Geschonneck
Leiter des Bereichs
Forensic bei KPMG
https://home.kpmg.com/
de/de/home.html
com! professional: Wie erklären Sie sich die steigende Beliebtheit von Cyberversicherungen?
Geschonneck: Diese Policen schließen Lücken in den Bereichen
Datendiebstahl, Datenschutzverstöße und Angriffe durch Hacker.
Sie decken Schäden ab, die in der Vergangenheit in verschiedenen Einzelversicherungen separat betrachtet wurden, angefangen von der Haftpflicht- über die Vertrauensschadensversicherung bis zur Betriebsunterbrechungsversicherung. Die Cyberversicherung bietet nun alles aus einer Hand und passt den Schutz
an die aktuelle Bedrohungslage an.
com! professional: Ist die Cyberversicherung Geldverschwendung
oder Ihrer Ansicht nach sinnvoll und notwendig?
Geschonneck: Wenn Sie ein Unternehmen betreiben, das maßgeblich von einer funktionierenden IT abhängig ist, wenn Sie Ihre
116
Daten in der richtigen Qualität zur richtigen Zeit
am richtigen Ort benötigen und nicht in fremden
Händen sehen wollen; wenn Sie durch die Verletzung der Grundprinzipien von Datenschutz
und Datensicherheit direkt oder indirekt Nachteile zu befürchten haben, sei es, dass Ihnen eine Geldbuße droht oder dass ein Reputationsschaden entsteht, dann ist eine solche Versicherung auf jeden Fall zu empfehlen. Wenn diese
Probleme nicht zu Ihren geschäftlichen Kernrisiken zählen, ist eine Cyberversicherung sicher
entbehrlich.
com! professional: Wie teuer sind solche Cyberversicherungen?
Geschonneck: Das kann vom mittleren vierstelligen bis in den hohen fünfstelligen, ja sogar
sechsstelligen Euro-Bereich gehen. Die Prämien richten sich vor
allem nach dem zu versichernden Risiko, aber auch nach der Deckungssumme und den Sicherheitsmaßnahmen, die ein Unternehmen bereits getroffen hat. Auch die Frage nach der Versicherung von Schäden, die bereits entstanden, aber noch nicht bekannt sind, einer Rückwärtsversicherung also, hat einen Einfluss
auf die Prämienhöhe. Ein Datendiebstahl wird ja oft zunächst gar
nicht bemerkt und erst Wochen oder Monate später bekannt.
com! professional: Kann jedes Unternehmen eine Cyberversicherung abschließen?
Geschonneck: In einem besonders riskanten Umfeld könnte
man zu dem Ergebnis kommen, dass das Risiko unter wirtschaftlichen Aspekten nicht mehr versicherbar ist. Aber dann sollte
man vielleicht das Geschäftsmodell grundsätzlich überdenken.
3/2016 com! professional
Cyberversicherungen
sikobewusstsein im Unternehmen und die Exposition für Cyberrisiken bestellt ist.
Eine ähnliche Intention verfolgt der „Risiko-Check IT“ von
AXA, der allerdings stark auf die hauseigene Cyberversicherung ByteProtect zugeschnitten ist. Der Check steht auf der
Seite www.axa.de/geschaeftskunden/Cyber-Versicherung
zum kostenlosen Download zur Verfügung.
Sicherheit
„Die Risiken sind vielschichtig –
angefangen von IT-Ausfällen
bis hin zu Vertraulichkeits­
verletzungen.“
Jens Krickhahn
Experte für Cyberversicherungen
www.agcs.allianz.com
Die Angebote der Versicherer
Einheitliche Standards für Cyberversicherungen gibt es derzeit nicht. Während sich einige Versicherungsunternehmen
auf bestimmte Branchen oder Betriebsgrößen spezialisiert
haben, halten andere für praktisch jedes Unternehmen eine
Versicherung bereit.
ACE Group: Die ACE Group bietet ihre Cyberversicherung
DataProtect Plus einer breiten Zielgruppe an. „Vom Mittelständler bis zum Großkonzern, von Online-Shops über produzierende Unternehmen bis hin zur Industrie versichern wir
die unterschiedlichsten Unternehmen“, sagt Natalie Kress,
com! professional: Nach welchen Kriterien sollte ein Unternehmen
eine Cyberversicherung auswählen?
