Allianz Cyber Protect und Zurich Cyber & Data Protection

Neue Versicherungen gegen IT-Risiken

Die klassische IT-Haftpflicht deckt in der neuen Ära des Web 2.0 längst nicht mehr alle Risiken ab, wenn etwa Spione Daten stehlen, Internetkriminelle Schadprogramme in Netze einschleusen oder Hacker Server mit Denial-of-Service-Attacken lahmlegen. Deswegen haben jetzt mit der Allianz und der Zurich zwei Global Player der Versicherungsbranche neue Policen lanciert, die aktuelle Cyber-Risiken abdecken. Dabei kombiniert Zurich Haftpflicht- und Eigenschadendeckung, während die Allianz neben einer Standarddeckung auch zwei Varianten als „maßgeschneiderte“ Lösungen für Unternehmen bietet.

Der IT-Betrieb wird immer gefährlicher. Die Vereinigung der Bayerischen Wirtschaft schätzt den Schaden durch Internetkriminalität für die deutsche Wirtschaft auf mittlerweile 50 Mrd. Euro jährlich. Zugleich verschärfen sich die Vorschriften für die Unternehmen, etwa durch Novellen des Bundesdatenschutzgesetzes oder die geplante EU-weite Meldepflicht von Hackerangriffen. Dies bedeutet, dass IT-Chefs immer mehr Datenschutz-Vorschriften implementieren müssen, um Bußgelder oder Haftungsfälle zu vermeiden.

Doch obwohl die Folgen von Cyber-Angriffen für Kunden und die eigene Reputation intensiv diskutiert werden, unterschätzen viele IT-Chefs nach wie vor die Risiken. Das ist eines der zentralen Ergebnisse des „Cyber Risk Survey2013“ des Risiko- und Versicherungbrokers Marsh, in dem 22 Prozent der Befragten zugaben, in ihrem Unternehmen sei bislang nicht einmal eine Abschätzung der finanziellen Folgen eines Cyber-Angriffs vorgenommen worden. Weiterhin sagten 54 Prozent, dass ihr Unternehmen erst kürzlich Ziel eines Cyber-Angriffs gewesen sei.

Viele IT-Chefs haben laut Marc Heitmann, Leiter des Branchenteams Communications, Media & Technology bei Marsh Mühe, „eine klare Strategie auszuarbeiten, mit der diese Gefahren effektiv eingedämmt werden können.“ Bei der Marsh-Umfrage gaben lediglich 12 Prozent der Befragten an, dass ihr Unternehmen bereits gegen Cyber-Attacken versichert sei, obwohl 76 Prozent die am Markt verfügbaren Versicherungsprodukte kennen. Dieses Missverhältnis zeigt laut Heitmann „deutlich, dass die Versicherungsbranche Unternehmen noch besser über die Risiken im Umgang mit Daten aufklären und die Entwicklung von Absicherungslösungen, die auf die Kundenbedürfnisse zugeschnitten sind, vorantreiben muss.“

Das versuchen jetzt offenbar Allianz und Zurich. Allianz Global Corporate & Specialty (AGCS) etwa will Cyberversicherungen, die in den USA bereits rund 990 Mio. Euro zum jährlichen Prämienvolumen der Branche beitragen, auch hierzulande etablieren. „In Deutschland und Europa besteht eindeutig Aufholbedarf“, sagt AGCS-Vorstandsmitglied Hartmut Mai. „Wir sind überzeugt, dass sich Cyberversicherungen auch hierzulande zu einer eigenständigen Produktgattung in der Industrieversicherung entwickeln werden.“ In Europa sei mit Cyberversicherungen bis 2018 ein Prämienvolumen von 700 bis 900 Mio. Euro erreichbar.

Die Police Zurich Cyber & Data Protection schützt durch eine Kombination von Haftpflicht- und Eigenschadendeckung im Rahmen der Haftpflichtdeckung gegen Vermögenseinbußen aus datenschutzbezogenen Pflicht- und Vertraulichkeitsverletzungen eigener Mitarbeiter und bietet finanzielle Sicherheit bei Betriebsunterbrechungen aufgrund von IT-Sicherheitslücken. Zusätzlich ist auch eine zusätzliche Internet-Medien-Haftpflichtdeckung möglich, die z.B. die Verletzung von Persönlichkeits- oder Urheberrechten abgedeckt. Bisher waren diese Risiken nur in Teilen, etwa über eine Vertrauensschadendeckung, versicherbar.

