Cyberversicherung deckt IT-Risiken im Unternehmen

Schäden in der Business-IT, die durch Missbrauch, Manipulation oder Zerstörung von IT-Systemen entstehen, lassen sich durch herkömmliche Betriebsversicherungen nur unzureichend abdecken. Cyberversicherungen schließen diese Lücke.

Die Absicherung betrieblicher Risiken gehört für Unternehmen zur Routine. Ob Sachschäden, Haftung gegenüber Dritten, Vermögensverlust, Betriebsunterbrechung oder das Fehlverhalten von Managern – für alles gibt es eine Police.

Die bisherigen Modelle stammen allerdings aus einer analogen Zeit, die Gefahren der digitalen Welt decken sie nur unzureichend ab: „Die traditionellen Betriebsversicherungen greifen hier zu kurz“, sagt Sabine Pawig-Sander, geschäftsführende Gesellschafterin und Mitgründerin des Maklerbüros Erichsen, „sie bieten keinen oder nur unzureichenden Schutz für die neuen und sehr konkreten Daten- und Cyberrisiken.“ So zahle zum Beispiel die Betriebsunterbrechungsversicherung nicht, wenn die Produktionsbänder aufgrund eines Hacker-Angriffs stillstehen. „Es fehlt schlicht am Eintritt eines Sachschadens.“

Dem veränderten Absicherungsbedarf tragen die Cyberversicherungen Rechnung, die seit etwa fünf Jahren auf dem Markt angeboten werten. „Erstmals wird hier explizit das Risiko versichert, das sich aus der Verletzung der Informationssicherheit ergibt“, erklärt Peter Graß, Leiter Haftpflicht- und Kreditversicherung beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV).

Derzeit bieten erst eine Handvoll Versicherungen ausdrücklich solche Policen an (siehe Tabelle auf der letzten Seite dieses Beitrags). Sie decken in der Regel Schäden ab, die durch Viren und Trojaner, Datenverlust und -diebstahl, Denial-of-Service-Attacken oder Erpressersoftware (Ransomware) entstehen.

„Cyberpolicen bieten marktweit erstmals eine Kombination aus der Versicherung von Vermögenseigenschäden (…) mit einer Art Haftungsversicherung für Ansprüche Dritter wegen dort entstandener Vermögensschäden. Das ist zumindest in dieser Konstellation völlig neu“, sagt Holger Tittko, Referent beim Deutschen Versicherungs-Schutzverband DVS.

Auch die Definition von sogenannten Vertrauensschäden wird in den Cyberpolicen weiter gefasst als in herkömmlichen Vertrauensschadensversicherungen, die ausschließlich Schäden durch kriminelle Handlungen von Vertrauenspersonen abdecken.

„Bei der Cyberversicherung reicht es aus, eine Informa­tionssicherheitsverletzung und ihre wirtschaftlichen Folgen festzustellen beziehungsweise nachzuweisen. Ob es sich um Vertrauenspersonen handelt oder nicht, ist dabei nicht maßgeblich“, sagt Frank Schwandt, Gesellschafter und Geschäftsführer von acant Service, einem Maklerbüro, das sich auf Cyberversicherungen und Managerhaftplicht spezialisiert hat.

Cyberversicherungen gehen noch einen Schritt weiter. Sie decken nicht nur direkte Schäden ab, sondern auch Kosten, die ursächlich auf den Cybervorfall zurückzuführen sind. Das sind zum Beispiel Kosten für die Ursachenfeststellung, Wiederherstellungskosten bei Datenverlust oder Kosten für die Wiederinbetriebnahme der IT-Infrastruktur und die Verfügbarkeit der Systeme.

Auch Aufwendungen für Forensiker, gesetzlich oder regulatorisch vorgeschriebene Benachrichtigungen, Verhandlungen mit Behörden, das Krisenmanagement oder die Krisen-PR würden von den Cyberversicherungen übernommen, erklärt Natalie Kress, Cyber Practice Manager Germany & Austria bei der ACE Group.

Oft ergänzen Dienstleistungspakete die Policen. So bietet etwa die Württembergische Versicherung Hilfe bei der Ursachenforschung. „Unser zentraler Baustein ist die Unterstützung durch qualifizierte IT-Forensiker, die über eine Service-Hotline schnell Ersthilfe bieten und die weitere Schadenabwicklung auch vor Ort begleiten können“, sagt Gert Baumeister, Leiter Firmenkunden – Technische Versicherungen bei der Württembergischen Versicherung.

