Datenschutz verstehen – Cyberversicherung für Unternehmen: Was ist das & was leistet sie?
Die IT-Infrastruktur einer Unternehmung ist heute auch schon bei kleineren Betrieben nicht mehr wegzudenken. Die Anforderungen an die IT-Infrastruktur wachsen stetig, so ist es heute von großer Bedeutung kollaborativ, agil und effizient im Unternehmen arbeiten zu können. So kommt es, dass die Verfügbarkeit der IT-Infrastruktur in den Bereich der Vermögensschaden-Versicherung fällt. Diese Art der Versicherung wird als Cyberversicherung für Unternehmen beziffert. Eine Cyberversicherung oder auch Internet-Versicherung soll Unternehmen grundsätzlich vor Schäden im Zusammenhang mit Datenpannen, Hackerangriffen und noch weiteren Schäden schützen.
Man spricht hier oft auch von dem Cyberschutz. Im Rahmen von diesem Beitrag haben wir mehrere unabhängige Experten zu diesem Thema befragt, um Ihnen eine transparente Aufklärung über die Cyberversicherung zu ermöglichen. Als Datenschutz- und IT-Sicherheits-Experten erklären wir Ihnen Schritt für Schritt, ob eine Cyberversicherung sinnvoll ist und was für Risiken genau abgedeckt werden. Eine Studie aus 2018 zeigt, dass viele Unternehmen gleich mehreren Cyber-Attacken ausgesetzt waren.
Was bedeutet Cyber-Security?
Cyber beziffert die digitale Welt und ganz grundsätzlich gesagt das gesamte Internet und alle damit verbundenen Endgeräte, Server und Strukturen. Als Cyber-Security oder auch Cyber-Sicherheit bezeichnet man die Schutzmaßnahmen von Computern, Servern, Mobilgeräten, Unternehmens-Netzwerken und Daten vor Hacker-Angriffen. Der Begriff ist sehr weitreichend und gilt für alles von IT-Sicherheit über Notfall-Backup-Strategien, also die Wiederherstellung nach einer Datenpanne, bis hin zur Schulung von Endbenutzern.
Wir bei Keyed definieren Cyber-Security oder auch IT-Sicherheit als eine Sammlung von Richtlinien, organisatorischer und technischen Maßnahmen und Rollen- und Berechtigungskonzepten, um Daten zu schützen. Hierbei wird nicht wie im Datenschutz die Differenzierung rechtlicher Natur zwischen personenbezogenen Daten vorgenommen. Im Fokus steht die Datensicherheit von allen Datenkategorien im Unternehmen. Aus Erfahrung können wir schon jetzt festhalten, dass die IT-Sicherheit mit den Mitarbeitern eines Unternehmens steht und fällt, denn der Mensch kann der beste Schutz gegen Cyber-Attacken sein oder das Gegenteil.
Betroffene Unternehmen 2018 in Deutschland
- %
- %
Arten von Cyberangriffen
Es gibt zahlreiche unterschiedliche Bedrohungen, die durch Cyber-Sicherheit im Unternehmen beseitigt werden sollen. Der durchschnittliche Mitarbeiter kommt mit schädlichem Code vorwiegend über Anhänge unerwünschter E-Mails oder durch Herunterladen von Programmen in Kontakt, die zwar vertrauenswürdig aussehen, aber in der Realität Malware verbreiten. Die meisten Unternehmen haben mit den folgenden Arten von Cyberkriminalität zu kämpfen:
Phishing ist wohl eine der bekanntesten Versuche, um Unternehmens-Netzwerke mit schädlicher Software zu verseuchen. Beim Phishing werden gefälschte E-Mails mit schädlichen Anhängen an Postfacher der Mitarbeiter eines Unternehmens versendet. In den meisten Fällen, werden durch das Öffnen dieser Anhänge, dann die verschiedenen Programme gestartet, welche Zugangsdaten und persönliche Daten auslesen.
Ein DDoS-Angriff ist eine sehr beliebte Art der Cyber-Kriminalität. Der Distributed-Denial-of-Service (DDoS) ist ein „verteilter“ Denial-of-Service (DoS), der wiederum eine Verfügbarkeits-Blockade darstellt. Diese liegt vor, wenn ein angefragter Dienst, zum Beispiel Ihr SAP, nur noch stark eingeschränkt verfügbar ist. Ausgelöst wird ein DDoS-Angriff in den meisten Fällen eine Überlastung der IT-Infrastruktur. Angreifer nutzen diese Art der Cyber-Kriminalität, um von ungeschützten Unternehmen Lösegelder zu erpressen.
