Cyberversicherung deckt IT-Risiken im Unternehmen
„Die Cyberversicherung bietet alles aus einer Hand“
von Thomas Hafen - 09.03.2016
Alexander Geschonneck
Leiter des Bereichs Forensic bei KPMG
www.kpmg.de
Interview
Alexander Geschonneck erklärt im Gespräch mit com! professional, welche Vorteile Cyberversicherungen bieten und worauf man bei einem Abschluss besonders achten sollte.
com! professional: Sind Cyberversicherungen eigentlich ein neues Phänomen?
Alexander Geschonneck: Nicht wirklich, es gibt Produkte, die schon seit fünf Jahren auf dem Markt sind. Allerdings hat das Interesse daran in den vergangenen ein bis zwei Jahren deutlich zugenommen.
com! professional: Wie erklären Sie sich die steigende Beliebtheit von Cyberversicherungen?
Geschonneck: Diese Policen schließen Lücken in den Bereichen Datendiebstahl, Datenschutzverstöße und Angriffe durch Hacker. Sie decken Schäden ab, die in der Vergangenheit in verschiedenen Einzelversicherungen separat betrachtet wurden, angefangen von der Haftpflicht- über die Vertrauensschadensversicherung bis zur Betriebsunterbrechungsversicherung. Die Cyberversicherung bietet nun alles aus einer Hand und passt den Schutz an die aktuelle Bedrohungslage an.
com! professional: Ist die Cyberversicherung Geldverschwendung oder Ihrer Ansicht nach sinnvoll und notwendig?
Geschonneck: Wenn Sie ein Unternehmen betreiben, das maßgeblich von einer funktionierenden IT abhängig ist, wenn Sie Ihre Daten in der richtigen Qualität zur richtigen Zeit am richtigen Ort benötigen und nicht in fremden Händen sehen wollen; wenn Sie durch die Verletzung der Grundprinzipien von Datenschutz und Datensicherheit direkt oder indirekt Nachteile zu befürchten haben, sei es, dass Ihnen eine Geldbuße droht oder dass ein Reputationsschaden entsteht, dann ist eine solche Versicherung auf jeden Fall zu empfehlen. Wenn diese Probleme nicht zu Ihren geschäftlichen Kernrisiken zählen, ist eine Cyberversicherung sicher entbehrlich.
com! professional: Wie teuer sind solche Cyberversicherungen?
Geschonneck: Das kann vom mittleren vierstelligen bis in den hohen fünfstelligen, ja sogar sechsstelligen Euro-Bereich gehen. Die Prämien richten sich vor allem nach dem zu versichernden Risiko, aber auch nach der Deckungssumme und den Sicherheitsmaßnahmen, die ein Unternehmen bereits getroffen hat. Auch die Frage nach der Versicherung von Schäden, die bereits entstanden, aber noch nicht bekannt sind, einer Rückwärtsversicherung also, hat einen Einfluss auf die Prämienhöhe. Ein Datendiebstahl wird ja oft zunächst gar nicht bemerkt und erst Wochen oder Monate später bekannt.
com! professional: Kann jedes Unternehmen eine Cyberversicherung abschließen?
Geschonneck: In einem besonders riskanten Umfeld könnte man zu dem Ergebnis kommen, dass das Risiko unter wirtschaftlichen Aspekten nicht mehr versicherbar ist. Aber dann sollte man vielleicht das Geschäftsmodell grundsätzlich überdenken.
com! professional: Nach welchen Kriterien sollte ein Unternehmen eine Cyberversicherung auswählen?
Geschonneck: Wichtige Fragen sind: Wie wird das Risiko von Dritt- und Eigenschäden abgedeckt? Wie lange ist die Laufzeit? Gibt es einen Selbstbehalt? Wie hoch ist die Deckungssumme? Hängt sie von bestimmten Faktoren ab? Verändert sich meine Prämie, wenn sich die Sicherheit im Unternehmen verbessert oder verschlechtert? Hilft mir die Versicherung im Krisenfall, begleitet sie mich in einer Notsituation, gibt es eine Notrufnummer? Wird im Schadensfall eine PR-Agentur eingeschaltet, die auf Krisenmanagement spezialisiert ist? Das sind einige der wesentlichen Faktoren.
com! professional: Gibt es versteckte Fallen, auf die man beim Abschluss einer Cyberversicherung achten sollte?
Geschonneck: Besonders problematisch ist es, wenn Versicherer bei einer sogenannten erhöhten Bedrohungslage weniger oder gar nicht leisten. Wann eine erhöhte Bedrohungslage vorliegt, dafür gibt es keine verbindliche Definition. Führt beispielsweise eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) für ein bestimmtes Betriebssystem schon zu einer erhöhten Bedrohungslage? Auch die Versicherung von Serienschäden muss man sich genau ansehen. Was passiert, wenn ein Sicherheitsvorfall einen zweiten, dritten, vierten Schaden nach sich zieht? Wird das abgedeckt? Das sind einige der Punkte, die man sich mit seinem Makler genau anschauen muss.
com! professional: Was passiert, wenn ein Mitarbeiter auf den Link in einer Phishing-Mail klickt? Sind solche Risiken in der Regel abgedeckt?
Geschonneck: Ja, Fehlverhalten oder Fahrlässigkeit von Unternehmensmitarbeitern ist ganz häufig Ursache von Sicherheitsvorfällen und deshalb auch mehrheitlich Bestandteil der Versicherungsbedingungen.
com! professional: Gibt es Bestandteile in Cyberversicherungen, die weniger notwendig sind? Ist es etwa empfehlenswert, Krisenmanagement und Krisen-PR abzuwählen, wenn einem die Prämie dafür zu teuer ist?
Geschonneck: Wenn Sie in einem öffentlichen Umfeld agieren, in dem Ihre Reputation geschäftskritisch ist, dann ist es unverzichtbar, im Schadensfall einen Profi heranzuholen, der sich mit Krisenkommunikation auskennt. Wenn das für Ihr Geschäftsmodell hingegen nicht so relevant ist, dann können Sie auf diese Bestandteile möglicherweise verzichten – oder wenn Sie sowieso einen Rahmenvertrag mit einer PR-Agentur haben, die auf Krisenkommunikation spezialisiert ist.
com! professional: Ist das eine der Besonderheiten von Cyberversicherungen? Sie decken nicht nur Schäden ab, sondern bieten darüber hinaus auch Hilfen und Dienstleistungen an.
Geschonneck: Das liegt in der Natur der Sache. Denn wenn es zu einem Vorfall im IT-Bereich eines Unternehmens kommt, dann kann durch falsches oder verzögertes Handeln der Schaden noch viel größer werden. Durch einen schnellen und gezielten Einsatz von Experten und das Ineinandergreifen verschiedener Maßnahmen lässt sich das Ausmaß der Beeinträchtigungen dagegen häufig eingrenzen.
