Cyberversicherungen decken auch indirekte Schäden

„Cyberpolicen bieten marktweit erstmals eine Kombination aus der Versicherung von Vermögenseigenschäden (…) mit einer Art Haftungsversicherung für Ansprüche Dritter wegen dort entstandener Vermögensschäden. Das ist zumindest in dieser Konstellation völlig neu“, sagt Holger Tittko, Referent beim Deutschen Versicherungs-Schutzverband DVS.

Auch die Definition von sogenannten Vertrauensschäden wird in den Cyberpolicen weiter gefasst als in herkömmlichen Vertrauensschadensversicherungen, die ausschließlich Schäden durch kriminelle Handlungen von Vertrauenspersonen abdecken.

„Bei der Cyberversicherung reicht es aus, eine Informa­tionssicherheitsverletzung und ihre wirtschaftlichen Folgen festzustellen beziehungsweise nachzuweisen. Ob es sich um Vertrauenspersonen handelt oder nicht, ist dabei nicht maßgeblich“, sagt Frank Schwandt, Gesellschafter und Geschäftsführer von acant Service, einem Maklerbüro, das sich auf Cyberversicherungen und Managerhaftplicht spezialisiert hat.

Cyberversicherungen gehen noch einen Schritt weiter. Sie decken nicht nur direkte Schäden ab, sondern auch Kosten, die ursächlich auf den Cybervorfall zurückzuführen sind. Das sind zum Beispiel Kosten für die Ursachenfeststellung, Wiederherstellungskosten bei Datenverlust oder Kosten für die Wiederinbetriebnahme der IT-Infrastruktur und die Verfügbarkeit der Systeme.

Auch Aufwendungen für Forensiker, gesetzlich oder regulatorisch vorgeschriebene Benachrichtigungen, Verhandlungen mit Behörden, das Krisenmanagement oder die Krisen-PR würden von den Cyberversicherungen übernommen, erklärt Natalie Kress, Cyber Practice Manager Germany & Austria bei der ACE Group.

Oft ergänzen Dienstleistungspakete die Policen. So bietet etwa die Württembergische Versicherung Hilfe bei der Ursachenforschung. „Unser zentraler Baustein ist die Unterstützung durch qualifizierte IT-Forensiker, die über eine Service-Hotline schnell Ersthilfe bieten und die weitere Schadenabwicklung auch vor Ort begleiten können“, sagt Gert Baumeister, Leiter Firmenkunden – Technische Versicherungen bei der Württembergischen Versicherung.

Neben IT-Spezialisten lassen sich zum Teil auch die Services von Kommunikationsexperten gleich mitbuchen. Sie kennen sich mit Krisen-PR aus und können so die Reputationsschäden begrenzen, die häufig entstehen, wenn Unternehmen durch den Verlust von Kundendaten in die Schlagzeilen geraten.

Welche Bausteine und Optionen ein Unternehmen tatsächlich braucht, lässt sich nicht pauschal beantworten. Für ein Telekommunikationsunternehmen dürften Kostenbausteine für Public Relations eine wichtige Rolle spielen, um nicht durch einen Schadensfall einen erheblichen Vertrauensverlust bei den Kunden zu riskieren. Für kleinere Dienstleister und IT-Unternehmen können hingegen Kostenpositionen für die Wiederherstellung von Daten einen höheren Stellenwert einnehmen.

Als Eckpfeiler bei der Schadensfeststellung und der Schließung von Datenlecks ist zudem zu überlegen, wie sinnvoll Forensik-Dienstleistungen sind.