Neben IT-Spezialisten lassen sich zum Teil auch die Services von Kommunikationsexperten gleich mitbuchen. Sie kennen sich mit Krisen-PR aus und können so die Reputationsschäden begrenzen, die häufig entstehen, wenn Unternehmen durch den Verlust von Kundendaten in die Schlagzeilen geraten.

Welche Bausteine und Optionen ein Unternehmen tatsächlich braucht, lässt sich nicht pauschal beantworten. Für ein Telekommunikationsunternehmen dürften Kostenbausteine für Public Relations eine wichtige Rolle spielen, um nicht durch einen Schadensfall einen erheblichen Vertrauensverlust bei den Kunden zu riskieren. Für kleinere Dienstleister und IT-Unternehmen können hingegen Kostenpositionen für die Wiederherstellung von Daten einen höheren Stellenwert einnehmen.

Als Eckpfeiler bei der Schadensfeststellung und der Schließung von Datenlecks ist zudem zu überlegen, wie sinnvoll Forensik-Dienstleistungen sind.

Der weltweite Markt für Cyberversicherungen boomt. Nach Angaben von Inga Beale, CEO des britischen Versicherungsunternehmens Lloyd’s, betrug der Gesamtumsatz mit Cyberpolicen im vergangenen Jahr 2,5 Milliarden Dollar, zwei Jahre zuvor waren es noch weniger als eine Milliarde. Hauptgrund sei das enorme Schadenspotenzial, so Beale weiter.

Unternehmen verlieren demnach durch direkte Schäden und die Folgekosten von Cyberattacken pro Jahr 400 Milliarden Dollar. Jährlich geben sie im Durchschnitt 7,7 Millionen Euro für die Bekämpfung von Angriffen und die Eindämmung der Folgeschäden aus, wie die Studie „2015 Cost of Cyber Crime“ des Ponemon-Instituts ergab.

Dabei sind in den USA nicht nur die Schadenssummen mit durchschnittlich mehr als 15 Millionen Dollar pro Jahr am höchsten, auch die Nachfrage nach Cyberpolicen kommt hauptsächlich von dort.

Hierzulande ist das Interesse noch sehr verhalten. Laut dem „DNA of an Entrepreneur Report 2015“ des Versicherers Hiscox haben gerade einmal 8 Prozent der Unternehmen eine Cyberversicherung. Vor allem der Mittelstand habe sich mit dem Thema IT-Sicherheit noch nicht sehr stark beschäftigt.

Eine erste Orientierung, welches Risiko besteht und wie sinnvoll und notwendig eine Cyberversicherung ist, können Online-Fragebögen zur Selbsteinschätzung geben, wie sie das Maklerbüro Marsh mit dem Cyber-Risikotest anbietet.

Die Beantwortung von 31 Fragen soll bei der Einschätzung helfen, welche Folgen ein Cyberschadensfall im Unternehmen haben könnte und welche finanziellen Schäden sich durch eine Cyberversicherung abdecken ließen. Der Ausfüllende erhält auch Rückmeldung darüber, wie es um das Risikobewusstsein im Unternehmen und die Exposition für Cyberrisiken bestellt ist.

Eine ähnliche Intention verfolgt der Risiko-Check IT von AXA, der allerdings stark auf die hauseigene Cyberversicherung ByteProtect zugeschnitten ist. Der Check steht  auf der Webseite des Anbieters zum kostenlosen Download zur Verfügung.

Einheitliche Standards für Cyberversicherungen gibt es derzeit nicht. Während sich einige Versicherungsunternehmen auf bestimmte Branchen oder Betriebsgrößen spezialisiert haben, halten andere für praktisch jedes Unternehmen eine Versicherung bereit.

ACE Group: Die ACE Group bietet ihre Cyberversicherung DataProtect Plus einer breiten Zielgruppe an. „Vom Mittelständler bis zum Großkonzern, von Online-Shops über produzierende Unternehmen bis hin zur Industrie versichern wir die unterschiedlichsten Unternehmen“, sagt Natalie Kress, Cyber Practice Manager bei der ACE Group. Für jedes zu versichernde Unternehmen werde eine individuelle Risikoanalyse und -bewertung vorgenommen. Auf Basis dieser Befragung werde dann das Sicherheitslevel des Kunden festgestellt.

Neben der Größe eines Unternehmens und der Branche, in der es tätig ist, hat auch die Qualität der IT-Sicherheit Einfluss auf die Prämienhöhe.

