Cyberversicherung für Unternehmen

Datenschutz verstehen – Cyberversicherung für Unternehmen: Was ist das & was leistet sie?

Cyberversicherung
Zusammenfassung
  1. Eine Cyberversicherung ist Teil des Risikomanagements und sichert ein Unternehmen gegen existenzgefährdende Folgen eines Cyber-Vorfalls wie beispielsweise Datenverlust und Datenschutzverletzung ab.
  2. Schutz bietet eine Cyberversicherung jedoch nur in finanzieller Hinsicht. Sie stellt keine Investition in die IT-Sicherheit dar.
  3. Bei Eigenschäden leistet eine Cyberversicherung die Kostenübernahme zur Wiederherstellung der Geschäftsdaten sowie des Ertragsausfalls infolge einer Betriebsunterbrechung. Bei Drittschäden können Schadenersatzforderungen übernommen werden.
  4. Für Cyberversicherungen existieren bislang keine Branchenstandards.
  5. Die Kosten einer Cyberversicherung bemessen sich aus verschiedenen Faktoren wie beispielsweise der Mitarbeiterzahl, der Anzahl an Datensätzen und dem Stand der IT-Sicherheit.
  6. Datenpannen oder Cyber-Attacken sind meldepflichtig.
Keine Lust zu lesen?

Jetzt direkt Hilfe anfordern und professionelle Erstberatung von unseren Experten erhalten.

Jetzt direkt Hilfe anfordern und professionelle Erstberatung von unseren Experten erhalten.

Jetzt direkt Hilfe anfordern und professionelle Erstberatung von unseren Experten erhalten.

Die IT-Infrastruktur einer Unternehmung ist heute auch schon bei kleineren Betrieben nicht mehr wegzudenken. Die Anforderungen an die IT-Infrastruktur wachsen stetig, so ist es heute von großer Bedeutung kollaborativ, agil und effizient im Unternehmen arbeiten zu können. So kommt es, dass die Verfügbarkeit der IT-Infrastruktur in den Bereich der Vermögensschaden-Versicherung fällt. Diese Art der Versicherung wird als Cyberversicherung für Unternehmen beziffert. Eine Cyberversicherung oder auch Internet-Versicherung soll Unternehmen grundsätzlich vor Schäden im Zusammenhang mit Datenpannen, Hackerangriffen und noch weiteren Schäden schützen.

Man spricht hier oft auch von dem Cyberschutz. Im Rahmen von diesem Beitrag haben wir mehrere unabhängige Experten zu diesem Thema befragt, um Ihnen eine transparente Aufklärung über die Cyberversicherung zu ermöglichen. Als Datenschutz- und IT-Sicherheits-Experten erklären wir Ihnen Schritt für Schritt, ob eine Cyberversicherung sinnvoll ist und was für Risiken genau abgedeckt werden. Eine Studie aus 2018 zeigt, dass viele Unternehmen gleich mehreren Cyber-Attacken ausgesetzt waren.

 

Was bedeutet Cyber-Security?

Cyber beziffert die digitale Welt und ganz grundsätzlich gesagt das gesamte Internet und alle damit verbundenen Endgeräte, Server und Strukturen. Als Cyber-Security oder auch Cyber-Sicherheit bezeichnet man die Schutzmaßnahmen von Computern, Servern, Mobilgeräten, Unternehmens-Netzwerken und Daten vor Hacker-Angriffen. Der Begriff ist sehr weitreichend und gilt für alles von IT-Sicherheit über Notfall-Backup-Strategien, also die Wiederherstellung nach einer Datenpanne, bis hin zur Schulung von Endbenutzern.

Wir bei Keyed definieren Cyber-Security oder auch IT-Sicherheit als eine Sammlung von Richtlinien, organisatorischer und technischen Maßnahmen und Rollen- und Berechtigungskonzepten, um Daten zu schützen. Hierbei wird nicht wie im Datenschutz die Differenzierung rechtlicher Natur zwischen personenbezogenen Daten vorgenommen. Im Fokus steht die Datensicherheit von allen Datenkategorien im Unternehmen. Aus Erfahrung können wir schon jetzt festhalten, dass die IT-Sicherheit mit den Mitarbeitern eines Unternehmens steht und fällt, denn der Mensch kann der beste Schutz gegen Cyber-Attacken sein oder das Gegenteil.

