Bevor wir starten HIER findest du weitere passende Themen und für dich spannende und hilfreiche Artikel.

Was versichert die Cyber-Versicherung?

Bei einer Cyber-Versicherung sind im wesentlichen zwei „Dinge“ versichert: die IT-Systeme und die Daten. Im Prinzip ist alles, was eine Verbindung zum Internet potenziell gefährdet und versichert. Bei modernen Bedingungswerken sind (eingeschränkt) auch Daten versichert, die nicht in der Hoheit des:der Versicherten, sondern in einer Cloud liegen. Daneben sind aber auch Dritte versichert, wenn Schäden durch das eigene System bei anderen verursacht (Cyber-Haftpflicht) oder Schutzrechte verletzt wurden (Datenschutz).

Welche Risiken versichert die Cyber-Versicherung?

Es gibt vier große Risiken, die einen Schadensfall auslösen können:

• Netzwerksicherheitsverletzung (Viren, Hacker, Trojaner, Phishing, DoS-Angriffe)
• Bedien- und Programmierfehler
• Datenrechtsverletzung
• Cyber-Erpressung

Entscheidend für einen Schadenfall ist, dass Daten verändert, abgegriffen, gelöscht, verschlüsselt oder anderweitig von Dritten korrumpiert wurden.

2022 wurden 84% aller Unternehmen in Deutschland in den vergangenen 12 Monaten Opfer von Cyberangriffen. Cyber-Risiken sind mittlerweile auf Platz 1 der größten Bedrohungen für Unternehmen weltweit (Aon Global Risk Management Study 2021). In Deutschland kosten Cyber-Vorfälle im Schnitt knapp 22.000€ (Hiscox Cyber Readiness Report 2021).

Welche Risiken versichert die Cyber-Versicherung nicht?

Nicht alle Risiken kann der Versicherer übernehmen. Deswegen schließt er einiges aus. Obwohl sich die Bedingungswerke hinsichtlich ihrer Ausschlüsse z.T. deutlich unterscheiden, gibt es fünf wesentliche Bereiche, die (fast) immer ausgeschlossen sind:

• Vorsatz durch Versicherten
• Krieg und Cyber-Operation von Staaten (Die Abgrenzung ist z.T. schwierig)
• Schäden durch Ausfall technischer Infrastruktur
• Patentkartellrecht
• Wissentliche Verletzung DSGVO
  
  

Was leistet die Cyber-Versicherung?

Eigenschäden

Zunächst einmal werden alle sog. Eigenschäden übernommen. Das sind Schäden, die dem:der Versicherten durch den Cyber-Vorfall entstanden sind. Hierzu zählen:

• Wiederherstellung von Daten
• Wiederherstellung von Systemen
• Lösegelder
• z.T. Bußgelder
• z.T. Vertragsstrafen

Haftpflicht

Weiterhin übernimmt die Cyber-Versicherung die Kosten für die Prüfung von Ansprüchen Dritter und deren Befriedigung. Konkret übernimmt die Cyber-Versicherung im Rahmen der Haftpflicht also:

• Abwehrkosten (Anwält:innen, Gutachter:innen, Gerichtskosten)
• Kosten von Datenschutzverletzungen
• Kosten durch Schäden bei Dritten (z.B. Viren, Trojaner) (Wenn beispielsweise unbemerkt das System korrumpiert wurde und E-Mails mit Viren verschickt werden.)
• Schadensersatz aufgrund von Verletzungen von Persönlichkeitsrechten

Betriebsunterbrechung

Als Drittes leistet eine gute Cyber-Versicherung im Fall der Betriebsunterbrechung. Sie übernimmt die Kosten, die durch den Ausfall von IT-Systemen infolge eines Cyber-Vorfalls entstehen. Wenn z.B. die IT einer Arztpraxis aufgrund eines Cybervorfalls stillsteht, geht nichts mehr. Die Arztpraxis hat im Zweifel keinen Zugriff mehr auf Patient:innendaten und kann keine Abrechnungen vornehmen. Oder ein Online-Shop ist down und kann keine Bestellungen mehr annehmen oder verarbeiten. Ab einem bestimmten Zeitpunkt des Ausfalls (Karenzzeit, oftmals 24-48 Stunden) wird für eine vorher festgelegte Zeit (Haftzeit) der Verlust erstattet.

Assistance

Der vierte Bereich sind die sog. Assistance-Leistungen. Hier gibt es die größten Unterschiede im Markt. Deswegen ist ein Bedingungsvergleich in dieser noch recht jungen Sparte schwierig bis nahezu unmöglich. Zwar gibt es Musterbedingungen vom Gesamtverband, doch diese haben noch keine große Verbreitung und sind eher die untere Grenze. Aus unserer Sicht sind sie aber der zentrale Baustein einer Cyber-Versicherung. Denn im Schadensfall ist Schnelligkeit und professionelles Handeln gefragt. Da die meisten von uns jedoch keine IT-Experten sind, stehen die meisten vor einem riesen Problem. Das Ziel aller Assistance-Leistungen ist es, den Schaden so klein wie möglich zu halten. Zu den Assistance-Leistungen gehören unter anderem:

• Sofortmaßnahmen inkl. Analyse (Schadenquelle identifizieren, Maßnahmen zur Eindämmung)
• Rechtskonforme Meldung zur Verletzung vom Datenschutz (Bei einem Datenschutzvorfall musst du innerhalb von 72 Stunden eine qualifizierte Meldung an den:die Landesdatenschutzbeauftragte:n deines Landes stellen. Unterbleibt das, drohen Bußgelder.)
• Kommunikation mit Betroffenen
• Kommunikation mit Stakeholdern
• Training
• Krisenprävention

Welche Sicherheitsanforderungen hat die Cyber-Versicherung?