Die Höhe der Deckungssumme richtet sich nach der Unternehmensgröße gemessen am Umsatz, aber auch dem Datenbestand, sagt Kress: „Ein Unternehmen, das Millionen Kundendaten speichert, hat im Schadensfall unter Umständen höhere Kosten als ein Unternehmen, dessen Kundendatenbank unter 10.000 Kunden umfasst.“ Im deutschen Mittelstand bewegen sich die Deckungssummen im Bereich zwischen 1 Million und 15 Millionen Euro.

Allianz: Allianz Global Corporate & Specialty (AGCS) versichert mit der Allianz Cyber Protect Unternehmen ab 100 Millionen Euro Umsatz gegen Cyberschäden. Dazu zählen Produktionsunternehmen ebenso wie Dienstleister aus den unterschiedlichsten Branchen.

Die Allianz prüft vor Abschluss das IT-Sicherheitsniveau im Unternehmen anhand folgender Fragen: Sind Software und Hardware auf dem neuesten Stand? Entsprechen die Prozesse dem Risiko? Gibt es beispielsweise Identity-and-Access-Management-Tools? Sind Awareness-Trainings im Unternehmen fester Bestandteil des Risikomanagements? Wo ist das Thema IT-/Informationssicherheit organisatorisch angesiedelt? Je weiter oben in der Hierarchie, desto besser. Die Prämie richtet sich nach der Höhe der Deckungssumme und des Selbstbehalts sowie nach dem Risikoprofil eines Unternehmens. Sie liegt in der Regel im fünf- bis siebenstelligen Bereich. Versicherte Deckungssummen beginnen üblicherweise bei 5 Millionen Euro. Die maximal versicherbare Summe beträgt 100 Millionen Euro.

AXA: Mit der Cyberversicherung Byte Protect versichert AXA nahezu alle Unternehmen. Ausnahmen bilden aufgrund des erhöhten Risikos Wettbüros sowie Online-Spiele- und Erotikanbieter. Neben den gewählten Bausteinen, Versicherungssummen und Selbstbeteiligungen richtet sich die Prämienhöhe, die etwa bei 1000 Euro pro Jahr beginnt, vor allem nach dem möglichen Maximalschaden, den ein Unternehmen erleiden kann.

Versichert werden reine Vermögensschäden aufgrund eines Vorfalls in der IT, sowohl Eigenschäden als auch daraus folgende Haftpflichtschäden. Nicht versichert werden Sach- und Personenschäden, die bei Hacker-Angriffen vorkommen können.

DUAL: Auch die DUAL AVB Cyber Defence steht allen Unternehmen offen, außer sie befassen sich mit Erwachsenenunterhaltung oder virtuellen Währungen wie Bitcoins. „Alle anderen Unternehmen sind bei uns grundsätzlich versicherbar“, sagt Underwriter Johannes Beckers. Entscheidend für die Versicherbarkeit ist laut Beckers das Risikobewusstsein beim Kunden.

Die Höhe der Prämie richtet sich unter anderem danach, aus welcher Branche das zu versichernde Unternehmen kommt. Auch die Frage, ob das Cyberrisiko eher im Segment der Betriebsunterbrechung oder in dem der Datenschutzverletzungen zu finden ist, spielt laut Beckers eine Rolle. Einen gewissen Prämienspielraum bieten auch die Selbstbehalte. „Wir starten hier mit Selbstbehalten von mindestens 1000 Euro.“

HDI Global SE: Die Versicherungslösung Cyber+ wurde speziell für die produzierende Industrie wie Maschinenbauer oder Kfz-Zulieferer entwickelt. Als typische Cyberversicherung deckt Cyber+ sowohl Eigen- als auch Drittschäden ab, trägt aber auch der persönlichen Verantwortung von Unternehmensleitern für die IT-Sicherheit Rechnung. Cloud-Anbieter gehören zwar nicht zur Zielgruppe, Haftpflichtansprüche aus ausgegliederter Datenverarbeitung sind im Rahmen von Cyberpolicen aber versicherbar.

Zu den wichtigsten Kriterien bei der Prämienfestsetzung gehören die Branche, in der das Unternehmen tätig ist, seine Größe gemessen am Umsatzvolumen und die Qualität seiner IT- und Informationssicherheit. Ein mittelständisches produzierendes Unternehmen mit angemessenem Sicherheitsniveau muss bei einer Deckungssumme von beispielsweise 5 Millionen Euro mit einem Beitrag in niedriger fünfstelliger Höhe rechnen.