Geschonneck: Wichtige Fragen sind: Wie wird das Risiko von Drittund Eigenschäden abgedeckt? Wie lange ist die Laufzeit? Gibt es
einen Selbstbehalt? Wie hoch ist die Deckungssumme? Hängt sie
von bestimmten Faktoren ab? Verändert sich meine Prämie, wenn
sich die Sicherheit im Unternehmen verbessert oder verschlechtert? Hilft mir die Versicherung im Krisenfall, begleitet sie mich in
einer Notsituation, gibt es eine Notrufnummer? Wird im Schadensfall eine PR-Agentur eingeschaltet, die auf Krisenmanagement spezialisiert ist? Das sind einige der wesentlichen Faktoren.
com! professional: Gibt es versteckte
Fallen, auf die man beim Abschluss einer
Cyberversicherung achten sollte?
Geschonneck: Ja, Fehlverhalten oder Fahrlässigkeit von Unternehmensmitarbeitern ist ganz häufig Ursache von Sicherheitsvorfällen
und deshalb auch mehrheitlich Bestandteil der Versicherungsbedingungen.
com! professional: Gibt es Bestandteile in Cyberversicherungen,
die weniger notwendig sind? Ist es etwa empfehlenswert, Krisenmanagement und Krisen-PR abzuwählen, wenn einem die Prämie
dafür zu teuer ist?
Geschonneck: Wenn Sie in einem öffentlichen Umfeld agieren, in
dem Ihre Reputation geschäftskritisch ist, dann ist es unverzichtbar, im Schadensfall einen Profi heranzuholen, der sich mit Krisenkommunikation auskennt. Wenn das
für Ihr Geschäftsmodell hingegen nicht
so relevant ist, dann können Sie auf
„Die Policen decken
diese Bestandteile möglicherweise verSchäden ab, die in der Verganzichten – oder wenn Sie sowieso einen
genheit in verschiedenen
Rahmenvertrag mit einer PR-Agentur
Einzelversicherungen separat
haben, die auf Krisenkommunikation
betrachtet wurden.“
spezialisiert ist.
Geschonneck: Besonders problematisch ist es, wenn Versicherer bei einer
sogenannten erhöhten Bedrohungslage
weniger oder gar nicht leisten. Wann eine erhöhte Bedrohungslage vorliegt,
dafür gibt es keine verbindliche Definition. Führt beispielsweise eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) für ein bestimmtes Betriebssystem schon zu einer erhöhten Bedrohungslage? Auch die Versicherung von Serienschäden muss man sich genau ansehen. Was
passiert, wenn ein Sicherheitsvorfall einen zweiten, dritten, vierten
Schaden nach sich zieht? Wird das abgedeckt? Das sind einige der
Punkte, die man sich mit seinem Makler genau anschauen muss.
com! professional: Was passiert, wenn ein Mitarbeiter auf den Link
in einer Phishing-Mail klickt? Sind solche Risiken in der Regel abgedeckt?
com! professional 3/2016
Cyber Practice Manager bei der ACE Group. Für jedes zu versichernde Unternehmen werde eine individuelle Risikoanalyse und -bewertung vorgenommen. Auf Basis dieser Befragung werde dann das Sicherheitslevel des Kunden festgestellt.
Neben der Größe eines Unternehmens und der Branche, in
der es tätig ist, hat auch die Qualität der IT-Sicherheit Einfluss
▶
auf die Prämienhöhe.
com! professional: Ist das eine der
Besonderheiten von Cyberversicherungen? Sie decken nicht nur
Schäden ab, sondern bieten darüber hinaus auch Hilfen und Dienstleistungen an.
Geschonneck: Das liegt in der Natur der Sache. Denn wenn es zu
einem Vorfall im IT-Bereich eines Unternehmens kommt, dann
kann durch falsches oder verzögertes Handeln der Schaden noch
viel größer werden. Durch einen schnellen und gezielten Einsatz
von Experten und das Ineinandergreifen verschiedener Maßnahmen lässt sich das Ausmaß der Beeinträchtigungen dagegen häufig
eingrenzen.
117
Sicherheit
Cyberversicherungen
Die Höhe der Deckungssumme richtet sich nach der Unternehmensgröße gemessen am Umsatz, aber auch dem Datenbestand, sagt Kress: „Ein Unternehmen, das Millionen Kundendaten speichert, hat im Schadensfall unter Umständen
höhere Kosten als ein Unternehmen, dessen Kundendatenbank unter 10.000 Kunden umfasst.“ Im deutschen Mittelstand bewegen sich die Deckungssummen im Bereich zwischen 1 Million und 15 Millionen Euro.
