Cyber-Kriminalität: Wann zahlt die Versicherung?

Im Ernstfall

Hat sich ein Unternehmen gegen Cyber-Risiken versichert, ergibt sich im Ernstfall das im Folgenden dargestellte Szenario.

Ausgangslage: Ein kleiner IT-Dienstleister dient einer Hacker-Gruppe als Einfallstor in die Datenbank eines mittelständischen Unternehmens. Wie schon beim Angriff auf die Washington Post via Outbrain überwinden die Angreifer das schwach gesicherte System des Dienstleisters und verschaffen sich Kontrolle über die offene Schnittstelle zum Unternehmen. Den Tätern gelingt es, eine große Anzahl sensibler Kundendaten abzuschöpfen.

Das weitere Vorgehen:

• Der Versicherer wird über den Schaden informiert. Über eine eingerichtete Notfall-Hotline fordert das Unternehmen zusätzlich ein Expertenteam für die Unterstützung bei der Krisenbewältigung an. Der Versicherer verständigt seine Kooperationspartner für IT-Sicherheit.

• Der beauftragte IT-Sicherheitsdienstleister beginnt unverzüglich mit der Schadensbegrenzung und Sicherstellung von Beweisen. Es wird ein IT-forensisches Gutachten angefertigt.

• Experten für Krisenmanagement und -kommunikation unterstützen das betroffene Unternehmen bei der Krisenbewältigung und Öffentlichkeitsarbeit, um die hohe mediale Aufmerksamkeit zu bewältigen und einem drohenden Imageschaden entgegenzuwirken.

• Spezialisierte Anwälte beraten das Unternehmen bezüglich der Umsetzung der gesetzlichen Informationspflicht und stützen sich dabei auf die Ergebnisse der IT-Forensiker.

Alle bisherigen Aufwendungen sowie die Kosten für die Information der Dateninhaber und Ansprüche Dritter trägt der Versicherer.

Und danach?

Auf Wunsch der Geschäftsleitung vermittelt der Versicherer einen professionellen Dienstleister zur nachhaltigen Optimierung des IT-Sicherheitssystems. Der Versicherer subventioniert das Anliegen des Kunden und beauftragt eine externe Firma, eine umfassende Sicherheitsprüfung vorzunehmen. (sh/hal)