Hiscox: Der Versicherer legt mit seiner Cyber Versicherung den Schwerpunkt auf den Mittelstand. Vor allem E-Commerce-Anbieter, Technologieunternehmen, Händler und Beherbergungsbetriebe bedürften eines Schutzes, sagt Ole Sieverding, Product Head Cyber & Data Risks bei Hiscox: Elemente wie IT-Forensik und die Kosten für behördliche Informationspflichten seien in der Cyber Versicherung enthalten. „Spezielle Risiken wie Vertragsstrafen aus der Verletzung von Geheimhaltungspflichten lassen sich individuell in den Vertrag einschließen“, erklärt Sieverding.

Sicherheitssensibilität, eine gut aufgestellte IT und angemessene Sicherheitsrichtlinien sowie Überlegungen zum Notfall- und Krisenmanagement spielen bei der Prämienbestimmung eine Rolle. Neben diesen Faktoren richtet sich die Höhe der Versicherungsbeiträge nach der gewünschten Versicherungssumme und dem Umsatz des Unternehmens. Für kleine Unternehmen gibt es eine Deckung ab 499 Euro netto pro Jahr, eine Versicherungssumme von 1 Million Euro für ein Unternehmen bis 5 Millionen Euro Umsatz kostet beispielsweise jährlich 1650 Euro netto.

Württembergische: Die Cyber-Police der Württembergischen Versicherung ist vor allem auf kleine und mittelständische Betriebe bis 10 Millionen Euro Jahresumsatz ausgerichtet. „Eine hohe Anzahl an Anfragen deutet auf das steigende Risikobewusstsein auch bei dieser Zielgruppe“, sagt Gert Baumeister, Leiter Firmenkunden – Technische Versicherungen.

Der Versicherungsschutz deckt sowohl Ansprüche Dritter als auch Eigenschäden einschließlich Ertragsausfall- und Mehrkostendeckung ab. „Wesentliches Element unserer Deckung ist die Bereitstellung von forensischen Dienstleistungen“, erklärt Baumeister. Diese unterstützen den Kunden von Beginn an bei der Aufklärung und Abwicklung seines Cybervorfalls.

Ebenso mitversichert sind Geld- und Warenverluste infolge einer elektronischen Manipulation. Für Kunden, die eine Zahlung mit Kredit- oder Bankkarten zulassen, ist auch Versicherungsschutz für mögliche Forderungen der Payment Card Industry enthalten. Abgerundet wird der Schutz durch ein Kostenpaket, das neben den Aufwendungen für die Krisenkommunikation auch solche für Mediation, Reputationssicherung, Information und Benachrichtigung sowie das Kreditkarten-Monitoring umfasst.

Maklerbüros bieten eine vertiefte Beratung, wenn es um die Absicherung von IT-Risiken geht. Beispiele sind die acant service GmbH, die Aktiv Assekurenz Makler GmbH, die Erichsen GmbH , Bonleitner Finanz & Versicherungsmakler und die Marsh GmbH.

Zu den Leistungen gehören zum Beispiel die Ermittlung des Versicherungsbedarfs, die Ausschreibung und Auswertung der Angebote und die Klärung von Rückfragen. Auch eine regelmäßige Überprüfung von Preis und Inhalt der Deckung und eine Anpassung des Versicherungsschutzes an veränderte Risiko- oder Marktverhältnisse sowie eine Begleitung im Schadensfall sind typische Leistungen eines Maklerbüros.

Eine funktionierende IT-Infrastruktur ist für praktisch jedes Unternehmen ab einer bestimmten Größe geschäftskritisch. Steht das Kommunikationsnetz oder die Produktion still, werden Kunden- oder Entwicklungsdaten gestohlen oder von Ransomware verschlüsselt, entstehen schnell existenzbedrohende Schäden in Millionenhöhe.

Eine Cyberversicherung gehört deshalb zu den entscheidenden Maßnahmen einer betrieblichen Risikominimierung. Die Produkte ähneln sich in ihrem Basisschutz, weisen aber erhebliche Unterschiede in den optionalen Bestandteilen und den Versicherungsbedingungen auf. Je nach Versicherer, Leistungsumfang und Risiko können die Prämien schnell fünf- bis sechsstellige Beträge erreichen.

Man muss also scharf rechnen und genau hinschauen, um die geeignete Police zu finden.

---