Ratgeber Versicherungen und Finanzen

Das Internetunternehmen Yahoo war genauso davon betroffen wie die Telekom und der deutsche Bundestag: Hacker nutzen die IT-Schwachstellen von Firmen und Behörden, um sich Zugang zu geheimen Informationen oder Passwörtern zu verschaffen. Die hierdurch entstandenen Schäden können nur geschätzt werden. Fachleute gehen für Deutschland von einem höheren zweistelligen Milliardenbetrag aus – Jahr für Jahr.

Vor allem kleine und mittlere Betriebe sind oft nicht genug gegen Cracker, Hacker und Datendiebstahl gewappnet: Vielen fehlt das Geld, die Zeit oder das Fachwissen, um sich ausreichend abzusichern. Unsere Einschätzung: Alle drei Gründe sind Ausreden und dürfen nicht gelten. Elektronische Angriffe auf die Kundendaten, Geschäftsgeheimnisse und Infrastruktur bedrohen die Existenz der Firma. Für das Überleben können Geld, Zeit und Wissen niemals "zu teuer" sein.

Das Problem: Selbst eine gute Absicherung lässt sich überwinden. Für diesen Fall benötigen Firmen eine zweite Sicherung, die sie zwar nicht vor dem Eindringling, aber vor seinen Folgen schützt, zum Beispiel Schadensersatzforderungen, behördlichen Strafen wegen Verstoßes gegen die Datenschutzbestimmungen (DSGVO) oder Umsatzausfall, weil die Server wegen einer DoS-Attacke außer Betrieb sind. Die richtige Versicherung für solche Fälle ist die Cyberversicherung.

Nicht am falschen Ende sparen: Cyberversicherungen sind im Kommen

In den USA scheint das Bewusstsein für die Gefährlichkeit eines kriminellen Eindringens in das Firmen-Netzwerk stärker ausgeprägt zu sein als in Deutschland: Dort lassen sich Unternehmen die Cyberrisiken-Policen Jahr für Jahr etwa zwei Milliarden Dollar (= rd. 1,87 Milliarden Euro) kosten, während hier lediglich 20 Millionen Euro für diesen Schutz ausgegeben werden. Nur 6 % der deutschen Firmen haben sich entsprechend abgesichert (Stand: 2013; Quelle: Hiscox eDNA-Studie). Die Schwachstellen in der IT-Sicherheit lauern aber nicht nur in den IT-Systemen, sondern in organisatorischen Mängeln oder dem „Faktor Mensch“, der z. B. dafür verantwortlich ist, unbedarft E-Mails mit Schadanhängen zu öffnen. Doch bei aller Vor- und Umsicht ist eines klar: Einen 100 %-igen Schutz gegen kriminelle Angriffe wird es nicht geben. Aber einen finanziellen.

Das bieten Cyber-Versicherungen

Seit einigen Jahren bieten mehrere Versicherungsunternehmen spezielle Policen an, die die wichtigsten Risiken für IT-Systeme abdecken:

  • Missbrauch durch Mitarbeiter,
  • Hacking,
  • physische Angriffe einschließlich des Verlusts von Speichermedien,
  • Malware,
  • soziale Angriffe (Social Engineering / Social Hacking) wie z. B. Phishing-Mails oder das Benutzen von fremden USB-Sticks an firmeneigenen Computern,
  • Fehlfunktionen.

Die Versicherer übernehmen im Schadensfall die Kosten, die im Zusammenhang mit Hackerangriffen (z. B. Betriebsunterbrechungen) und der Verletzung von Datenschutzrechten Dritter entstehen. Sie stellen außerdem externe Spezialisten bereit, die dem geschädigten Unternehmen beim Krisenmanagement und der Wiederherstellung der verloren gegangenen oder beschädigten Daten helfen. Gegen Aufpreis können Firmen auch Zusatzmodule abschließen, die die Anwaltskosten für eine Rechtsberatung, Forderungen von Behörden oder auch Kosten, die nötig sind, um mithilfe von Öffentlichkeitsarbeit den Ruf eines Unternehmens wiederherzustellen, übernehmen.

In der Regel werden Schäden nicht gezahlt, wenn sie vorsätzlich herbeigeführt werden. Die Versicherer gehen hiermit jedoch unterschiedlich um: Manche beziehen dieses Ausschlusskriterium nur auf Führungskräfte, andere auf alle Firmenangehörigen.

Auch Schäden, die durch einen Stromausfall, Verschleiß oder Programmierfehler ausgelöst werden, sind im Leistungsspektrum von Cyber-Versicherungen nicht enthalten.

Was kostet eine Cyber-Versicherung?

Die Beitragshöhe hängt wie bei jeder anderen Versicherung vom Risiko ab, das mit ihr abgedeckt werden soll. Das kann nur firmenspezifisch eingeschätzt werden, wobei die Versicherer sich u. a. an diesen Kriterien orientieren:

  • die wichtigsten Firmenmerkmale wie z. B. die Branche, die Umsatzhöhe oder die Zahl der Mitarbeiter,
  • die typischen Kunden der Firma (Behörden, Privatkunden, andere Unternehmen),
  • die durchgeführten IT-Sicherheitsvorkehrungen (IT-Sicherheitskonzepte, Mitarbeiterschulungen etc.),
  • formale Qualitätsmerkmale (z. B. Zertifikate),
  • Planungen für Notfälle wie beispielsweise Ersatzgeräte oder Ausweichmöglichkeiten,
  • Grad der Umsetzung von rechtlichen Vorgaben,
  • bereits zurückliegende Vorfälle.

Diese Aufzählung ist nicht abschließend, sondern variiert zwischen den Versicherern und Unternehmen.

Die Assekuranzen bieten die Cyber-Versicherungen in der Regel modular an. Da jedoch auch diese einzelnen Bausteine nicht identisch aufgebaut sind, sind die Angebote nur schwer miteinander vergleichbar. Daher kann Firmen, die den Abschluss einer Cyber-Versicherung planen nur geraten werden, den Umfang des aktuellen Versicherungsschutzes zu überprüfen, um Überschneidungen zu vermeiden. Ein besonderes Augenmerk sollte außerdem auf die Ausschlüsse gelegt werden, damit die Police zu einem echten Schutz und nicht zu einer Kostenfalle wird.

 

© 2024 vv360.de - Unabhängiger Ratgeber für Versicherungen, Geldanlagen und Kredite