Allianz: Allianz Global Corporate & Specialty (AGCS) versichert mit der Allianz Cyber Protect Unternehmen ab 100 Millionen Euro Umsatz gegen Cyberschäden. Dazu zählen Produktionsunternehmen ebenso wie Dienstleister aus den unterschiedlichsten Branchen.
Die Allianz prüft vor Abschluss das IT-Sicherheitsniveau im
Unternehmen anhand folgender Fragen: Sind Software und
Hardware auf dem neuesten Stand? Entsprechen die Prozesse dem Risiko? Gibt es beispielsweise Identity-and-AccessManagement-Tools? Sind Awareness-Trainings im Unternehmen fester Bestandteil des Risikomanagements? Wo ist das
Thema IT-/Informationssicherheit organisatorisch angesie-
„Wenn der Schutzgrad nicht mit
dem Gefährdungsgrad korrespondiert, kann es im Einzelfall
zu einer Ablehnung des Risikos
kommen.“
Dirk Kalinowski
Senior Produktmanager
Cyber-Versicherungen
www.axa.de
delt? Je weiter oben in der Hierarchie, desto besser. Die Prämie richtet sich nach der Höhe der Deckungssumme und des
Selbstbehalts sowie nach dem Risikoprofil eines Unternehmens. Sie liegt in der Regel im fünf- bis siebenstelligen Bereich. Versicherte Deckungssummen beginnen üblicherweise bei 5 Millionen Euro. Die maximal versicherbare Summe
beträgt 100 Millionen Euro.
AXA: Mit der Cyberversicherung Byte Protect versichert
AXA nahezu alle Unternehmen. Ausnahmen bilden aufgrund
Cyberversicherungen (Auswahl)
Das sind die wichtigsten Anbieter von Cyberpolicen und deren Leistungen. Sie versichern Unternehmen jeder Größe.
Anbieter
Versicherung Weitere Informationen
Zielgruppe
Deckungs­
summe (Euro)
Prämienhöhe
ACE
ACE
DataProtect
Plus
www.acegroup.com/de-de/assets/
d_ace_dataprotect-plus_produkt
information.pdf
Mittelständler bis Großkonzern
1 Mio. bis 15
Mio.1)
k. A.
ACGS
(Allianz)
Allianz
Cyber Protect
www.agcs.allianz.com/assets/
Global offices assets/Germany/
Financial Lines/Cyber_Protect_
Info_1802_2014_low.pdf
Unternehmen ab 100 Mio. Euro Umsatz
5 Mio. bis
maximal 100
Mio.2)
5- bis
7-stellig
AXA
Byte Protect
www.axa.de/geschaeftskunden/
cyber-versicherung
alle Unternehmen und Branchen,
Ausnahme Wettbüros, Online-Spieleanbieter, Erotikanbieter; Deckungseinschränkungen bei Finanzdienstleistern
100.0003) bis
10 Mio.
ab
1000 Euro
pro Jahr
DUAL
DUAL AVB
Cyber
Defence
www.dualdeutschland.com/produkte
/cyber-versicherung.html
alle außer Unternehmen aus der Er250.000 bis
wachsenenunterhaltung sowie Un10 Mio.4)
ternehmen, die im Zusammenhang mit
virtuellen Währungen (zum Beispiel
Bitcoins) stehen
3- bis
7-stellig
HDI Global
SE
Cyber+
www.hdi-gerling.de/de/industrie/
produkte/financial_lines/cyber/
index.jsp
produzierende Industrie
(Maschinenbau, Kfz-Zulieferer etc.),
andere Branchen möglich (Automobilindustrie, Transport, Handel, Konsumgüter, Chemie)
1 Mio. bis
50 Mio.6)
niedrig
5-stellig7)
Hiscox
Hiscox Cyber
Versicherung
www.hiscox.de/cyber-versicherung
alle Unternehmen, Schwerpunkt auf
Mittelstand, E-Commerce, Technologieunternehmen, Händler, Hotellerie;
keine Unternehmen, die Glücksspiel
oder pornografische Inhalte anbieten
250.000 bis
10 Mio.8)
ab
499 Euro
netto pro
Jahr 9)
Württembergische
Versicherung
Cyber-Police
http://firmenkunden.wuerttem
bergische.de/de/produkte/ziel
gruppenprodukte/cyber_police/
cyber_police.html
kleine und mittelständische Betriebe
bis 10 Mio. Euro Jahresumsatz
125.000 bis
2 Mio.
k. A.