Die Cyber-Versicherung hat – wie jede andere Versicherung auch – bestimmte Anforderungen (Obliegenheiten), damit sie im Schadensfall leistet. Solche Anforderungen dienen dazu, Schäden möglichst zu vermeiden oder wenn sie auftreten, zu reduzieren. Verletzt du diese Anforderungen, kann der Versicherer die Leistung kürzen oder gänzlich verweigern. Du solltest sie also entsprechend kennen und gewissenhaft umsetzen. Ansonsten hast du jahrelang Beiträge gezahlt und stehst im Schadensfall (berechtigterweise) im Regen. Zu den üblichen Anforderungen zählen:

• Back-Up
• Virenschutz
• Firewall
• Updates
• Ggf. abgestufte Rechtesysteme

Je nach Versicherungssummen und Branchen können weitere Anforderungen hinzukommen.

Welche Schutzvorkehrungen sind (darüber hinaus) sinnvoll?

Schon im eigenen Interesse solltest du dafür sorgen, dass deine IT möglichst sicher ist. Du schließt ja auch die Bürotür ab und machst kein Lagerfeuer im Verkaufsraum. Ein sinnvolles Risikomanagement sorgt also dafür, dass du Risiken kennst, möglichst vermeidest oder reduzierst, sodass die Auswirkungen, wenn ein Schaden eintritt, möglichst gering bleiben und nicht dein Unternehmen existenziell bedrohen. Keine Angst, du musst nicht IT-Experte werden, um für eine sichere IT zu sorgen. Je nachdem, wie komplex deine Firma ist, macht es dennoch Sinn, IT-Experten/Admins hinzuziehen. Außerdem kann dich deine Cyberversicherung bei der Sicherung deiner IT unterstützen. Folgendes kannst/solltest du tun:

Du kannst dir das IT-Sicherheitskonzept wie eine Burg mit verschiedenen Sicherungen vorstellen. Die erste Verteidigungslinie sind die sog. Technischen Maßnahmen. Um im Bild der Burg zu bleiben, sind das der Burggraben, die Burgmauern, die Zugbrücke, das Fallgitter und der Brunnen zur Wasserversorgung im Belagerungsfall. Doch ohne eine gute Wachmannschaft bringen selbst die dicksten Mauern nichts.

Die zweite Verteidigungslinie sind die sog. Organisatorischen Maßnahmen. In unserem Bild sind das die Wachmannschaften, regelmäßige Übungen, Wartungen und das Befüllen der Vorräte. Erst wenn der Feind (Hacker) auch diese letzte Verteidigungslinie überwunden hat, kommt die letzte Verteidigung ins Spiel, die Cyber-Versicherung.

Worauf solltest du bei der Cyber-Versicherung achten?

Zurzeit sind pauschale Empfehlungen schwierig. Da der Markt noch jung ist, gibt es wenige Standards und noch viel weniger Gerichtsurteile, die Klarheit bringen könnten. Es gibt jedoch einige Punkte, die du bereits heute vergleichen und gegenüberstellen kannst:

• Obliegenheiten und Sicherungsanforderungen vor und während des Schadenfalls
• Versicherungssummen
• Sublimits (Begrenzung bestimmter Leistung unterhalb der Versicherungssumme, z.B. für Forensik oder Wiederherstellung)
• Karenz- und Haftzeiten
• Externe Partner bei z.B. Krisenintervention oder Forensik
• Selbstbehalte

Wer braucht die Cyber-Versicherung?

Grundsätzlich brauchen alle mit Internetanschluss und Kund:innendaten eine Cyber-Versicherung. Es stellt sich nur die Frage, wer sie ganz besonders braucht. Aus unserer Sicht ist die Cyber-Versicherung in Verbindung mit einem IT-Sicherheitskonzept besonders wichtig, je mehr du…

• Daten automatisiert verarbeitest
• sensible Daten (Finanzen, Gesundheit) verarbeitest
• Zahlungsdaten (Kreditkarten, EC-Terminals usw.) verarbeitest
• auf deine Daten angewiesen bist, um deine Leistung zu erbringen oder abzurechnen (Beispiel Arztpraxis)

Unter Berücksichtigung dieser Punkte solltest du dringend über den Abschluss einer Cyberversicherung nachdenken, wenn du zu einer dieser Branchen gehörst:

• Online Shops (Betriebsunterbrechung, Kreditkarten, Datenschutzverletzung)
• Berater mit sensiblen Daten (Anwält:innen, Steuerberater:innen, Finanzberater:innen)
• Produktionsbetriebe mit hohem Automatisierungs- und Technisierungsgrad (Erpressung, Verschlüsselung, Betriebsunterbrechung,
• Ärzt:innen (keine Abrechnung mehr möglich, Datenschutzverletzung)

Zu den wichtigsten Ursachen von Cyber-Vorfällen zählen:

• Geheimnisverrat
• Missbrauch und Manipulation
• Ausfall der IT
• Viren
• Erpressung
• Datenverlust

Vor diesen Risiken kannst du dich auch mit der besten IT-Sicherheit nur teilweise schützen.

Wenn im Zweifel die Existenz des Unternehmens dranhängt, brauchst du die finanzielle Sicherheit einer Versicherung. Hier kannst du dir einen schnellen Überblick über das Risiko deines Unternehmens verschaffen. Gern unterstützen wir dich bei der Ermittlung deines Risikos und der Auswahl einer geeigneten Absicherung.

Viele liebe Grüße dein Tom & dein Stephan