Gestohlene Kundenpasswörter oder E-Mail-Adressen können für Unternehmen teuer werden. Versicherungen bieten darum einen Schutz vor den Folgen von Datenverlust, Spionage und DoS-Attacken.
Identitätsdiebstahl, Wirtschaftsspionage, Datenklau - Beispiele bei Sony, Vodafone oder Adobe haben gezeigt, dass Cyberangriffe für Unternehmen zu einem Problem werden können, wenn sensible Daten wie Kundenpasswörter oder E-Mail-Adressen von Hackern gestohlen werden.
Die aus einem Datenverlust oder Hackerangriff resultierenden Schäden sind, wenn überhaupt, bei vielen Unternehmen oft nur unzureichend über bestehende Versicherungen abgedeckt. Während Cyberpolicen in den USA fester Bestandteil im Versicherungsportfolio von Firmen sind, besteht in Deutschland Aufholbedarf.
Dabei kommen den Versicherungen die strenger werdenden rechtlichen Vorgaben im Bereich des Datenschutzes entgegen. So müssen sich mit der geplanten EU-weiten Meldepflicht von Hackerangriffen oder der EU-Datenschutzgrundverordnung die IT-Verantwortlichen mit der Bedrohung aus dem weltweiten Netz befassen.
"Wir sind überzeugt, dass sich Cyberversicherungen auch hierzulande zu einer eigenständigen Produktgattung in der Industrieversicherung entwickeln werden", sagt Hartmut Mai, Vorstandsmitglied im Allianz-Konzern.
Imageverlust und Betriebsunterbrechung versichern
Vorreiter bei den IT-Policen waren ausländische Spezialversicherer, deren deutsche Gesellschaften Schutz vor Datenklau und Spionage in Deutschland anboten wie zum Beispiel die Versicherer ACE, AIG, Aon, Hiscox und Marsh. Bei den angebotenen Versicherungen fallen die in der Mehrzahl enthaltenen englischen Namensbestandteile der Policen mit "Cyber", "Protect" und "Risk" auf. Auch inhaltlich gibt es große Gemeinsamkeiten der versicherten Risiken.
Neben einer Standarddeckung kann ein Unternehmen zusätzliche Bausteine dazubuchen. Dabei werden sowohl Eigen- als auch sogenannte Drittschäden versichert. Die Eigenschadendeckung umfasst zum Beispiel die Hilfe des Versicherers, die wirtschaftlichen Folgen eines Imageschadens zu mindern.
PR-Maßnahmen und die Kosten von Anwälten werden bezahlt, um den Ansehensverlust eines Unternehmens so gering wie möglich zu halten. Weitere versicherte Risiken sind die finanzielle Sicherheit bei einer Betriebsunterbrechung, die Kosten für die Datenwiederherstellung oder auch Bußgeldklagen.
Zu den klassischen Drittschäden zählen Schäden, die Kunden des versicherten Unternehmens durch Hackerangriffe, Denial-of-Service-Attacken, Datenschutzverletzungen oder fehlerhafte digitale Kommunikation erleiden. Der Versicherungsschutz kann darüber hinaus etwa auf Lösegeldzahlungen an Dritte bei einer Cybererpressung, auf die Verletzung von Persönlichkeits- oder Urheberrechten ausgedehnt werden.
"Je nach Geschäftsmodell und IT-Anwendungen ist das Angriffsrisiko höher oder niedriger", sagt Joachim Albers, der die Entwicklung der Cyberpolice bei der Allianz koordiniert hat. Bei den Premium-Varianten einer Police handele es sich um individuell maßgeschneiderte Lösungen mit bis zu 50 Millionen Euro Versicherungssumme. Darin enthalten sind auch vom Unternehmen selbst verschuldete Pannen oder Mitarbeiterfehler.
Auch die Größe eines Unternehmens und vorhandene IT-Sicherheitsnetze haben maßgeblichen Einfluss auf die Höhe der Versicherungsprämie. Den endgültigen Beitrag legt der Versicherer nach einer Prüfung durch einen Risikomanager fest. Die Mindestprämie liege bei etwa 5.000 Euro pro Jahr, wie der Versicherer Zurich mitteilt.
Wie ein Allianz-Risikomanager erklärt, "ist es wichtig, dass Prävention und eine kontinuierliche Verbesserung der eigenen Schwachstellen Vorrang haben". Denn die Kosten für einen möglichst sicheren Datenaustausch seien immer geringer als der Schaden, der durch Datendiebstahl, Datenverlust oder ein negatives Image entstehe.