Im Schadensfall verspricht die Zurich auch über die Eigenschadendeckung hinaus Hilfe, um wirtschaftlichen Schäden durch Reputationsverluste oder der Unzufriedenheit von Kunden zu mindern, beispielsweise durch Public-Relations-Maßnahmen. Dabei bestimmt – neben Größe oder Branche des Kunden – vor allem die Qualität seiner IT-Sicherheitsmaßnahmen die Höhe der Versicherungsprämie. Das genaue Volumen legt Zurich nach einer Prüfung der hauseigenen Risikomanager fest; die Mindestprämie liegt bei etwa 5.000 Euro jährlich; die Deckungssumme ist frei wählbar (maximal 25 Mio. Euro).

„Unsere Kunden können den Cyberschutz wählen, der ihrem Risikoprofil entspricht. Je nach Geschäftsmodell und IT-Anwendungen ist das Angriffsrisiko höher oder niedriger“, erklärt Joachim Albers, der bei AGCS die spartenübergreifende Entwicklung des neuen Produkts koordiniert hat. Das soll mittelfristig die IT-Versicherung Global Net & ESI Net ablösen, die AGCS seit 2004 ausgewählten Großkunden nur in Deutschland angeboten hatte.

Allianz Cyber Protect deckt vielfältige Eigen- und Drittschäden, die Unternehmen als Opfer von Internetkriminalität selbst erleiden oder für die sie von ihren Kunden haftbar gemacht werden können. Sie ersetzt mit einer Deckungssumme von bis zu 10 Mio. Euro z.B. auch Aufwände für die Benachrichtigung von Kunden oder IT-forensische Analysen bei der Ursachenforschung, für die Wiederherstellung zerstörter Daten oder für Ertragsausfälle durch Betriebsstörungen, aber auch für Krisenkommunikation zum Reputationsschutz. Außerdem kommt Allianz auch für Haftpflichtschäden auf, die Kunden des versicherten Unternehmens durch Hackerangriffe, Denial-of-Service-Attacken, Datenschutzverletzungen oder fehlerhafter digitaler Kommunikation erleiden.

„Unser Ziel war es, ein transparentes Versicherungsprodukt zu entwickeln, das unkompliziert abzuschließen ist und sich an die jeweiligen Bedürfnisse eines Unternehmens anpassen lässt“, erklärt Mai. Bei den Varianten „Premium“ und „Premium plus“ handelt es um individuelle Lösungen mit bis zu 50 Mio. Euro Versicherungssumme und erweitertem Deckungsumfang, der auch von einem Unternehmen selbst verschuldete Prozessschwächen oder Mitarbeiterfehler als Auslöser für IT-Ausfälle oder Datenpannen einschließt. Beide Varianten setzen eine ausführliche Vorabprüfung der IT-Prozesse des Unternehmens durch Risikoingenieure von AGCS voraus. Sie begleiten den Kunden auch in der Verbesserung seines Risikomanagements, wobei die Prävention und eine kontinuierliche Verbesserung der eigenen Schwachstellen Vorrang haben sollten.

Anders als Arbeitsprozesse, kann die Verantwortung für IT-Sicherheit nicht ausgelagert werden. Kommt es z.B. durch den Einsatz von Spyware zum elektronischen Diebstahl von Kundendaten, muss das Unternehmen voll für alle entstandenen Schäden aufkommen. Jedes Unternehmen, das Daten verarbeitet oder speichert, seien es Daten von Arbeitnehmern, Kunden, Zulieferern oder Geschäftspartnern, ist diesen potenziellen Kostenrisiken aufgrund von Verletzungen der Vertraulichkeit oder des Datenschutzes ausgesetzt.

www.zurich.de

www.agcs.allianz.com

http://deutschland.marsh.com

Bildquelle: Zurich

„Cyber Risk Survey2013“ des des Risiko- und Versicherungbrokers Marsh

Allianz-Studie Geschäftsrisiken 2013: Deutsche Industrie fürchtet Qualitätsmängel

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok