CyberRisk-Absicherung für Betriebe

Cyber-Versicherungen sind ein noch junger Zweig in der Geschichte der Versicherung. Seit rund zehn Jahren gibt es die ersten Modelle auf dem Markt. Das Wort Cyber stammt aus dem Altgriechischen und bedeutet so viel wie „Steuerung". Mittlerweile kennzeichnet es vor allem Aktivitäten im Internet, zum Beispiel als Cyber-Space, Cyber-Kriminalität oder Cyber-Terrorismus.

Eine Cyber-Versicherung tritt also ein für Schäden, die zumeist durch Handlungen im oder über das Internet ausgelöst werden. Ganz generell bietet sie Schutz für den Fall, dass elektronische Daten gestohlen, gelöscht, verschlüsselt, verändert, missbraucht oder unrechtmäßig veröffentlicht wurden. Und das Risiko von Hackerangriffen, Datendiebstahl und Erpresserviren darf nicht unterschätzt werden: Mehr als jeder vierte mittelständische Betrieb in Deutschland wurde bereits Opfer eines Cyber-Angriffs (Stand 2017).

Noch haben sich für die Cyber-Versicherung keine flächendeckenden Standards und Leistungsbilder im Markt etabliert. Als ersten Schritt auf dem Weg zum Standard hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV)im Jahr 2017 seine Musterbedingungen vorgestellt. Die „Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung“ orientieren sich am Versicherungsbedarf kleiner und mittelständischer Unternehmen (KMU) und sind auf Betriebe mit einem Umsatz bis 50 Millionen Euro und bis zu 250 Mitarbeitern zugeschnitten. Darunter fallen Altenheime, Arztpraxen und Anwaltskanzleien ebenso wie Handels- und Handwerksbetriebe, Krankenhäuser und Industriezulieferer. Die Musterbedingungen sind jedoch nicht für den einzelnen Vertrag gedacht. Sie sollen vor allem Versicherern die Entwicklung eigener Angebote erleichtern.

Prävention hat Vorrang
Der Versicherungsschutz ist an die Voraussetzung geknüpft, dass der Betrieb über ein funktionierendes IT-Sicherheitskonzept verfügt. Eine Firewall, leistungsfähiger Virenschutz und regelmäßige Datensicherungen sind unabdingbar. Zudem braucht das Unternehmen klar definierte Zugriffsrechte, ein Passwortmanagement und einen Notfallplan. Diese Maßnahmen liegen auch im ureigensten Unternehmensinteresse, zumal die Anforderungen an den Schutz „personenbezogener Daten“ mit der Datenschutz-Grundverordnung(DSGVO) deutlich steigen.

Versicherer prüfen die Prozesse zur Cyber-Sicherheit meist anhand eines Fragebogens, aber auch vor Ort. Sie weisen auf Sicherheitslücken hin und empfehlen, soweit erforderlich, technische und organisatorische Verbesserungen der IT-Sicherheit. Erst wenn diese umgesetzt wurden, kann ein Vertrag zustande kommen.

Die Risiko-Kategorien richten sich nach dem Jahresumsatz. Ein höheres Risikopotential tragen Unternehmen, die im E-Commerce tätig sind, sensible Daten, Berufs- oder Betriebsgeheimnisse verarbeiten. Als besonders angreifbar gelten Unternehmen, deren Produktionsprozesse digital gesteuert werden. Hacker könnten ein Produkt verändern oder kontaminieren. Experten bezeichnen Cyber-Risiken schon heute als das am meisten unterschätzte Risiko für einen Produktrückruf.

Drei Leistungsfelder
Eine betriebliche Cyber-Versicherung schützt nicht nur bei Hackerangriffen und Datenklau. Sie zahlt für

• Drittschäden: Die entstehen, wenn der Versicherungsnehmer einem Kunden oder sonstigen Dritten einen Vermögensschaden zufügt. Beispiel: Der versicherte Betrieb kann nach einem Hackerangriff keine Autoteile liefern. Dadurch verzögert sich die Produktion seines Kunden, dem ein finanzieller Schaden entsteht. Unberechtigte Forderungen wehrt der Versicherer ab.
• Eigenschäden: Hier ist der versicherte Betrieb Empfänger der Versicherungsleistung. Beispiel: Führt der Cyber-Angriff zu einer Betriebsunterbrechung, erhält der versicherte Betrieb einen vereinbarten Tagessatz. Damit können laufende Kosten bestritten und entgangene Gewinne ausgeglichen werden.
• Servicekosten: Darunter fallen zum Beispiel Kosten für Forensik-Experten, die den Schaden analysieren und seine Folgen beheben, Anwälte für IT- und Datenschutzrecht oder PR-Spezialisten, die sich um Krisenkommunikation kümmern.

Grundsätzlich aber gilt: Versicherungsschutz gegen betriebliche Cyber-Risiken gibt es heute nicht von der Stange. Dafür braucht es Marktüberblick, Erfahrung und nicht zuletzt eine qualifizierte und unabhängige Beratung.