Botnets werden umgangsprachlich auch als “Geisternetzwerke” bezeichnet, das liegt daran, dass Hacker ohne Kenntnis von Mitarbeitern oder Unternehmen Computer miteinander verbinden und deren Ressourcen kriminell zu Ihren eigenen Zwecken nutzen. Je mehr Bots zu einem Netzwerk gehören, desto größer ist auch die Masse der gleichzeitig aktiven Computer. Mit dieser Masse an ferngesteuerten Computern können sehr große Anfragen an andere Server gesendet werden, sodass diese Serverstrukturen überlastet werden.
Als Malware bezeichnet man Software, welche entwickelt wurde, um unerwünschte und gegebenenfalls schädliche Funktionen auszuführen. In den meisten Fällen wird Malware über die oben beschriebene Verfahrensweise des Phishings verbreitet.
Ransomware (auch Scareware oder Erpressersoftware genannt) schränkt den Zugriff auf Programme oder Ihr gesamtes Computersystem ein, und verlangt die Zahlung eines Lösegelds, damit die Einschränkung wieder behoben wird. Die gefährlichsten Ransomware-Angriffe gingen von WannaCry, Petya, Cerber aus. In der Regel wird durch die Zahlung eines Lösegeldes in digitaler Währung das Problem der Ransomware in keiner Weise gelöst, denn mit der Zahlung des Lösegeldes geben Sie den Hackern preis, dass Sie keine andere Möglichkeit haben Ihre Systeme verfügbar zu machen. Das hat zur Folge, dass viele Unternehmen spätestens 3 Wochen später einen erneuten Angriff erleiden.
Beim Trojaner handelt es sich nicht nur um eine der ältesten Varianten, seinen Gegner zu täuschen, welche sogar in die Geschichte eingingen, sondern leider auch um eine aktuelle Cyber-Attacke. Ein Backdoor-Trojaner ermöglicht Cyberkriminellen die Fernsteuerung des infizierten Computers eines Unternehmens. So kann der Angreifer beliebige Aktionen auf dem infizierten Gerät durchführen, z. B. Dateien senden, empfangen, downloaden und löschen, Daten anzeigen oder den Computer neu starten.
Der Begriff des Virus ist häufig nicht klar definiert. So ist die Rede von Virenschutz, womit viel allgemeiner der Endgeräte-Schutz vor Schadsoftware jeglicher Art gemeint ist. Ein typischer Virus verbreitet sich, während die heute gängigen Schadprogramme die Struktur von Trojanischen Pferden zeigen, deren primärer Zweck nicht die Verbreitung, sondern die Fernsteuerbarkeit ist, ähnlich wie bei einem Botnet.
Experten-Interview Cyberversicherung
In unserem Interview mit dem unabhängigen Experten für Cyberversicherungen von der Dobrindt & Hülsbruch GmbH erfahren Sie, vor welchen Risiken sich Unternehmen mit einer Cyberversicherung schützen können und welche Leistungen und Kosten eine Cyberversicherung beinhaltet.
Unter den Begriff Cyber-Risiken sind diverse Risiken zu fassen, die in Folge eines Cyber-Vorfalls entstehen können. Der Begriff beschreibt kein einzelnes Risiko. Als solche Risiken sind insbesondere Datenverluste, Datenschutzverletzungen, die Unterbrechung der IT-Systeme und die Betriebsunterbrechung zu nennen. Aber auch das Ausspähen von Unternehmensgeheimnissen, die Erpressung und Verschlüsselung von Daten.
Eine Cyberversicherung schützt Unternehmen vor den finanziellen Folgen eines Cyber-Vorfalls. Sie ist allerdings keine Investition in die IT-Sicherheit und ersetzt diese auch nicht. Die Cyberversicherung ist Teil des Risikomanagements, um ein Unternehmen gegen die existenzgefährdenden Folgen eines Cyber-Vorfalls abzusichern.
Eine Cyberversicherung leistet im Allgemeinen für Eigenschäden und Drittschäden in Folge eines Cyber-Vorfalls sowie für Notfall-Dienstleistungen, die zur Schadenbegrenzung erforderlich sind. Im Speziellen sind bei Eigenschäden die Kostenübernahme zur Wiederherstellung der Geschäftsdaten oder der Ertragsausfall in Folge einer Betriebsunterbrechung zu nennen. Drittschäden können z.B. die Schadenersatzforderung gegen den Versicherungsnehmer aufgrund einer Weitergabe eines Virus oder einer Datenschutzverletzung sein. Das Dienstleistungspaket umfasst u.a. die Kosten für IT-Forensik zur Ursachensuche, Krisenmanagement, PR-Beratung oder Rechtsberatung.
