Wieso ist eine Cyber-Versicherung sinnvoll?
Eine Cyber-Versicherung schützt Unternehmen und ihre Mitarbeiter gegen Vermögensschäden, die durch sog. Cyber-Angriffe entstehen können. Unter dem Begriff Cyber-Angriff werden verschiedenartige Informations- sicherheitsverletzungen zusammengefasst, die sich hinsichtlich Art und Ausführung des Angriffes teilweise deutlich unterscheiden. Eine Cyber-Versicherung sichert Unternehmen somit gegen diverse Cyber-Risiken ab. Eine Cyber-Versicherung ist jedoch keine Investition in IT-Sicherheit, sondern vielmehr eine präventive Investition, um die Kosten eines möglichen Angriffes zu minimieren.
Das Cyber-Risiko beschreibt in der alleinstehenden Betrachtung kein einzelnes Risiko. Vielmehr sind darunter viele einzelne Risiken zusammengefasst, die aus einem potentiellen Cyber-Angriff resultieren. Im Fokus stehen zielgerichtete Angriffe auf Daten- oder IT-Systeme unter Ausnutzung von Informations- und Kommunikationstechnik. Als Cyber-Risiken gelten insbesondere: – Datenverluste – Datenschutzverletzungen – Hackerangriffe – Ausspähen von Geschäftsgeheimnissen – Betriebsunterbrechung – Erpressung – Unterbrechung der IT-Systeme (DoS-Angriff)
Jedes Unternehmen, das elektronische Systeme zur Datenverarbeitung und Kommunikation einsetzt, ist grundsätzlich von Cyber-Risiken bedroht.
Ziele von Cyber-Angriffen sind eine Störung der Verfügbarkeit, der Integrität und der Vertraulichkeit von informationsverarbeitenden Systemen des betroffenen Unternehmens. Weiter lassen sich die Ziele von Cyber-Angriffen allgemein in zwei Muster aufteilen. Auf der einen Seite der verdeckte Cyber-Angriff, bei dem unbemerkt Daten aus den Systemen des betroffenen Unternehmens gestohlen werden und auf der anderen Seite, die Einschleusung von Schadsoftware, die Teile oder das gesamte IT- oder Produktionssystem des betroffenen Unternehmens ausschalten und oftmals nur gegen Zahlung einer geforderten Summe wieder bereit gestellt werden.
Schäden liegen für die betroffenen Unternehmen beispielsweise im Verlust eigener unternehmensbezogener Daten – etwa durch den gezielten Diebstahl von Produkt- oder Entwicklungsinformationen. Unternehmen verfügen regelmäßig über weitreichende Daten Dritter, insbesondere Kundendaten. Personenbezogene Daten Dritter unterliegen dem Datenschutz. Werden zu schützende Daten Dritter öffentlich, drohen gravierende Geldbußen und darüber hinaus Reputationsschäden.
Insbesondere kleine und mittlere Unternehmen sind oft nicht ausreichend auf Cyber-Angriffe vorbereitet und unterschätzen vielfach die Bedrohung für den eigenen Betrieb. Häufig fehlen Zeit oder Ressourcen, um sich im nötigen Umfang abzusichern. Dabei ist ein effektiver Schutz gerade für kleinere Unternehmen von hoher Bedeutung, da ein erfolgreicher Cyber-Angriff gravierende Schäden verursachen und in einigen Fällen sogar die Existenz bedrohen kann.
Kein IT-System ist vollkommen sicher. 100% Sicherheit ist in einer zunehmend vernetzten Umgebung schlicht nicht erreichbar. Eine Cyber-Versicherung hilft die schwer kalkulierbaren Folgeschäden eines Cyber-Angriffs abzusichern. Die Folgen eines derartigen Angriffs sind oft gravierend und können existenzbedrohendes Ausmaß annehmen. Eine Cyber-Versicherung ist deshalb ein effektiver Baustein eines ganzheitlichen Risikomanagements.
Die Cyber-Versicherung kann die IT-Sicherheit nicht ersetzen. Vielmehr müssen gewisse IT-Sicherheitsvorkehrungen vorhanden sein, um ein Unternehmen überhaupt gegen Cyber-Risiken versichern zu können. IT-Sicherheit und Cyber-Versicherung ergänzen sich gegenseitig. Dabei dient die IT-Sicherheit dazu, Unternehmen vor Cyber-Risiken zu schützen. Die Cyber-Versicherung kann diesen Schutz nicht bieten. Sie greift für den Fall, dass ein Cyber-Angriff das Unternehmen trotz IT-Sicherheitsvorkehrungen schädigt.