1) typisch für Mittelständler
2) typischer Bereich
118
3) empfohlen
4) höhere Deckungssummen auf Anfrage
5) ab 1000 Euro
6) höhere Deckungssummen auf Anfrage
3/2016 com! professional
Cyberversicherungen
des erhöhten Risikos Wettbüros sowie Online-Spiele- und
Erotikanbieter. Neben den gewählten Bausteinen, Versicherungssummen und Selbstbeteiligungen richtet sich die Prämienhöhe, die etwa bei 1000 Euro pro Jahr beginnt, vor allem
nach dem möglichen Maximalschaden, den ein Unternehmen erleiden kann.
Versichert werden reine Vermögensschäden aufgrund eines Vorfalls in der IT, sowohl Eigenschäden als auch daraus
folgende Haftpflichtschäden. Nicht versichert werden Sachund Personenschäden, die bei Hacker-Angriffen vorkommen
können.
DUAL: Auch die DUAL AVB Cyber Defence steht allen Unternehmen offen, außer sie befassen sich mit Erwachsenenunterhaltung oder virtuellen Währungen wie Bitcoins. „Alle
anderen Unternehmen sind bei uns grundsätzlich versicherbar“, sagt Underwriter Johannes Beckers. Entscheidend für
die Versicherbarkeit ist laut Beckers das Risikobewusstsein
beim Kunden.
Die Höhe der Prämie richtet sich unter anderem danach,
aus welcher Branche das zu versichernde Unternehmen
Sicherheit
kommt. Auch die Frage, ob das Cyberrisiko eher im Segment
der Betriebsunterbrechung oder in dem der Datenschutzverletzungen zu finden ist, spielt laut Beckers eine Rolle. Einen
gewissen Prämienspielraum bieten auch die Selbstbehalte.
„Wir starten hier mit Selbstbehalten von mindestens 1000
Euro.“
HDI Global SE: Die Versicherungslösung Cyber+ wurde speziell für die produzierende Industrie wie Maschinenbauer oder
Kfz-Zulieferer entwickelt. Als typische Cyberversicherung ▶
„Es gibt weltweit noch
keinen entwickelten
Cyberversicherungsmarkt,
außer in den USA.“
Peter Graß
Leiter Haftpflicht- und Kredit­
versicherung beim GDV
www.gdv.de
Kriterien für Prämienhöhe
Abgedeckte Risiken
Qualität der IT-Sicherheit, Unternehmensgröße, Branche
Datenverlust oder -manipulation durch Hacker-Angriffe, Computerviren, Trojaner oder
weitere Malware-Angriffe; unberechtigte Nutzung von Computersystemen, menschliches Versagen/Fahrlässigkeit, Blitzschlag, Überspannung, Spannungsabfall
Deckungssumme, Selbstbehalt, Risikoprofil
(Größe, Internationalität, Geschäftsmodell,
Art und Menge der eingesetzten oder verarbeiteten Daten)
Datenschutz-, Vertraulichkeits-, Netzwerksicherheitsverletzungen, Vertragsstrafen, Informationskosten, Betriebsunterbrechungsschäden, Wiederherstellungsaufwand, Computerbetrug,
Cybererpressung, Verfahrensschutz, forensische Dienstleistung, Krisenkommunikation
Exponierung und möglicher Maximalschaden, gewählte Bausteine, Versicherungssumme, Selbstbeteiligung
reine Vermögensschäden aufgrund eines Vorfalls in der IT (Eigenschäden und Haftpflichtschäden)
Branche, Segment, in dem ein höheres
Cyberrisiko zu finden ist (Betriebsunterbrechung/Datenschutzverletzungen), Selbstbehalt5)
Drittschäden: Datenschutzverletzungen, Datenvertraulichkeitsverletzungen, Netzwerksicherheitsverletzungen, rechtswidrige Kommunikation.
