Versicherungen, wie wir sie heute kennen, sind seit Mitte des 17. Jahrhundert bekannt. Ihr Ursprung geht auf klassische Feuer- und Transportweg-Versicherungen zurück, wie nach wie vor zum Portfolio vieler Versicherungs-Unternehmen gehören.
Risiken, die eine Einzelpersonen, Gemeinschaft oder ein Unternehmen nicht tragen kann (oder will), übernimmt ein Versicherer. Im Laufe der Jahrhunderte entstanden so viele allgemeine und spezielle Versicherungen, die oft einen "Value Added Service" offerieren (wie die Bereitstellung eines Vermittlers bei einem Entführungsfall).
In den letzten Jahren müssen sich aber Unternehmen auch verstärkt mit IT-Risiken auseinandersetzen. Diese ergeben sich aus der IT-Nutzung selbst (Fehlbedienung, technisches Versagen) oder durch Bedrohung aus dem Cyberspace.
Fällt beispielsweise ein zentrales NAS-Speichersystem aus, führt dies möglicherweise zu einer eingeschränkten E-Mail-Kommunikation oder einer ungenügenden Datenverfügbarkeit (Betriebsunterbrechung). Dazu kommen nun auch Cyberrisiken, wie beispielsweise Datendiebstahl, Denial-of-Service-Attacken oder Seiteneffekte durch Computerviren.
Versicherungsprinzip
Das Geschäft von Versicherungen ist das Risiko. Sie kalkulieren, mit welcher Wahrscheinlichkeit ein Risiko eintritt und welche Schäden dabei entstehen können. Aufgrund des errechneten Risikos ergibt sich eine Prämie, zu welcher der Versicherer bereit ist, das Risiko zu übernehmen und im eintretenden Schadensfall Ersatzleistungen erbringt.
Üblicherweise werden beide Parteien bestrebt sein, zusammenzuarbeiten. Empfiehlt beispielsweise die Versicherung eine technische Nachbesserung, die das Eintrittsrisiko senkt, führt dies in der Regel auch zu einer günstigeren Prämie für den Versicherungsnehmer.
Vorfälle und Versicherungen
In Amerika hat Cyber-Kriminalität eine größere Verbreitung erreicht, als in Europa. Die New York Times berichtet im Februar dieses Jahres über neun erfolgreiche Cyber-Attacken auf Großunternehmen - wie die Warenhauskette Target.
Target wurde Ende 2013 von Datendieben besucht und bestohlen. Deren Beute, die Kreditkartendaten von Kunden. 70 Millionen Datensätze konnten die Diebe erbeuten und richteten damit einen Schaden von 61 Millionen Dollar an. Target hatte eine Cyber-Versicherung abgeschlossen, die vom Schaden 44 Millionen Dollar übernommen haben soll.
Der Hacker-Angriff auf den US-Krankenversicherer Anthem mit nachfolgendem Datendiebstahl war mit einer Cyber-Versicherung abgesichert. Aber Schätzungen gehen davon aus, dass keine 100 Prozent Deckung erreicht wird, da die Schadensansprüche die Deckungssumme von 100 Millionen Dollar überschreiten.
Der US-Mobilfunkriese AT&T musste kürzlich 25 Millionen Dollar in einem Vergleich bezahlen, als Strafe für die Verfehlungen von Mitarbeitern (Verkauf/Weitergabe von Daten an Dritte). Eine Versicherung und die Optimierung des internen Monitorings wären sicherlich preiswerter gewesen.
Leistungsumfang einer Cyber-Versicherung
Cyber-Versicherungen basieren auf einem Standardangebot, welches üblicherweise individuell angepasst wird, da jeder Kunde ein spezifisches Risiko hat. Zu den Bedrohungen, die durch eine Cyber-Versicherung abgedeckt werden zählen zum Beispiel:
Betriebsunterbrechung (beispielsweise als Folge eines Hacker-Angriffs)
Verlust von Datenträgern und Geräten
Erstattung der Kosten für Datenwiederherstellung nach Datendiebstahl
Haftpflichtschutz bei Ansprüchen Dritter (Fremdschaden)
Kostenübernahme der erforderliche Maßnahmen um die Ursachen für den Schaden aufzuklären
Zusätzlich zu einem Basis-Schutz werde aber auch bei einer Cyber-Versicherung Zusatzmodule angeboten, die eine weitreichendere Schadenregulierung erlauben. Einige Versicherungen bieten Module an, die beispielsweise Kosten, die eine Rechtsberatung verursacht abdecken, aber auch Kosten für Öffentlichkeitsarbeit zur Reputationswiederherstellung oder Ausgaben durch behördliche Forderungen bei einem Vorfall.
Worauf achtet eine Versicherung vor Abschluss?
Vereinfacht gesagt, prüft die Versicherung, ob der Kunde in diversen Disziplinen sein Möglichstes getan hat, um Cyber-Bedrohungen entgegenzuwirken. Zu den analysierten Themen zählen beispielsweise:
Geschäftsfeld (Branche, Global tätig, Mitarbeiteranzahl, Umsatz, Öffentliches Image etc.)
