Womöglich haben Sie den Begriff Cyber-Versicherung (auch Datenschutz-Versicherung, Data Protect oder Hacker-Versicherung) schon mal gehört? Viele sprechen davon in den höchsten Tönen oder beschreiben ihn als das „nächste große Ding“, worauf Unternehmen nicht mehr verzichten sollten. Oder verkaufen ihn als Mega-Trend, der im Grunde gar nicht so großartig ist, wie alle sagen. Wie bei den meisten Dingen liegt die Wahrheit irgendwo dazwischen: Eine Cyber-Versicherung kann ein hilfreiches Tool sein, das im Falle eines digitalen Sicherheitsvorfalls ermöglicht, das Risiko zu übertragen - allerdings nur bei richtiger Anwendung.
Warum sollten Sie eine Cyber-Versicherung abschließen?
Im letztjährigen Bericht von Ponemon zum Thema Steigende Kosten für Cyber-Angriffe wurde dies sehr wortgewandt dargestellt: „Weltweit sind Unternehmen der Meinung, dass Sicherheitsvorfälle so normal wie eine Erkältung geworden sind, doch eine Behandlung weitaus mehr kostet.“ Wie teuer genau ist sowas? Laut Angaben des Branchenverbands BITKOM entsteht bei Unternehmen durch Cyber-Angriffe jährlich ein Schaden von rund 50 Milliarden Euro. Am stärksten betroffen ist dabei die Autoindustrie mit 68 Prozent, gleich darauf folgt die Chemie- und Pharmaindustrie mit 66 Prozent sowie das Bank- und Finanzwesen. Etwa die Hälfte aller Unternehmen sind in den vergangenen zwei Jahren Opfer von digitalen Angriffen geworden. Im Visier stehen vor allem mittelständische Unternehmen (61 Prozent).
Man wünschte sich, dass die Leute die Zahlen sehen und dementsprechend Sicherheitsvorkehrungen für ihr Unternehmen treffen. Aber die Realität sieht meistens anders aus. Vielen Firmen fehlt das Verständnis, mangelt es an Fähigkeiten oder sie scheitern am Finanziellen, um die Aufgabe angemessen zu bewältigen. Sollte Ihr Unternehmen in einer solchen Situation sein und Sie Ihr Sicherheitsniveau verbessern wollen, kann eine Versicherung ein probates Mittel darstellen, um die Brücke zu schlagen. Doch sie schafft keine Abhilfe, wenn Sie noch nicht mit der Absicherung Ihrer Firma bereits begonnen haben.
Welche Möglichkeiten gibt es?
Bevor Sie mit der Suche nach Cyber-Versicherung anfangen, sollten Sie sich mit den zwei Arten von Versicherung vertraut machen. Die erste deckt die Risiken von Eigenschaden ab, heißt, den Verlust oder Schaden von eigenen Daten. Die zweite deckt die Risiken von Dritten ab (Betriebshaftpflicht), was die Haftung der Kunden oder Regierung und Behörden einschließt.
Bei einem typischen Sicherheitsvorfall hilft Ihnen die Eigenschadenversicherung bei den Kosten für die Anzeige, forensischen Untersuchungen, (Daten-)Wiederherstellung und operative Dienste für die Betroffenen. Die Betriebshaftpflicht entlastet Sie bei den Kosten für behördliche Geldbußen und Gebühren oder Rechtsverfahren sowie von betroffenen Kunden erhobenen Ansprüchen. Die meisten Firmen würden wahrscheinlich von beiden Versicherungen profitieren. Unternehmen aus streng regulierten Branchen wie Bildungs- und Gesundheitswesen müssen sicherstellen, dass sie eine vernünftige Betriebshaftpflicht abschließen.
Was sollte man nicht tun?
Bei der Wahl einer Versicherung sollte man vor allem auf zwei Dinge besonders achten: Haftungseinschränkungen und Haftungsausschlüsse. Dabei werden die häufigsten Fehler gemacht und dies kann Ihren ganzen Versicherungsplan zum Scheitern bringen. Vergewissern Sie sich daher, ob Sie an Folgendes gedacht haben:
- Rückwirkende Abdeckung
Stellen Sie zum Beispiel erst einen Tag nach Versicherungsabschluss einen Sicherheitsvorfall fest, der bereits einen Monat alt ist, wird Ihre Versicherung wohl kaum für den Schaden aufkommen. Manchmal ist es möglich, die Versicherung rück zu datieren, um die Wahrscheinlichkeit einer Kostenübernahme in diesen Situationen zu erhöhen.