Betroffene Unternehmen 2018 in Deutschland

  • %
 

Arten von Cyberangriffen

Es gibt zahlreiche unterschiedliche Bedrohungen, die durch Cyber-Sicherheit im Unternehmen beseitigt werden sollen. Der durchschnittliche Mitarbeiter kommt mit schädlichem Code vorwiegend über Anhänge unerwünschter E-Mails oder durch Herunterladen von Programmen in Kontakt, die zwar vertrauenswürdig aussehen, aber in der Realität Malware verbreiten. Die meisten Unternehmen haben mit den folgenden Arten von Cyberkriminalität zu kämpfen:

 

Experten-Interview Cyberversicherung

In unserem Interview mit dem unabhängigen Experten für Cyberversicherungen von der Dobrindt & Hülsbruch GmbH erfahren Sie, vor welchen Risiken sich Unternehmen mit einer Cyberversicherung schützen können und welche Leistungen und Kosten eine Cyberversicherung beinhaltet.

Cyberversicherung Datenschutz
Lars Besse
Leiter Firmenkunden Dobrindt & Hülsbruch GmbH

Welche Risiken fallen unter den Begriff Cyber-Risiken?

Unter den Begriff Cyber-Risiken sind diverse Risiken zu fassen, die in Folge eines Cyber-Vorfalls entstehen können. Der Begriff beschreibt kein einzelnes Risiko. Als solche Risiken sind insbesondere Datenverluste, Datenschutzverletzungen, die Unterbrechung der IT-Systeme und die Betriebsunterbrechung zu nennen. Aber auch das Ausspähen von Unternehmensgeheimnissen, die Erpressung und Verschlüsselung von Daten.

Vor welchen Risiken werden Unternehmen durch eine Cyberversicherung geschützt?

Eine Cyberversicherung schützt Unternehmen vor den finanziellen Folgen eines Cyber-Vorfalls. Sie ist allerdings keine Investition in die IT-Sicherheit und ersetzt diese auch nicht. Die Cyberversicherung ist Teil des Risikomanagements, um ein Unternehmen gegen die existenzgefährdenden Folgen eines Cyber-Vorfalls abzusichern.

Welche Leistungen sind Bestandteil einer Cyberversicherung?

Eine Cyberversicherung leistet im Allgemeinen für Eigenschäden und Drittschäden in Folge eines Cyber-Vorfalls sowie für Notfall-Dienstleistungen, die zur Schadenbegrenzung erforderlich sind. Im Speziellen sind bei Eigenschäden die Kostenübernahme zur Wiederherstellung der Geschäftsdaten oder der Ertragsausfall in Folge einer Betriebsunterbrechung zu nennen. Drittschäden können z.B. die Schadenersatzforderung gegen den Versicherungsnehmer aufgrund einer Weitergabe eines Virus oder einer Datenschutzverletzung sein. Das Dienstleistungspaket umfasst u.a. die Kosten für IT-Forensik zur Ursachensuche, Krisenmanagement, PR-Beratung oder Rechtsberatung.

Gibt es unterschiedliche Versicherungspakete für Cyberversicherungen?

Die Angebotspalette der Versicherer ist zum jetzigen Zeitpunkt sehr unterschiedlich. Fast jeder Versicherer verwendet für seine Cyberversicherung eine eigene Bedingungsstruktur. Es gibt noch keine Branchenstandards. Einige Versicherer bieten die o.g. Leistungen als Versicherungskern an, die um einzelne Bausteine individuell und bedarfsgerecht angepasst werden können. Solche Bausteine sind z.B.  „Betriebsunterbrechung durch Cloudausfall“, „Ersatz von IT-Hardware“ oder „Maßnahmen für Sicherheitsverbesserung nach einem Angriff“. Andere Versicherer bieten auch diese Bausteine in ihrem Komplettpaket an.

Welche Leistungen gehören nicht zu einer Cyberversicherung?

Die Leistung im Schadenfall wird begrenzt durch die Versicherungssumme. Grundsätzlich sind Sach- und Personenschäden nicht Gegenstand der Cyberversicherung. Wobei mittlerweile Produkte am Markt existieren, die auch bei Schäden an der IT-Hardware bis zu einer limitierten Summe leisten.

