Im Zeitalter der Digitalisierung werden sogenannte Cyber-Crimes, also die Cyberkriminalität, zu einer ernsten Bedrohung. Nicht nur für Privatpersonen, sondern vor allem auch für Unternehmen. Inzwischen gehen sogar viele kleinere und mittlere Unternehmen davon aus, dass Hacker ein Schlüsselrisiko für ihr Geschäft darstellen. Neben den diversen technischen Lösungen und den entsprechenden Sicherheitsschulungen, gibt es sogenannte Cyber-Versicherungen. Auch die Sparkasse Regensburg bietet jetzt eine solche Police an. Wir haben unseren Versicherungsexperten Thomas Breubeck gefragt, wann das Sinn macht.

 
Lieber Herr Breubeck, Sie empfehlen unseren Geschäftskunden eine Versicherung gegen Cyber-Kriminalität abzuschließen. Reichen technische Maßnahmen denn nicht mehr aus?

Verstehen Sie mich bitte nicht falsch, Herr Lutz. Die neueste Firewall-Technik, das beste Intrusion-Detection-System und aktuelle Virenscanner sind natürlich nach wie vor essentielle Bausteine einer effektiven Sicherheitsstrategie. Doch wer meint das genüge, um sich vor allen gefährlichen Risiken zu schützen, der irrt. Viele Kunden sehen zwar das Risiko, das von Viren und Hackern ausgeht. Sie investieren viel in die IT, aber sie verlieren dabei aus den Augen, das immer ein Restrisiko bleibt, das man versichern kann und sollte.

Welches Restrisiko?

Ein Beispiel: Auf eine Feuerschutzversicherung würde niemand verzichten, nur weil er eine Brandschutztür hat. Analog gilt: Selbst wenn eine Agentur viel in IT-Sicherheit investiert hat, ist sie nicht unbedingt vor Angriffen von Cyberkriminellen gefeit. Es gibt einfach keinen hundertprozentigen Schutz im Internet. Aber das verstehen viele noch nicht.

„Es gibt keinen hundertprozentigen Schutz im Internet“

Oder wollen es nicht verstehen. Und die Datendiebstähle häufen sich…

Ganz genau. Langsam findet aber zum Glück ein Umdenken in Sachen Cyberkriminalität statt. Wir bemerken eine steigende Nachfrage nach Cyber-Versicherungen. Schlossen in den vergangenen Jahren nur wenige Unternehmen in der Region eine Police ab, werden es 2017 schon wesentlich mehr sein. Zum Glück.

Kein Wunder, viele Branchen werden immer wieder von Cyber-Angriffen erschüttert. Hackern gelang es vor kurzem, durch ein clever ausgeführtes Manöver über ein Sicherheitsleck bei einem Telefonanbieter, Geld von Bankkunden auf die eigenen Konten umzuleiten. Helfen konventionelle Versicherungen, beispielsweise eine Betriebshaftpflichtversicherung, hier nicht weiter?

Traditionelle Versicherungen stammen aus einer „vor-digitalen“ Zeit und bilden die neuen Risiken aus dem Internet daher in der Regel nicht oder nur rudimentär ab. Oft wird für die diversen schadenbedingten Aufwendungen, die aus dem Cyber-Angriff entstehen, zum Beispiel für IT-Forensik, Rechtsberatung und dergleichen, dann nur eine Cyber-Versicherung Entschädigung leisten. Welche Versicherung was konkret in welchem Schadensfall abdeckt, ist aber immer im Einzelfall und nur nach genauer Prüfung zu entscheiden.

 
Was deckt eine Versicherung gegen Cyberkriminalität denn grundsätzlich ab?

Im Kern gibt es bei allen Anbietern die gleichen typischen Deckungselemente: Versichert sind Vermögensschäden durch unbefugten Zugang zum IT-System. Sei es ein gezielter Angriff durch Hacker, Schadsoftware oder ein DDoS-Angriff, Sabotage durch Mitarbeiter oder Datendiebstahl aus den eigenen Reihen, etwa mittels Keylogger.

Und was ist mit dem Klassiker, also wenn ein Mitarbeiter aus Versehen einen Emailanhang öffnet?

Bei einer echten Cyber-Police sind selbstverständlich auch selbstverschuldete Schäden abgedeckt, genauso übrigens wie Verstöße gegen den Datenschutz.

„Kosten können sehr schnell in die Höhe schießen“

Das klingt gut. Der menschliche Faktor ist bekanntlich nicht zu unterschätzen.  Und was zahlt eine solche Versicherung?

Im Wesentlichen sind das die Kosten für die Wiederherstellung von Daten und Programmen. Diese Kosten können sehr schnell in die Höhe schießen, insbesondere, wenn die BackUps ebenfalls bereits infiziert sind. Kommt es zur Betriebsunterbrechung von Produktions- oder Verwaltungsprozessen, sind Umsatzverluste und Ertragsausfälle natürlich vorprogrammiert. Ein weiterer Faktor sind Schadenersatzansprüche, die Kunden, Lieferanten oder sonstige Dritte geltend machen können. In diesem Fall greift der Deckungsschutz der Haftpflichtkomponente.

 
Und was ist mit den daraus resultierenden Folgekosten?

Sehr unangenehm sind natürlich die Begleitkosten im Schadenfall. Dazu zählen beispielsweise die IT-Forensik zur Ursachenforschung, PR-Maßnahmen oder Benachrichtigungskosten, schließlich sieht das BDSG vor, dass im Falle der Datenschutzrechtsverletzung mit besonderen personenbezogenen Daten alle betroffenen Personen informiert werden müssen, die Einrichtung von Hotlines fällt auch darunter. Und: Viele Versicherungen stellen ihren Kunden im Schadensfall einen Krisenstab zur Seite.

Im Fall der Schadsoftware WannaCry wurden viele Unternehmen erpresst. So manch einer hat in Bitcoin gezahlt, um an seine eigenen (nun verschlüsselten) Daten zu kommen. Würde eine Cyber-Crime Versicherung auch eine solche Lösegeld-Forderungen abdecken?

Ja, auch das ist abgedeckt.

Nicht schlecht. Und was kostet die Police gegen Cyberkriminalität?

Die Höhe der Prämie bemisst sich am Unternehmensumsatz und der vereinbarten Deckungssumme. Für eine Jahreshöchstentschädigung von einer Million Euro und bei einem Jahresumsatz von bis zu fünf Millionen Euro können Unternehmen Versicherungen mit einer Prämie von unter 2.000 Euro pro Jahr rechnen..

Müssen Unternehmen dafür bestimmte Sicherheitsstandards erfüllen?

Jeder Versicherer stellt Fragen und sammelt Risikoinformationen. Zum Beispiel darüber, wie ein Unternehmen bei der IT-Sicherheit grundsätzlich aufgestellt ist. Schwerpunkt und Tiefe der Risikoerfassung unterscheiden sich bei den einzelnen Versicherern. Die Hürde ist weniger hoch als viele vermuten. Aber eine Firewall ist Pflicht und ein Notfallplan hilfreich.

Lieber Herr Breubeck, vielen Dank für das informative Gespräch.