Die Angebotspalette der Versicherer ist zum jetzigen Zeitpunkt sehr unterschiedlich. Fast jeder Versicherer verwendet für seine Cyberversicherung eine eigene Bedingungsstruktur. Es gibt noch keine Branchenstandards. Einige Versicherer bieten die o.g. Leistungen als Versicherungskern an, die um einzelne Bausteine individuell und bedarfsgerecht angepasst werden können. Solche Bausteine sind z.B. „Betriebsunterbrechung durch Cloudausfall“, „Ersatz von IT-Hardware“ oder „Maßnahmen für Sicherheitsverbesserung nach einem Angriff“. Andere Versicherer bieten auch diese Bausteine in ihrem Komplettpaket an.
Die Leistung im Schadenfall wird begrenzt durch die Versicherungssumme. Grundsätzlich sind Sach- und Personenschäden nicht Gegenstand der Cyberversicherung. Wobei mittlerweile Produkte am Markt existieren, die auch bei Schäden an der IT-Hardware bis zu einer limitierten Summe leisten.
Ebenfalls gibt es Abgrenzungen zu anderen Versicherungssparten. Hier ist z.B. die Vertrauensschadenversicherung zu nennen. Diese leistet beispielweise bei Fake-President- oder CEO-Fraud-Angriffen auf das versicherte Unternehmen. Bei einem solchen Schadenszenario ist die Leistung der Cyberversicherung vom Angriffsweg abhängig. Ein Angriff via Mail ist Gegenstand der Cyberversicherung. Ein Angriff via Telefon eher nicht, da kein Angriff auf die IT vorliegt.
Wie bereits erwähnt ist der Leistungsumfang der Cyberversicherer sehr unterschiedlich. In der Regel sind Schäden die vorsätzlich durch den Versicherungsnehmer oder seiner Repräsentanten verursacht wurden nicht versichert. Ebenso Schäden versicherter Unternehmen und Personen untereinander, Schäden aufgrund von Krieg oder aus der Verletzung von Kartell- und Wettbewerbsrecht, sowie Patenrecht.
Letztendlich ist die Cyberversicherung für jedes Unternehmen sinnvoll, welches digital arbeitet und Daten nicht nur in Papierform verwaltet. Das sollte in der heutigen Zeit auf fast jedes Unternehmen zutreffen.
Das ist ganz unterschiedlich und kann nicht pauschal gesagt werden. Die Prämie ist abhängig von mehreren Kriterien. Diese sind z.B.:
- Jahresumsatz des Unternehmens
- Mitarbeiterzahl
- Anzahl Datensätze
- Art der Daten
- Branche
- Stand der IT-Sicherheit
- Stand des Datenschutzes
Bei der Auswahl sollte nicht die Versicherungsprämie als oberstes Entscheidungskriterium dienen, sondern ein Blick in die Obliegenheiten und Ausschlüsse im Bedingungswerk.
Eine günstige Versicherungsprämie klingt zwar verlockend aber in wie weit ist meinem Unternehmen geholfen, wenn beispielhaft Nicht-zielgerichtete Angriffe, wie WannaCry oder Petya, ausgeschlossen sind und keine Leistung erfolgt.
Eine andere Stolperfalle sind Obliegenheiten wie die „Stand der Technik Klausel“. Diese besagt, dass die IT-Sicherheit immer dem aktuellen Stand der Technik entsprechen muss. Doch was bedeutet das genau? Verstoße ich bereits gegen die Klausel sobald ich ein Windows-Update nicht umgehend ausgeführt habe und genau in dieser Zeit erfolgt ein Cyber-Angriff? Die Klausel bietet im Schadenfall viel Interpretations- und Diskussionsspielraum. Daher sollte sie tunlichst nicht in den Obliegenheiten auftauchen.
Datenschutz und Cyberversicherung
Durch die Einführung der Datenschutz-Grundverordnung am 25. Mai 2018, war klar, dass die Notwendigkeit einer Cyberversicherung steigen wird. Warum? Datenpannen oder Cyber-Attacken sind meldepflichtig geworden und werden zudem sehr oft bestraft, da die Aktivität der Aufsichtsbehörden stetig zunimmt. Zwar kann eine Cyberversicherung nicht direkt Bußgelder oder Ordnungswidrigkeiten begleichen, dennoch werden verschiedene Leistungen erbracht, damit ein Unternehmen erst gar kein Bußgeld erlangt.
Es gibt verschiedene Cyberversicherungen, welche Versicherungsschutz für Dritt- und Eigenschäden bieten, die auf einer Datenrechtsverletzung, einer IT-Sicherheitsverletzung oder einem Hacker-Angriff beruhen (i.d.R. optional). Wichtig dabei zu beachten ist allerdings, dass Bußgelder, die unmittelbar gegen den Versicherungsnehmer, ein versichertes Unternehmen oder eine versicherte Person verhängt werden, bei vielen Versicherungen nicht versichert sind. Jedes Unternehmen sollte geeignete Vorkehrungen mit Ihrem Datenschutzbeauftragten treffen, sodass die Cyberversicherung in möglichst vielen Fällen auch leisten kann.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.