Rettungsanker Versicherung

Um die teils enormen Kosten einer digitalen Attacke abzufedern, gibt es Spezialversicherungen: „Eine Cyber-Versicherung hilft, wenn Unternehmen Opfer von Cyberkriminellen werden oder aus einem anderen Grund Daten verlieren“, erklärt Anja Käfer-Rohrbach. „Die Cyber-Versicherung deckt die Kosten für die Wiederherstellung der betroffenen Daten und Systeme, zahlt eine Entschädigung für die Zeit, in der das Unternehmen lahmgelegt ist, und übernimmt Schadenersatzforderungen Dritter“, führt die stellvertretende Hauptgeschäftsführerin des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) weiter aus. Darüber hinaus stehe eine solche Versicherung den Kunden im Ernstfall mit einem umfangreichen Service-Angebot zur Seite: Nach einem erfolgreichen Angriff schicke die Versicherung Experten für IT-Forensik und vermittele spezialisierte Anwälte und Krisenkommunikatoren. „So hilft sie, den Schaden für das betroffene Unternehmen so gering wie möglich zu halten.“

Cyber-Versicherungen greifen also dann, wenn Schäden durch Cyberkriminalität entstehen. Dabei kann es sich zum Beispiel um gezielte Hackerangriffe handeln oder um DDoS-Attacken. Und auch eines der größten Einfallstore ist abgesichert: das E-Mail-Postfach. Immer ausgefeiltere Methoden bringen Menschen in Unternehmen dazu, Passwörter herauszugeben oder Schad-Software herunterzuladen. Auch die Folgen solcher Angriffe sind laut Anja Käfer-Rohrbach versichert – ebenso wie fahrlässiges Verhalten oder Bedienfehler von Mitarbeitern.

Abgedeckt sind laut Hanno Pingsmann aber nicht nur eigene Schäden, sondern auch Datenschutzverletzungen infolge eines Hackerangriffs und die damit verbundenen Haftungsrisiken. Pingsmann ist Geschäftsführer von Cyber-­Direkt – einem Vergleichsportal für Cyber-Versicherungen. „Der Versicherungsschutz greift in der Regel, wenn es zu einer ‚unzulässigen Nutzung‘ oder einem ‚unberechtigten Eingriff‘ in das IT-System des Unternehmens kommt.“

Einige Versicherer würden hier vage bleiben und eher schwammig formulieren, was für den Kunden unter Umständen vorteilhaft sei.

Gute Versicherungslösungen bieten darüber hinaus, so  Sarah Solga, Underwriter Financial Lines bei Allianz Global Corporate & Specialty (AGCS), auch einen erweiterten Deckungsumfang und neue Deckungselemente, zum Beispiel für Systemverbesserungen nach dem Schadensfall und für die Kostenübernahme von forensischen Dienstleistungen. Auch eine selbst herbeigeführte Betriebsunterbrechung zur Einhaltung von Datenschutzverpflichtungen sei gedeckt.

Vor allem bei Ransomware-Angriffen geht es nicht selten um Millionen. So fordern die Cyberkriminellen nicht nur immer höhere Lösegelder – auch eine Wiederherstellung der verschlüsselten Daten und das Bereinigen der IT-In­frastruktur gehen ordentlich ins Geld.

Grundsätzlich lässt sich sagen: Keine Versicherung leistet unbegrenzt. Bei Cyber-Versicherungen gilt laut Anja Käfer-Rohrbach vom GDV dasselbe wie bei anderen Versicherungen auch: Die Deckungssumme der Versicherung muss zum versicherten Risiko passen. Dabei kommt es unter anderem auf die Unternehmensgröße, vor allem aber auf das Geschäftsmodell des Unternehmens an.

Man sollte daher darauf achten, dass eine ausreichende Deckungshöhe versichert wird. Dabei sollte man sich Gedanken darüber machen, wie wichtig die IT-Infrastruktur für den Betrieb des Unternehmens ist und welche Folgen ein Ausfall mit sich bringt. Ein Unternehmen muss also überlegen, wie digital es ist. Grundsätzlich sind IT-Risiken ja etwas, das jedes Unternehmen hat. Wenn man jedoch ein besonders digitales Unternehmen ist, das zum Beispiel mit digitalen Produkten einen Großteil seines Umsatzes erwirtschaftet, dann ist das Risiko eines Ausfalls geschäftsgefährdend.

Cyberattacken mittels Ransomware gehören zu den  häufigsten Schadensfällen. Die Versicherer mussten laut Hanno Pingsmann von CyberDirekt aufgrund der hohen Schadensbelastung im vergangenen Jahr die Prämien deutlich anheben. Sein Rat: Vor dem Abschluss einer Cyber-Versicherung sollte man immer mindestens drei Angebote verschiedener Gesellschaften vergleichen und das Leistungsniveau dem Absicherungsbedarf des Unternehmens gegenüberstellen. Dazu zählten auch Haftungsgrenzen für einzelne Leistungen und neuerdings auch für bestimmte Risikoarten. Zu ihnen wird Ransomware gerechnet, weswegen für solche Cyberangriffe unter Umständen geringere Versicherungssummen angesetzt würden. „Man spricht in diesem Fall von einem sogenannten Sublimit, welches sich monetär oder auch prozentual ausdrücken kann.“

Bei den weitverbreiteten Ransomware-Attacken stellt sich für die betroffenen Unternehmen die entscheidende Frage: zahlen oder nicht zahlen? Wer eine Cyber-Versicherung abgeschlossen hat, sollte sich nicht nur die Bedingungen der Police genau ansehen, sondern stets auch Kontakt mit dem Versicherer aufnehmen. Im Fall von Ransomware-Angriffen ist zwischen der Bezahlung von Lösegeld auf der einen Seite und der Kostenübernahme zur Abwehr des Angriffs und der Folgen auf der anderen Seite zu unterscheiden. Im Fokus der Versicherer steht dabei, Lösegeldzahlungen an Kriminelle zu vermeiden und stattdessen einen Angriff schnell zu beenden und die Folgekosten zu übernehmen.