Eigenschäden: Informations- und Benachrichtigungskosten, Betriebsunterbrechung (fortlau­
fende Kosten und Betriebsgewinn), Datenwiederherstellungskosten, Kreditkarten-Monitoring
Branche, Größe des Unternehmens, Qualität
der IT- und Informationssicherheit (Hardund Software inklusive Rechnerlandschaft,
Netzwerk, Sicherheitsvorkehrungen, Wartungsverträge, Mitarbeiter-Awareness, Business Continuity Management)
Beschädigung, Diebstahl oder unerlaubte Veröffentlichung von Daten sowie die Datenwiederherstellung, Betriebsunterbrechung/Ertragsausfall, zum Beispiel der Produktion oder des
Online-Shops, Kosten für Krisenkommunikation und Benachrichtigung, forensische Untersuchungen. Optional: Rechtsschutz, Managerhaftpflicht, Industriespionage (Verletzung von
Betriebsgeheimnissen), Vertrauensschäden durch Fehlverhalten von Mitarbeitern
Sicherheitssensibilität, eine gut aufgestellte
IT, angemessene Sicherheitsrichtlinien,
Überlegungen zum Notfall- und Krisen­
management; gewünschte Versicherungs­
summe und Umsatz des Unternehmens
Eigenschadenversicherung: Wiederherstellung von Daten und Systemen nach Hacker-Angriff,
Betriebsstillstand nach Hacker-Angriff, Verlust physischer Datenträger mit vertraulichen
Daten, Krisenmanagement und PR-Maßnahmen nach Hacker-Angriff.
Fremdschaden: Schaden­ersatzansprüche (Vermögensschäden) aufgrund eines Verstoßes gegen
gesetzliche sowie ggf. vertragliche Bestimmungen/Verpflichtungen zum Datenschutz, eines
Verstoßes gegen Geheimhaltungspflichten, der Weitergabe eines Virus, einer Persönlichkeitsrechtsverletzung nach Hacker-Angriff
Reifegrad der technischen und organisatorischen IT- und Informationssicherheit,
Risikograd von Eigen- und Drittschäden,
Versicherungssumme, Höhe der Selbstbehalte
Ansprüche Dritter und Eigenschäden einschließlich Ertragsausfall- und Mehrkostendeckung,
Bereitstellung von forensischen Dienstleistungen, Geld- und Warenverluste infolge einer
elektronischen Manipulation, Versicherungsschutz für mögliche Forderungen der Payment
Card Industrie, Kosten für Krisenkommunikation, Mediation, Reputationssicherung, Information und Benachrichtigung, Kreditkarten-Monitoring
7) mittelständisches produzierendes Unternehmen mit angemessenem Niveau
an IT- und Informationssicherheit bei einer Deckungssumme von 5 Mio. Euro
com! professional 3/2016
8) typischer Bereich
9) Beispiel: Versicherungssumme von
1 Mio. Euro für ein Unternehmen bis 5 Mio.
Euro Umsatz: 1650 Euro netto pro Jahr
119
Sicherheit
Cyberversicherungen
Der Versicherungsschutz deckt sowohl Andeckt Cyber+ sowohl Eigen- als auch Drittschäsprüche Dritter als auch Eigenschäden einden ab, trägt aber auch der persönlichen Verschließlich Ertragsausfall- und Mehrkostendeantwortung von Unternehmensleitern für die ITckung ab. „Wesentliches Element unserer DeSicherheit Rechnung. Cloud-Anbieter gehören
ckung ist die Bereitstellung von forensischen
zwar nicht zur Zielgruppe, HaftpflichtDienstleistungen“, erklärt Baumeister. Diese
ansprüche aus ausgegliederter Datenverarbeiunterstützen den Kunden von Beginn an bei
tung sind im Rahmen von Cyberpolicen aber
der Aufklärung und Abwicklung seines Cyversicherbar.
bervorfalls.
Zu den wichtigsten Kriterien bei der PrämiEbenso mitversichert sind Geld- und Warenenfestsetzung gehören die Branche, in der das
„Eine Cyberversicherung
darf
nicht
als
Ersatz
für
verluste infolge einer elektronischen ManipulaUnternehmen tätig ist, seine Größe gemessen
eine fehlende oder unzution. Für Kunden, die eine Zahlung mit Kreditam Umsatzvolumen und die Qualität seiner ITreichende IT-Sicherheit
oder Bankkarten zulassen, ist auch Versicheund Informationssicherheit. Ein mittelständiverstanden werden.“
rungsschutz für mögliche Forderungen der Paysches produzierendes Unternehmen mit angement Card Industry enthalten. Abgerundet wird
messenem Sicherheitsniveau muss bei einer
Natalie Kress
der Schutz durch ein Kostenpaket, das neben
Deckungssumme von beispielsweise 5 MillioCyber Practice Manager
Germany & Austria
den Aufwendungen für die Krisenkommunikanen Euro mit einem Beitrag in niedriger fünfwww.acegroup.com
tion auch solche für Mediation, Reputationssistelliger Höhe rechnen.
cherung, Information und Benachrichtigung soHiscox: Der Versicherer legt mit seiner Cyber
wie das Kreditkarten-Monitoring umfasst.