Die verschiedenen Tarife der Versicherer unterscheiden sich teilweise in wichtigen Punkten. Sie sollten deshalb für die Wahl des richtigen Versicherungstarifs insbesondere folgende Fragen beantworten: Wie umfangreich will ich mich gegen die verschiedenen Formen von Cyber-Angriffen absichern, d.h. welche Angriffswege sollen abgedeckt sein? Welche zusätzlichen Dienstleistungen sind mir bei Eintritt eines Schadensereignisses wichtig? Bis zu welcher Schadenhöhe will ich mich absichern? Der Marktvergleich von CyberDirekt bietet Ihnen einen anschaulichen, leicht verständlichen Vergleich der einzelnen Bausteine der verschiedenen Versicherungstarife. So können Sie interaktiv den für Sie passenden Tarif finden und auswählen.
Wichtige Informationen zu Cyber-Versicherung
Die Cyber-Versicherung deckt sowohl Eigen- als auch Drittschäden ab. Zu den Eigenschäden zählen zum Beispiel Schäden infolge einer Betriebsunterbrechung, die Kosten für die Beauftragung eines IT-Forensikers zur Analyse und Bereinigung der IT Systeme, die Wiederherstellung von Daten oder die Aufwendung für die Beseitigung eines erlittenen Image-Schadens in der Öffentlichkeit. Drittschäden sind Schäden, die aufgrund gesetzlicher Haftungsbestimmungen von einem Dritten in Anspruch genommen werden. Art und Höhe der abgedeckten Schäden, sind vom Tarif, der Wahl der Zusatzoptionen und der gewünschten Versicherungssumme abhängig. Der Marktvergleich von CyberDirekt bietet Ihnen einen anschaulichen, leicht verständlichen Vergleich der einzelnen Bausteine der verschiedenen Tarife. So können Sie interaktiv den für Sie passenden Tarif finden und auswählen.
Versicherungsschutz besteht für den im Versicherungsschein genannten Versicherungsnehmer und die dort genannten mitversicherten Unternehmen und Personen. Dazu können zum Beispiel zählen: – Sämtliche Mitglieder der Geschäftsführung – Angestellte Mitarbeiter – Eingegliederte Mitarbeiter von Zeitarbeitsunternehmen – Eingegliederte freie Mitarbeiter, soweit diese im Namen und Auftrag des – Versicherungsnehmers tätig sind Rechtlich selbstständige Tochtergesellschaften innerhalb des EWR
Ein Versicherungsfall ist der erstmals nachprüfbar festgestellte Vermögenschaden, der durch eine Informationssicherheitsverletzung verursacht worden ist, die den Versicherungsfall auslöst. Die auslösenden Ereignisse sind im jeweiligen Tarif festgelegt und können sich zwischen den Versicherern unterscheiden. Folgende Umstände können unter anderem einen Versicherungsfall auslösen: – Eine Netzwerksicherheitsverletzung – Eine Datenrechtsverletzung – Ein Bedienfehler – Ein erfolgter Denial-of-Service-Angriff – Eine Cyber-Erpressung
Denial of Service bezeichnet die Nichtverfügbarkeit eines Internetdienstes, der eigentlich verfügbar sein sollte. Die häufigste Art ist die absichtlich herbeigefügte Serverüberlastung. Durch einen konzentrierten Angriff auf das Servernetz, wird eine größere Zahl an Anfragen gestellt, als das System verarbeiten kann und bringt dieses so zum Erliegen. Normale Anfragen können dadurch nicht mehr beantwortet werden können. In der Regel wird der Serverbetreiber zu einer Geldzahlung erpresst, damit sein Internetangebot wieder erreichbar ist. Da der Angreifer bei einem DoS-Angriff nicht in den Computer eindringen will, benötigt er auch keine Passwörter oder Ähnliches vom Zielrechner.
Die Beitragshöhe hängt wie bei jeder anderen Versicherung vom Risiko ab, das mit ihr abgedeckt werden soll. Für die Beitragshöhe können folgende firmenspezifische Kriterien eine Rolle spielen: – Branche – Umsatzhöhe, Mitarbeiterzahl – Bestehende IT-Sicherheitsvorkehrungen – Bereits zurückliegende Vorfälle
Für die Cyber-Versicherung stellt die vereinbarte Summe im Versicherungsschein die maximale Höchstentschädigung je Schadenereignis dar. Sie wird auch als Deckungssumme bezeichnet. Im Schadenfall wird nicht die komplett vereinbarte Summe, sondern nur die Höhe des tatsächlich entstandenen Schadens durch den Versicherer reguliert. Reicht die Deckungssumme nicht aus, liegt eine Unterversicherung vor.
Unter einer Selbstbeteiligung, auch Selbstbehalt oder Eigenanteil, versteht man den Anteil, den der Versicherungsnehmer im Versicherungsfall selbst zu tragen hat. Nur darüberhinausgehende Summen werden von der Versicherung bezahlt.