Vorreiter bei den IT-Policen waren ausländische Spezialversicherer, deren deutsche Gesellschaften Schutz vor Datenklau und Spionage in Deutschland anboten wie zum Beispiel die Versicherer ACE, AIG, Aon, Hiscox und Marsh. Bei den angebotenen Versicherungen fallen die in der Mehrzahl enthaltenen englischen Namensbestandteile der Policen mit "Cyber", "Protect" und "Risk" auf. Auch inhaltlich gibt es große Gemeinsamkeiten der versicherten Risiken.
Neben einer Standarddeckung kann ein Unternehmen zusätzliche Bausteine dazubuchen. Dabei werden sowohl Eigen- als auch sogenannte Drittschäden versichert. Die Eigenschadendeckung umfasst zum Beispiel die Hilfe des Versicherers, die wirtschaftlichen Folgen eines Imageschadens zu mindern.
PR-Maßnahmen und die Kosten von Anwälten werden bezahlt, um den Ansehensverlust eines Unternehmens so gering wie möglich zu halten. Weitere versicherte Risiken sind die finanzielle Sicherheit bei einer Betriebsunterbrechung, die Kosten für die Datenwiederherstellung oder auch Bußgeldklagen.
Zu den klassischen Drittschäden zählen Schäden, die Kunden des versicherten Unternehmens durch Hackerangriffe, Denial-of-Service-Attacken, Datenschutzverletzungen oder fehlerhafte digitale Kommunikation erleiden. Der Versicherungsschutz kann darüber hinaus etwa auf Lösegeldzahlungen an Dritte bei einer Cybererpressung, auf die Verletzung von Persönlichkeits- oder Urheberrechten ausgedehnt werden.
"Je nach Geschäftsmodell und IT-Anwendungen ist das Angriffsrisiko höher oder niedriger", sagt Joachim Albers, der die Entwicklung der Cyberpolice bei der Allianz koordiniert hat. Bei den Premium-Varianten einer Police handele es sich um individuell maßgeschneiderte Lösungen mit bis zu 50 Millionen Euro Versicherungssumme. Darin enthalten sind auch vom Unternehmen selbst verschuldete Pannen oder Mitarbeiterfehler.
Auch die Größe eines Unternehmens und vorhandene IT-Sicherheitsnetze haben maßgeblichen Einfluss auf die Höhe der Versicherungsprämie. Den endgültigen Beitrag legt der Versicherer nach einer Prüfung durch einen Risikomanager fest. Die Mindestprämie liege bei etwa 5.000 Euro pro Jahr, wie der Versicherer Zurich mitteilt.
Wie ein Allianz-Risikomanager erklärt, "ist es wichtig, dass Prävention und eine kontinuierliche Verbesserung der eigenen Schwachstellen Vorrang haben". Denn die Kosten für einen möglichst sicheren Datenaustausch seien immer geringer als der Schaden, der durch Datendiebstahl, Datenverlust oder ein negatives Image entstehe.
Grenzen der Versicherbarkeit
Wie lässt sich der Imageschaden bemessen, den ein Unternehmen im Falle einer Cyberattacke erleidet? Welchen Wert hat ein Datensatz? Und wie hoch ist der Verlust eines Unternehmens bei einem entdeckten Spionagefall, bei dem Patente erbeutet wurden und danach Imitate auf den Markt kommen?
Da sich Cyberrisiken schnell veränderten und nur schwer einschätzbar seien, würden hier "auch die Grenzen der Versicherbarkeit deutlich", heißt es in einer Studie im Auftrag des Versicherungsverbandes GDV, die vor wenigen Tagen vorgestellt wurde.
Wie lässt sich der Imageschaden bemessen, den ein Unternehmen im Falle einer Cyberattacke erleidet? Welchen Wert hat ein Datensatz? Und wie hoch ist der Verlust eines Unternehmens bei einem entdeckten Spionagefall, bei dem Patente erbeutet wurden und danach Imitate auf den Markt kommen?
Da sich Cyberrisiken schnell veränderten und nur schwer einschätzbar seien, würden hier "auch die Grenzen der Versicherbarkeit deutlich", heißt es in einer Studie im Auftrag des Versicherungsverbandes GDV, die vor wenigen Tagen vorgestellt wurde.
Trotzdem stellten allein in den vergangenen Monaten drei deutsche Versicherer (Zurich, Allianz, HDI-Gerling) neue Policen gegen IT-Risiken vor. Denn Großunternehmen hatten immer wieder bemängelt, dass sie Cyberangriffe nicht adäquat abdecken könnten. (ucy)
Quelle: Dieser Artikel von mir erschien zuerst auf der Seite golem.de.