Cyberversicherungen bieten Schutz gegen digitale Risiken

Von Bruno Hohmann: Fast täglich sorgen Cyberattacken auf Unternehmen für Schlagzeilen: „Verschlüsselungstrojaner: Weltkonzern Maersk arbeitete zehn Tage lang analog“, „300.000 Kreditkartendaten gestohlen: Datenpanne bei British Airways“, „Hackerangriff legt RWE-Website lahm“. Mit der zunehmenden Digitalisierung wird jedes Geschäftsmodell angreifbarer. In Deutschland wurden 2017 über 85.000 Fälle von Cybercrime registriert, bilanziert der im September veröffentlichte Lagebericht des BKA. Die Angriffe treffen Unternehmen jeder Größe und jeder Branche: vom internationalen Top-Player bis zum lokalen Handwerksbetrieb.

Der Schaden, der durch Festplattenverschlüsselung, Netzwerkinfiltration, Serverüberlastung oder Sabotage von Innen entsteht, geht in die Milliarden. Laut Branchenverband Bitkom beliefen sich die Schäden durch Betriebsunterbrechungen, Produktionsausfälle, Ertragsausfälle, Wiederherstellungskosten für IT-Infrastrukturen, aber auch durch negative Medienberichterstattung und Vertrauensverlust in den vergangenen zwei Jahren auf über 43 Milliarden Euro. Schnell können die Angriffe bei kleinen und mittelständischen Firmen die Unternehmensexistenz bedrohen.

Finanziellen Schutz gegen die hohen Risiken durch Hackerangriffe und Online- Kriminelle bieten Cyberversicherungen. Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen, so die Bitkom-Studie. Das Beitragsvolumen für Deutschland wird sich 2018 nach Analysen von KPMG sowie nach Einschätzung der VHV Versicherung auf 200 Million Euro belaufen. Tendenz stark steigend!Cyberpolicen sind meist eine Kombination aus einer Haftpflichtversicherung, einer Betriebsausfallversicherung und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden. Vor Vertragsabschluss steht meist eine Basisanalyse, um die Risikosituation des Unternehmens zu bewerten. Dazu setzen die Versicherer Fragebögen ein. Eine neutrale Einschätzung ist zum Beispiel mit dem VdS Quick Check möglich. Die Ergebnisse liefern wichtige Hinweise über die Schwachstellen der firmeneigenen IT und daraus abzuleitende präventive Maßnahmen. Kommt es dennoch zu einer erfolgreichen Attacke, egal ob von Innen- oder Außentätern, haben für das angegriffene Unternehmen vor allem die Erstversorgung und Schadensminimierung oberste Priorität. Immer häufiger stellen die Versicherer ihren Kunden externe Spezialisten als Notfallmanager zur Seite. Sie leisten wichtige Hilfe dabei, die Unternehmensprozesse kontrolliert in den Normalzustand zurückzuführen und den Geschäftsbetrieb wieder aufzunehmen.

Die Gründe für den Abschluss einer Cyberversicherung sind vielschichtig. Einer der wichtigen Abschlussgründe der Kunden ist nach Einschätzung von Branchenexperten die Unterstützung im Schadensfall. Denn für die überschaubaren Versicherungsprämien erhält das Unternehmen für den Krisenfall eine Forensik-/ Support-Hotline, gegebenenfalls sogar mit Unterstützung durch Spezialisten vor Ort. Daneben ersetzt die Versicherung den entstandenen Eigenschaden, sei es durch den Verlust von Geldern, eine Betriebsunterbrechung sowie etwaige Erpressungs- beziehungsweise Lösegelder. Weiterhin ist auch die Absicherung von Haftungsrisiken ein wesentlicher Faktor. Diese drohen, wenn es durch Organisationsverschulden in der IT-Sicherheit, Datenschutz- Verletzungen oder Organverschulden zu Drittschäden kommt.

Da die Cyberzusatzdeckung eine Vielzahl von Risiken deckt, kann es beim Versicherungsnehmer zu Überschneidungen mit anderen Versicherungsverträgen kommen, etwa mit der Vermögensschadenhaftpflichtversicherung, einer Vertrauensschadenversicherung oder Sachversicherungen. Nachteil der Mehrfachversicherung desselben Risikos ist die doppelte Prämienzahlung für das Unternehmen und mögliche Unklarheiten im Versicherungsfall darüber, welche Versicherung Vorrang hat.

In dem noch jungen, aber boomenden Markt der Cyberversicherungen treten mit jedem Jahr neue Anbieter ein. Die Cybertarife sind dadurch vielfältig geworden, einheitliche Standards zu Versicherungsbedingungen und Leistungsumfang fehlten aber. Daher hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erstmals 2017 eine Musterbedingung sowie Risikofragen entwickelt. Die unverbindliche Musterbedingung richtet sich primär an kleine und mittelständische Unternehmen mit bis zu 250 Mitarbeitern und einem jährlichen Umsatz von bis zu 50 Millionen Euro. Für Orientierung zwischen den vielen Policen, die es im Komplettpaket oder im Baukastenprinzip gibt, sorgt seit diesem Jahr ein Rating für gewerbliche Cyberpolicen im deutschen Markt der Agentur Franke Bornberg. Die Übersicht aus dem Oktober 2018 formuliert klare Anforderungen an Cyberversicherungen und vergleicht 34 Policen von 28 Anbietern am deutschen Markt.

Dass der Versicherungsschutz gegen Cyberkriminalität in den kommenden Jahren stärker nachgefragt werden wird, daran lassen die Macher des Ratings keine Zweifel. Cyberpolicen werden nicht länger die Ausnahme, sondern die Regel sein. Versicherungsunternehmen, die von diesem Wachstumsmarkt profitieren wollen, müssen sich jetzt richtig aufstellen. Neben der ausstehenden Standardisierung bei den Versicherungsbedingungen und im Leistungsumfang gilt es auch für das Schadensmanagement, Konzepte und standardisierte Lösungen zu entwickeln, wie es in anderen Versicherungsbereichen schon üblich ist.

Die Branche steht dabei vor der Herausforderung, dass Cyberschäden meist sehr vielschichtig sind und sich in immer neuen Formen zeigen. Ihre Bearbeitung – vom Krisenmanagement über die Schadensfeststellung bis zur Forensik, Kommunikation und Wiederherstellung und Reparatur der IT-Systeme inklusive zukünftiger Prävention – erfordert daher eine große Expertise und Professionalität. Diese lässt sich aus den Erfahrungen mit anderen Versicherungsbereichen wie Sach- und Gebäudeschäden am besten über ein großes Netzwerk an spezialisierten Partnern und Dienstleistern abbilden. In diesen Kooperationen liegt das Potenzial für standardisierte, effiziente und schnelle Schadensbearbeitung angesichts der immer vielfältigeren Cyberrisiken.

Bruno Hohmann, Geschäftsführer der EXCON Insurance Services GmbH, www.excon.com