- Unverschlüsselte Daten
Auch wenn Ihre Hauptdatenbank verschlüsselt ist, wird der Schaden im Falle eines Datenverlusts durch Mitarbeiter oder Auftragnehmer nicht abgedeckt.
- Fahrlässiges Verhalten
Eine Cyber-Versicherung gibt Ihnen nicht das Recht, Ihre Firma ungenügend abzusichern - es bestehen Anforderungen für angemessene Standards beim Daten- und Netzwerkschutz. Unseren Erfahrungen nach weigern sich mehr und mehr Versicherungsgesellschaften, Beträge an Firmen auszuzahlen oder Unternehmen überhaupt zu versichern, wenn sie über ungenügende Sicherheitsvorkehrungen verfügen. Daher ist es entscheidend zu klären, was Ihr Versicherer als angemessenen Standard definiert.
- Datentransfer an Dritte
Viele Versicherungspolicen umfassen keine Daten, die in den Händen von Externen liegen, wie etwa ausgelagerte Supportgruppen, Cloud Services, externe Anbieter oder Marketing- und PR-Abteilung. Hier ist es wichtig, dass diese Stellen eine eigene Betriebshaftpflicht abschließen.
- Cloud und mobile Daten, Papierakten
Das mag für Einige klar sein, aber Aufzeichnungen, also physische Papierausdrucke werden normalerweise nicht durch eine Cyber-Versicherung abgedeckt. Was noch weniger offensichtlich ist: Daten auf mobilen Geräten (einschließlich Laptops, Smartphones und Tablets) oder Daten in der Cloud können in der Police ebenfalls nicht enthalten sein.
- Benachrichtigungen
Auch wenn es normal scheint, dass die Eigenschadenversicherung die Benachrichtigung aller betroffenen Kunden bei einem Vorfall umfasst, muss es nicht so sein. Dies sollten Sie vor Abschluss gegenprüfen lassen.
- Überwachungsdienstleistungen
Da schwerwiegende Sicherheitsvorfälle eine alltägliche Angelegenheit geworden sind, haben sich einige Reaktionen zum Standard entwickelt. Im Falle eines Sicherheitslecks, in dem die Bankkarte oder die Sozialversicherungsnummer verwickelt sind, erwarten die Kunden Überwachungsleistungen, auch über Jahre hinweg, denkt man beispielsweise an die langfristigen Folgen bei einem Diebstahl von medizinischen Daten.
- Datenwiederherstellung
Geht es bei einem Sicherheitsvorfall eher um Datenverlust als (oder zusätzlich) um Datendiebstahl, liegt Ihnen wahrscheinlich einiges an Wiederherstellung der Informationen. Abhängig vom Wesen und Ausmaß des Schadens kann dies schnell zu hohen Kosten führen, so dass manche Policen dies nicht abdecken. Wenn Sie auf diesen Punkt verzichten wollen, machen Sie regelmäßige Backups.
Unabhängig von der Größe des Unternehmens oder der Branche, ist es ratsam, Ihre Recherche mit einer gründlichen Risikobewertung zu starten, um den tatsächlichen Abdeckungsbedarf zu bestimmen. Vergewissern Sie sich, dass Sie alle Gruppen innerhalb Ihres Unternehmens einschließen, um so viele Risiken wie möglich zu erfassen.
Vergessen Sie nicht, dass Sie sich nicht gegen Geschäftsverlust aufgrund von Imageschäden nach einem Sicherheitsvorfall versichern können. Und diese Kosten können erheblich sein. Laut des diesjährigen Berichts von Ponemon kann ein Sicherheitsvorfall einem Unternehmen in manchen Branchen im Durchschnitt 4 Prozent der Kunden kosten. Nehmen Sie lieber Sicherheitsmaßnahmen in Kauf, als sich auf die Versicherung im Falle eines Falls zu verlassen.