Bei einer Cyber-Versicherung können Überschneidungen zu anderen Versicherungsbereichen wie zum Beispiel zur Geschäftsinhaltsversicherung oder auch zu einer Betriebshaftpflichtversicherung entstehen. Bei vorrangiger Deckung erfolgt, unabhängig ob weitere Versicherungsverträge bestehen, sofort die Schadenbearbeitung durch die Cyber-Versicherung. Ist ein Versicherungsfall oder ein Schaden auch unter einem anderen Versicherungsvertrag (teilweise) mitversichert, so gilt die Cyber- Versicherung dann als vorrangige Versicherung.
Die Kosten, die im Versicherungsfall übernommen werden sind vom jeweiligen Tarif abhängig. Sie sollten deshalb genau prüfen, welcher Tarif Ihrem individuellen Risiko entspricht. Einen umfangreichen Überblick über die verschiedenen Tarife gibt Ihnen der Marktvergleich von CyberDirekt. Folgende Kosten, die in Verbindung mit der entstandenen Informationssicherheitsverletzung stehen, können beispielsweise erstattet werden: – IT-Forensik zur Analyse und Beseitigung des Schadens – Anzeige und Bekanntmachung von Datenrechtsverletzungen – Anwaltshonorare – Dateninhaberbenachrichtigungskosten – Behördliche Meldeverfahrenskosten – Call-Center-Kosten – Erstattung des Ertragsausfalls bei Betriebsunterbrechung – Krisenmanagement und PR-Maßnahmen – Übernahme von Vertragsstrafen bei Verletzung von Kreditkartenverarbeitungsvereinbarungen – Wiederherstellung beschädigter Software und/oder Datenbanken – Sicherheitsanalyse und –verbesserung
Versicherungsschutz besteht für Versicherungsfälle weltweit. Je nach Tarif kann die Einschränkung bestehen, dass die Ansprüche innerhalb und nach bestehendem Recht der EU bzw. des EWR geltend gemacht werden müssen.
Je nach Tarif sind auch Schäden aufgrund vor Beginn des Versicherungsvertrags eingetretener Informationssicherheitsverletzungen versichert, wenn der Schaden dem Versicherungsnehmer nicht bekannt war bzw. bekannt sein hätte müssen.
Eine Betriebsunterbrechung liegt vor, wenn die Produktion oder die Erbringung von Dienstleistungen vollständig oder auch nur teilweise unterbrochen ist. Die Ursache der Betriebsunterbrechung muss ein den Versicherungsfall auslösendes Ereignis sein (siehe auch: Was ist ein Versicherungsfall?).
Im Rahmen der Betriebsunterbrechung gilt ein zeitlicher Selbstbehalt. Dieser umfasst in der Regel 12 Stunden je Schadenfall. Erst nach Ablauf dieser Frist werden die aus einer Betriebsunterbrechung resultierenden Schäden erstattet.
Aufgabe des passiven Rechtsschutzes ist die Abwehr unberechtigter Schadenersatzforderungen. Unter passivem Rechtsschutz im Rahmen des Cyber-Versicherungskonzepts versteht man, dass der Versicherer dem Versicherungsnehmer Kosten für einen Rechtsstreit ersetzt, wenn dieser auf die Leistung von Ansprüchen (z.B. Schadenersatz) verklagt wird. Dabei übernimmt der Versicherer die ggf. anfallenden Verfahrens- und Gerichtskosten. Stellt sich im oft langwierigen Rechtsstreit heraus, dass das Unternehmen ein Verschulden trifft, wird darüber hinaus auch der Schaden im versicherten Umfang beglichen. Der passive Rechtsschutz ist generell bei jeder Cyber- Haftpflichtversicherung integraler Bestandteil der Versicherungsleistung.
Als Sublimit bezeichnet man eine innerhalb des Versicherungsvertrages abweichende Obergrenze einer Deckungssumme. So gelten je nach Tarif bspw. Entschädigungsgrenzen für Cyber-Erpressung oder Vertragsstrafen infolge der Verletzung von Geheimhaltungspflichten. Zu beachten ist, dass ein Sublimit keine zusätzliche Versicherungssumme darstellt, sondern der vereinbarten Gesamtdeckungssumme entnommen wird.
Der Versicherungsschutz gilt für Vermögensschäden auch noch nach Beendigung des Versicherungsverhältnisses. Vorausgesetzt, der Vermögensschaden beruht auf einer Informationssicherheitsverletzung, die während der Wirksamkeit der Versicherung eingetreten ist, aber noch nicht festgestellt wurde. Die zeitliche Dauer der Nachhaftung ist vom jeweiligen Tarif abhängig.