Klientel/Kunden des Versicherten ( Privat, Handel, Staat)
IT-Umfeld (Technik und Organisation; Fremdmitarbeiter)
Sicherheitsmaßnahmen (Mitarbeiterschulungen, Security-Konzepte, Security-Verpflichtung für Mitarbeiter etc.)
Qualitätsmerkmale wie Zertifizierungen und anerkannte Audits (Dokumentationen)
Umsetzung von gesetzlichen Vorgaben
Notfall-Planung (Ausweichkapazitäten, Desaster-Recovery-Planung, Ersatzgeräte etc.)
Einen Eindruck, welche Themen eine Erstdatenerfassung betrachtet, vermitteln die Checklisten der Versicherungsunternehmen AXA und Hanover Insurance.
Üblicherweise werden noch Experten der Versicherung oder beauftragte Partner die Daten beim Kunden verifizieren und offene Punkte klären. Dazu führen die Experten Interviews durch, prüfen Konfigurationen, analysieren Daten und führen Schwachstellen-Checks (Pentests) aus.
Auch Cyber-Vorfälle aus der Vergangenheit (Spionage, Datendiebstahl) oder das aktuelle Erscheinungsbild (Kampagnen, Aussagen, Investitionen etc.) können für eine Risikokalkulation in Betracht gezogen werden. All das führt dann beim Versichere dazu, das er ein Maßgeschneiderte Deckung bietet, die dem Kunden eine individuelle Absicherung gegen Cyberrisiken bietet.
Braucht ein Unternehmen eine Cyber-Versicherung?
Cyberrisiken sind auf dem Vormarsch. Dies zeigen die Vorfälle der Jahre 2014 / 2015 und auch die Ergebnisse von Marktforschungsinstituten. Auch das "Allianz Risk Barometer 2015" platziert Cyberkriminalität auf Platz 5 der größten, globalen Geschäftsrisiken.
Foto: Allianz
Man sollte immer daran denken - eine Cyber-Versicherung ersetzt keinen Investitionen in IT Sicherheit - eine Cyber-Versicherung ist eine additive Investition für den möglichen Versicherungsfall um Kosten von Folgeschäden zu minimieren!
Und was macht Otto-Normaluser?
Was für die Unternehmen sinnvoll ist, nützt doch auch dem privaten Anwender - oder? Am Markt sind viele Anbieter mit Offerten vertreten, wie beispielsweise die ARAG mit Ihren Paketen web@aktiv und web@aktivplus, die eine Internet-Rechtsschutzversicherung bieten. Oder auch die InternetschutzPolice der R+V, die vor der gängigsten Online-Kriminalität schützt.
Prinzipiell sind Versicherungen einen sinnvolle Sache, aber wie üblich gilt, man sollte in den Policen lesen, was versichert wird. Manche Risiken werden ggf. durch private Haftpflicht-, Hausrat- oder Rechtsschutz-Versicherungen bereits abgedeckt.
Auch sollte man prüfen, ob nur eigene Schäden reguliert werden, oder auch die Schäden die man selbst bei Dritten verursacht. Denn der versehentliche Versand eines Computervirus per E-Mail, kann zu einer Betriebsunterbrechung beim Empfänger führen.
Preisliche liegen Privat-Cyberversicherungen in der Regel um die 100 Euro Jahresbeitrag. Für einen Familienschutz eine akzeptabel Investition. Für Einzelpersonen kann aber auch der Kauf einer USB-Festplatte, eines Backup-Programms und einer Virenschutz-Suite eine Alternative für den Ernstfall sein.
Checkliste
Prüfen Sie vor Abschluss einer Cyber-Versicherung:
ob die maximale Deckungssumme für Schäden ausreichend kalkuliert ist.
welche Schäden bereits durch bestehende Versicherungen (z.B. Elektronik-Versicherung) bereits abgedeckt sind.
welchen Aufwand/Kosten Sie haben, um die erforderlichen Unterlagen und Daten für die Versicherung zur Kalkulation eines Angebotes bereitzustellen.
wie hoch Ihren Aufwendungen für eine ggf. erforderliche Re-Evaluierung sind und in welchem Zyklus sie anfällt.
ob Sie ggf. bekannte Risiken von der Versicherung ausnehmen sollten, da diese eine geringe Eintrittswahrscheinlichkeit haben und teuer zu versichern sind
ob Eigenschäden abgesichert sind, auch wenn es sich um selbst verursachte Schäden handelt.
bis zu welcher Summe eine Eigenbeteiligung an einem Schaden noch Sinn macht.
mit wem Sie eine Versicherung abschließen, wer als Muttergesellschaft Ihres Anbieters fungiert.
ab wann Ihre Versicherung greift und wie die Regelungen zur Nachhaftung und Rückwärtsdeckung aussehen (Zeitpunkt von Schadenursache und Schadeneintritt).
In welcher Form und Frist sie Schäden oder auch einen Verdacht auf einen Schaden melden müssen um Ihre Ansprüche zu wahren. (sh)