Ebenfalls gibt es Abgrenzungen zu anderen Versicherungssparten. Hier ist z.B. die Vertrauensschadenversicherung zu nennen.  Diese leistet beispielweise bei Fake-President- oder CEO-Fraud-Angriffen auf das versicherte Unternehmen. Bei einem solchen Schadenszenario ist die Leistung der Cyberversicherung vom Angriffsweg abhängig. Ein Angriff via Mail ist Gegenstand der Cyberversicherung. Ein Angriff via Telefon eher nicht, da kein Angriff auf die IT vorliegt.

In welchen Fällen leistet eine Cyberversicherung für Unternehmen nicht?

Wie bereits erwähnt ist der Leistungsumfang der Cyberversicherer sehr unterschiedlich. In der Regel sind Schäden die vorsätzlich durch den Versicherungsnehmer oder seiner Repräsentanten verursacht wurden nicht versichert. Ebenso Schäden versicherter Unternehmen und Personen untereinander, Schäden aufgrund von Krieg oder aus der Verletzung von Kartell- und Wettbewerbsrecht, sowie Patenrecht.

Für welche Unternehmen ist eine Cyberversicherung sinnvoll?

Letztendlich ist die Cyberversicherung für jedes Unternehmen sinnvoll, welches digital arbeitet und Daten nicht nur in Papierform verwaltet. Das sollte in der heutigen Zeit auf fast jedes Unternehmen zutreffen.

Mit welchen Kosten müssen Unternehmen für eine Cyberversicherung rechnen?

Das ist ganz unterschiedlich und kann nicht pauschal gesagt werden. Die Prämie ist abhängig von mehreren Kriterien. Diese sind z.B.:

  • Jahresumsatz des Unternehmens
  • Mitarbeiterzahl
  • Anzahl Datensätze
  • Art der Daten
  • Branche
  • Stand der IT-Sicherheit
  • Stand des Datenschutzes

Was ist bei der Auswahl für Cyberversicherungen zu beachten?

Bei der Auswahl sollte nicht die Versicherungsprämie als oberstes Entscheidungskriterium dienen, sondern ein Blick in die Obliegenheiten und Ausschlüsse im Bedingungswerk.

Eine günstige Versicherungsprämie klingt zwar verlockend aber in wie weit ist meinem Unternehmen geholfen, wenn beispielhaft Nicht-zielgerichtete Angriffe, wie WannaCry oder Petya, ausgeschlossen sind und keine Leistung erfolgt.

Eine andere Stolperfalle sind Obliegenheiten wie die „Stand der Technik Klausel“. Diese besagt, dass die IT-Sicherheit immer dem aktuellen Stand der Technik entsprechen muss. Doch was bedeutet das genau? Verstoße ich bereits gegen die Klausel sobald ich ein Windows-Update nicht umgehend ausgeführt habe und genau in dieser Zeit erfolgt ein Cyber-Angriff? Die Klausel bietet im Schadenfall viel Interpretations- und Diskussionsspielraum. Daher sollte sie tunlichst nicht in den Obliegenheiten auftauchen.

 

Datenschutz und Cyberversicherung

Durch die Einführung der Datenschutz-Grundverordnung am 25. Mai 2018, war klar, dass die Notwendigkeit einer Cyberversicherung steigen wird. Warum? Datenpannen oder Cyber-Attacken sind meldepflichtig geworden und werden zudem sehr oft bestraft, da die Aktivität der Aufsichtsbehörden stetig zunimmt. Zwar kann eine Cyberversicherung nicht direkt Bußgelder oder Ordnungswidrigkeiten begleichen, dennoch werden verschiedene Leistungen erbracht, damit ein Unternehmen erst gar kein Bußgeld erlangt.

Es gibt verschiedene Cyberversicherungen, welche Versicherungsschutz für Dritt- und Eigenschäden bieten, die auf einer Datenrechtsverletzung, einer IT-Sicherheitsverletzung oder einem Hacker-Angriff beruhen (i.d.R. optional). Wichtig dabei zu beachten ist allerdings, dass Bußgelder, die unmittelbar gegen den Versicherungsnehmer, ein versichertes Unternehmen oder eine versicherte Person verhängt werden, bei vielen Versicherungen nicht versichert sind. Jedes Unternehmen sollte geeignete Vorkehrungen mit Ihrem Datenschutzbeauftragten treffen, sodass die Cyberversicherung in möglichst vielen Fällen auch leisten kann.

Menü