Der Gesamtverband der Deutschen Versicherungswirtschaft sieht in seinen Musterbedingungen einen Versicherungsschutz rund um Ransomware-Angriffe vor – allerdings ohne die Lösegeldzahlung selbst zu versichern. Gleichwohl versichern manche Assekuranzen auch die Zahlung von Lösegeld. „Dabei haben Versicherer bewährte Methoden, nur solche Risiken zu zeichnen, die sie auch tragen können. An einer Situation, in der Versicherungsschutz unbezahlbar wird, kann niemand Interesse haben“, betont Anja Käfer-Rohrbach.

Eine Cyber-Versicherung ist selbstverständlich kein Ersatz für die Notwendigkeit einer funktionierenden IT-Sicherheit im Unternehmen. Die IT-Sicherheit und der Schutz durch eine Cyber-Versicherung müssen viel mehr Hand in Hand gehen. Denn nichts ist schlimmer als eine Versicherung, die im Fall der Fälle nicht zahlt. Daher sollten Unternehmen beim Abschluss einer Police genau darauf achten, welche Mindestanforderungen die Assekuranz an den Unternehmenskunden stellt. In aller Regel fragen die Cyber-Versicherer das Schutzniveau aufseiten des Unternehmens ab und fordern gegebenenfalls Verbesserungen ein. Viele Versicherungen unterstützen ihre Kunden auch bei der Prävention, etwa durch Schulungen der Mitarbeiter.

Hanno Pingsmann weist darauf hin, dass diese IT-Mindestanforderungen notwendig und gegenüber den Versicherungskunden auch klar und transparent formuliert seien. Konkret verlangen die Versicherer zum Beispiel das regelmäßige Updaten von Software, die Nutzung von Virenschutz und Firewalls, ein gesichertes Backup oder den Einsatz von Multi-Faktor-Authentifizierung. „Sollten die vom Kunden gemachten Angaben nicht der Wahrheit entsprechen, kann der Versicherer aufgrund der Verletzung einer vorvertraglichen Anzeigepflicht die Leistungen kürzen oder gänzlich ablehnen“, so Pingsmann.

Das bestätigt Alexander Beth von der Allianz: „Die Anforderungen an die IT und Informationssicherheit haben sich dramatisch verändert. Wir schauen unter anderem viel stärker auf Patch-Management, also die regelmäßigen Updates von zum Beispiel Software und Betriebssystemen, und ob die Mitarbeiter regelmäßig geschult werden.“ Kunden müssten auch nachweisen, dass sie ein aktuelles, getestetes und geschütztes Offline-Back-up haben.

Vorsicht ist geboten, wenn man als Unternehmen seine IT oder die IT-Sicherheit auslagert. Das kann nämlich zumindest dann zum Problem werden, wenn „die auslagernden Unternehmen es versäumen, ihre eigenen Sicherheitsanforderungen zu definieren und ihre externen IT-Dienstleister zur Einhaltung zu verpflichten“, betont Anja Käfer-Rohrbach. Wer das mache – und das betreffe ihres Wissens nach mehr als die Hälfte der Unternehmen –, vertraue seinem Dienstleister vollkommen „blind“ und mache im Zweifel die Existenz seines Unternehmens von dessen Entscheidungen abhängig.

Die Tarife für Cyber-Versicherungen orientieren sich unter anderem an der Höhe der Versicherungssumme, dem Jahresumsatz des Unternehmens, der Branche sowie dem individuellen Risikoprofil. Aber auch die vereinbarte Selbstbeteiligung, die Anzahl der gespeicherten personenbezogenen Daten und die Abhängigkeit der Produktion von der IT des zu versichernden Unternehmens spielen eine Rolle.

Die Zunahme von Ransomware-Angriffen hat Sarah Solga zufolge zu einer erheblichen Verschiebung auf dem Cyber-Versicherungsmarkt geführt. „Laut dem Versicherungsmakler Marsh sind die Tarife für Cyber-Versicherungen gestiegen, während die Kapazitäten knapper geworden sind. Die Versicherer nehmen die von den Unternehmen eingesetzten Cyber-Sicherheitskontrollen immer genauer unter die Lupe.“

Zunächst beurteilen Versicherungsunternehmen die Risikoqualität, also den IT-Reifegrad des Unternehmens. „Je höher der IT-Reifegrad des Unternehmens ist, desto höhere Kapazitäten können wir unseren Versicherten zur Verfügung stellen“, so Alexander Beth. Dabei biete etwa AGCS für seine Versicherten maximal eine Kapazität in Höhe von 10 Millionen Euro pro Police an.

Große Konzerne, die höhere Versicherungssummen benötigen, müssen dann sogenannte Versicherungstürme mit verschiedenen Versicherungskonzernen aufbauen. Das geht laut Sarah Solga allerdings auch nur dann, wenn die IT-Sicherheit des Unternehmens gewisse Mindestkriterien erfüllt.

Das Preisbeispiel, das Hanno Pingsmann von Cyber­Direkt anführt, bezieht sich auf ein Unternehmen aus dem produzierenden Gewerbe mit einem Jahresumsatz von 1 Million Euro und sehr guten IT-Sicherheitsstandards. Eine 500.000-Euro-Cyber-Versicherung gebe es hier bereits für eine Jahresprämie zwischen 700 und 1400 Euro.