Versicherung den Schwerpunkt auf den Mittelstand. Vor allem E-Commerce-Anbieter, Technologieunternehmen, Händler und Beherbergungsbetriebe bedürften eiMaklerbüros bieten eine vertiefte Beratung, wenn es um die
nes Schutzes, sagt Ole Sieverding, Product Head Cyber & DaAbsicherung von IT-Risiken geht. Beispiele sind die acant
ta Risks bei Hiscox: Elemente wie IT-Forensik und die Kosten
service GmbH (www.acant-makler.de), die Aktiv Assekurenz
für behördliche Informationspflichten seien in der Cyber VerMakler GmbH (www.aktiv-assekuranz.de), die Erichsen
sicherung enthalten. „Spezielle Risiken wie Vertragsstrafen
GmbH (www.erichsengmbh.de), Bonleitner Finanz & Versiaus der Verletzung von Geheimhaltungspflichten lassen sich
cherungsmakler (www.fvm-bonleitner.de) und die Marsh
individuell in den Vertrag einschließen“, erklärt Sieverding.
GmbH (http://deutschland.marsh.com).
Sicherheitssensibilität, eine gut aufgestellte IT und angeZu den Leistungen gehören zum Beispiel die Ermittlung
messene Sicherheitsrichtlinien sowie Überlegungen zum
des Versicherungsbedarfs, die Ausschreibung und AuswerNotfall- und Krisenmanagement spielen bei der Prämienbetung der Angebote und die Klärung von Rückfragen. Auch
stimmung eine Rolle. Neben diesen Faktoren richtet sich die
eine regelmäßige Überprüfung von Preis und Inhalt der DeHöhe der Versicherungsbeiträge nach der gewünschten Verckung und eine Anpassung des Versicherungsschutzes an
sicherungssumme und dem Umsatz des Unternehmens. Für
veränderte Risiko- oder Marktverhältnisse sowie eine Begleikleine Unternehmen gibt es eine Deckung ab 499 Euro netto
tung im Schadensfall sind typische Leistungen eines Maklerpro Jahr, eine Versicherungssumme von 1 Million Euro für ein
büros.
Unternehmen bis 5 Millionen Euro Umsatz kostet beispielsweise jährlich 1650 Euro netto.
Württembergische: Die Cyber-Police der WürttembergiEine funktionierende IT-Infrastruktur ist für praktisch jedes
schen Versicherung ist vor allem auf kleine und mittelstänUnternehmen ab einer bestimmten Größe geschäftskritisch.
dische Betriebe bis 10 Millionen Euro Jahresumsatz ausgeSteht das Kommunikationsnetz oder die Produktion still, werrichtet. „Eine hohe Anzahl an Anfragen deutet auf das steiden Kunden- oder Entwicklungsdaten gestohlen oder von
gende Risikobewusstsein auch bei dieser Zielgruppe“, sagt
Ransomware verschlüsselt, entstehen schnell existenzbedroGert Baumeister, Leiter Firmenkunden – Technische Versihende Schäden in Millionenhöhe.
cherungen.
Eine Cyberversicherung gehört deshalb zu den entscheidenden Maßnahmen einer betrieblichen Risikominimierung.
Die Produkte ähneln sich in ihrem Basisschutz, weisen aber
„Cyberpolicen bieten marktweit
erhebliche Unterschiede in den optionalen Bestandteilen und
erstmals eine Kombination aus
der Versicherung von Verden Versicherungsbedingungen auf. Je nach Versicherer,
mögenseigenschäden (…) mit
Leistungsumfang und Risiko können die Prämien schnell
einer Art Haftungsversicherung
fünf- bis sechsstellige
für Ansprüche Dritter wegen dort
Beträge erreichen.
entstandener Vermögens­schäden.“
Man muss also scharf
Holger Tittko
Thomas Hafen/ad
rechnen und genau [email protected]
Referent
schauen, um die geeigwww.dvs-schutzverband.de
nete Police zu finden. ◾
Versicherungsmakler
Fazit
120
3/2016 com! professional