Präventiv aktiv

Hackerangriffe und Datenverluste stellen für Unternehmen ein großes Risiko dar. Das sehen laut einer aktuellen KPMG-Studie („e-Crime“ 2013) auch 80 Prozent der befragten Unter-nehmen so. Umso erstaunlicher ist jedoch, dass weniger als ein Drittel dieser Unternehmen ihr eigenes Risiko als hoch bis sehr hoch einschätzen.

Eine Einschätzung, die fatale Folgen haben kann. Unternehmen wie Sony, Unister, Egmont Ehapa Verlag oder jüngst Thyssen Krupp, EADS, Süddeutsche.de und Facebook wurden bereits Opfer von Datenverlusten oder Hackerangriffen. Dabei darf davon ausgegangen werden, dass die IT-Sicherheit all dieser Unternehmen auf dem neuesten Stand der Technik war.

Dies sind jedoch nur einige wenige Beispiele von Unternehmen, die Erfahrungen mit Cyber-Risiken gemacht haben. Die Dunkelziffer ist sehr hoch, denn die meisten Firmen geben nicht gerne zu, dass sie schon Probleme mit Datenverlusten oder Hackerangriffen hatten. Laut einer repräsentativen Umfrage des Branchenverbandes Bitkom sind 40 Prozent der Unternehmen bereits Opfer eines Hackerangriffes geworden.

Diese Zahlen offenbaren ein Problem: Firmen sehen die steigenden Risiken, unternehmen jedoch zu wenig, um die eigenen Daten zu schützen. Tritt dann eines der oben beschriebenen Szenarien ein, sind gerade kleine und mittelständische Unternehmen oft überfordert. Die eigenen Kosten in solch einer Krise können in die Millionen Euro gehen. Für ein effektives Risikomanagement sollten Unternehmen deshalb über eine Versicherungslösung nachdenken.

Cyber-Versicherungen bieten Versicherungsschutz bei Verlust von personenbezogenen, vertraulichen Daten, die ein Unternehmen verwaltet, speichert, verarbeitet oder übermittelt. Krisenmanagementkosten, ein gegebenenfalls entstandener Betriebsunterbrechungsschaden und sogar Zahlungen an Erpresser werden im Versicherungsfall erstattet.

Zum einen bieten die Produkte Versicherungsschutz gegen Ansprüche Dritter. Begeht ein Unternehmen Datenschutzrechtverletzungen, kann man sich Ansprüchen der Kunden oder Mitarbeiter ausgesetzt sehen. Sind diese Ansprüche berechtigt, werden sie vom Versicherer befriedigt.

Verliert ein Unternehmen sensible Daten, benötigt es Hilfe von IT-Forensikern, die die Ursache und den Umfang des Datenverlustes ermitteln. Außerdem müssen die betroffenen Personen über den Verlust ihrer Daten informiert und behördliche Meldewege eingehalten werden. Drohende Bußgelder fallen deutlich milder aus oder werden gar nicht erst verhängt, wenn sich das betroffene Unternehmen nach einer Datenschutzrechtsverletzung kooperativ und pflichtgemäß verhält und alles daran setzt, den Schaden so gering wie möglich zu halten. Um einen Reputationsverlust zu vermeiden oder zumindest einzuschränken, sollten außerdem PR-Berater eingeschaltet werden. Die Kosten für dieses Krisenmanagement übernimmt ebenfalls der Versicherer.

Hacker gehen mit fremden Daten nicht gerade zimperlich um. Bei einem Angriff werden Daten oft verändert, beschädigt, gelöscht oder zerstört. Die entsprechenden Wiederherstellungskosten werden im Rahmen des Versicherungsschutzes erstattet.

Nicht selten werden Unternehmen außerdem von Hackern erpresst. Das geforderte Erpressergeld ist ebenso Bestandteil der Deckung. Schließlich kann ein großer finanzieller Schaden auch dann entstehen, wenn das System durch eine Hackerattacke außer Funktion gesetzt wird. Auch der dadurch entstehende Betriebsunterbrechungsschaden kann versichert werden.

Allein die Übernahme der zuvor genannten Kosten wäre schon ein Grund für Unternehmen, den Abschluss einer Cyber-Versicherung in Erwägung zu ziehen. Das Besondere an diesem Produkt ist allerdings, dass die Versicherer fast immer auch die entsprechenden Dienstleister wie Rechtsanwälte, IT-Forensiker oder PR-Berater zur Verfügung stellen. So wird gewährleistet, dass einem Unternehmen im Schadenfall sofort Experten zur Seite stehen. Einige Risikoträger erstatten zudem teilweise die Kosten für eine präventive Krisenberatung.

Versicherungslösungen für Cyber-Risiken sind nicht neu. In den USA gibt es sie schon seit einigen Jahren. Strenge behördliche Meldepflichten und spektakuläre Hackerangriffe auf Banken oder Unternehmen wie Sony führten dazu, dass schon jetzt etwa 14 Prozent aller Unternehmen eine Cyber-Versicherung unterhalten, Tendenz steigend. In manchen Branchen liegt die Abschlussquote sogar bei 75 Prozent oder höher.

Trotz steigender Vorfälle in Deutschland reagiert der heimische Markt noch sehr verhalten auf die Risiken und deren Versicherungsschutz. Deutsche Versicherer zögern noch, eigene Produkte auf den Markt zu bringen. Vor allem US-amerikanische Versicherer nutzen deshalb die Chance, sich auf dem deutschen Markt mit ihren Produkten zu etablieren und ihre in den USA gewonnene Expertise auszuspielen.

Allerdings ist davon auszugehen, dass sich der europäische Markt in den nächsten Jahren stark wandeln wird. Mit der EU-Datenschutzgrundverordnung, die in absehbarer Zeit in Kraft treten wird, sollen Unternehmen strengere Pflichten auferlegt werden. So sieht der Entwurf beispielsweise eine Meldepflicht bei jeglicher Verletzung des Schutzes personenbezogener Daten vor. Die entsprechende Meldung soll nach Möglichkeit 24 Stunden nach Feststellung der Verletzung erfolgen.

Bislang galt gemäß § 42a Bundesdatenschutzgesetz (BDSG) eine Meldepflicht nur im Zusammenhang mit in der Norm näher definierten, personenbezogenen Daten. Bei Verstoß gegen die Verordnung drohen darüber hinaus nun deutlich höhere Bußgelder. Nach § 43 Absatz 2 BDSG ist bisher eine maximales Bußgeld in Höhe von 300.000 Euro vorgesehen. In Ausnahmefällen kann dieser Betrag überschritten werden. Die EU-Grundverordnung setzt als Höchstgrenze nunmehr ein Bußgeld bis zu einer Million Euro oder im Fall eines Unternehmens bis zu zwei Prozent des weltweiten Jahresumsatzes an.

Spätestens mit Einführung der Verordnung werden Unternehmen also gezwungen, sich mit dem Thema näher auseinanderzusetzen.