Perfide Attacken durch Hacker

Cyberversicherungen dienen als Rettungsschirm

Immer perfider gestalten sich mittlerweile die Attacken von Cyberkriminellen. Neben der entsprechenden ­technologischen Absicherung mittels IT-Sicherheit, ­Backup oder Hochverfügbarkeit können spezielle ­Cyberversicherungen Unternehmen nach einem Angriff aus der Klemme helfen.

Versicherungen dienen als Rettungsschirm

Mit Cyberversicherungen als Rettungsschirm können sich Unternehmen gegen Hackerangriffe wappnen.

Speziell für den IT-Bereich bieten Versicherer verschiedene Policen an. Im Grunde genommen decken Cyberversicherungen für Unternehmen Eigen- und Drittschäden ab, die durch eine Datenschutzverletzung, Datenvertraulichkeitsverletzung oder Netzwerksicherheitsverletzung entstanden sind, skizziert Johannes Steffl, Head of Underwriting Cyber bei HDI Global SE, das Angebot. Dabei können Haftpflichtansprüche Dritter oder eigene Kosten und Aufwendungen des Unternehmens zur Bewältigung des Cybervorfalls Folge dieser Schäden sein. „Neuere Policen bieten beispielsweise auch finanzielle Entschädigung bei Betriebsunterbrechungen infolge eines Ausfalls von Cloud- oder IT-Dienstleistern“, ergänzt Steffl.

Die Gründe, warum die Unternehmensverantwortlichen entsprechende Cyberpolicen abschließen sollten, sind vielfältig. Grundsätzlich federn Versicherungen den finanziellen Schaden nach erfolgreichen Cyberattacken ab. „Deshalb nennen wir sie auch die Feuerversicherung des 21. Jahrhunderts“, betont Sascha Michel Kessel, Leiter Competence Center Cyber der Schunck Group. Denn bei Datenabfluss, Betriebsunterbrechungen oder Haftpflichtforderungen Dritter steigen die Kosten rasant. Sie könnten sogar schnell die Existenz von Unternehmen gefährden. „Eine Betriebs- und Vermögensschadenhaftplicht reicht hierfür nicht aus“, betont Kessel.

Zunehmende Vernetzung, höheres Risiko


Da die zunehmende Digitalisierung und Vernetzung von Prozessen, Maschinen, Anlagen, Standorten und weltweiten Lieferketten gleichzeitig zu einer immer größeren Störanfälligkeit führen, sind im Grunde Unternehmen aller Größen von Cyberrisiken betroffen. „Daher gibt es inzwischen Versicherungsschutz gegen Cybergefahren für Unternehmen jeder Größe: vom selbstständigen Handwerksmeister über den Mittelständler mit 50 Mio. Euro Jahresumsatz bis hin zu großen Industriekonzernen und Global Playern“, berichtet Johannes Steffl. Ähnlich argumentiert Hanno Pingsmann, Geschäftsführer bei Cyber-Direkt: „Grundsätzlich kann heutzutage jedes Unternehmen Opfer von Cyberattacken werden.“ Doch vor allem Firmen, die mit einer großen Anzahl an vertraulichen und sensiblen Daten arbeiten oder bei einer Betriebsunterbrechung mit hohen finanziellen Einbußen zu rechnen hätten, sollten die Absicherung von Cyberrisiken prüfen.

Bei der Auswahl der Policen sollten die Verantwortlichen ihr Augenmerk schließlich auf verschiedene Bausteine legen. „Es sollten in jedem Fall Eigen- und Drittschäden abgedeckt sein, insbesondere auch Betriebsunterbrechungsschäden infolge von Cyberzwischenfällen“, weiß Johannes Steffl. Weitergehende Assistance-Leistungen wie IT-Forensik und Krisenkommunikation seien ebenfalls empfehlenswert. Außerdem sollten die Deckungssummen für die Größe bzw. die Umsatzhöhe des zu versichernden Unternehmens angemessen sein.

Weitere Details nennt Oliver Schulze, Rechtsanwalt und Experte für Cyberversicherungen bei der Gothaer. So gebe es diverse, optional angebotene Vertragsbausteine, wie beispielsweise eine Deckung für PCI-DSS-Vertragsstrafen. Das heißt, für Strafzahlungen, die dann anfallen können, wenn das versicherte Unternehmen Kreditkartendaten von Kunden verliert. „Dies ist insbesondere für Unternehmen relevant, die Kreditkartendaten von Kunden vorhalten. Ist das in einem Betrieb nicht der Fall, lohnt sich der Kauf des Bausteins kaum“, so Schulze weiter. Zum einen rät er dazu, beim Einkauf von Cyberversicherungen genau die Bausteine zusammenzustellen, die den Gegebenheiten und der Risikosituation im Unternehmen gerecht werden. Zum anderen seien die Versicherungssumme und der Selbstbehalt wichtige Vertragsinhalte.

Erste Schritte im Schadenfall


Doch was ist zu tun, wenn Unternehmen erfolgreich angegriffen wurden? „Die schnellstmögliche Einbeziehung von Spezialisten für Incident Response und IT-Forensik ist der wichtigste Schritt, um zeitnah Sofort- und Gegenmaßnahmen einzuleiten“, betont Hanno Pingsmann. Mitunter beinhalten die Tarife den 24/7-Zugang zu solchen IT-Dienstleistern, so dass die Kunden im Notfall jederzeit technische Hilfe in Anspruch nehmen können.

Bei den Sofortmaßnahmen geht es darum, umgehend sämtliche Schritte einzuleiten, um mögliche Schäden zu reduzieren. „Dabei entscheidet sich im Schadenfall, ob es die Sicherung bestimmter Vorgänge ist oder die Wiederherstellung von Daten und Programmen sowie Maßnahmen, um zumindest die wichtigsten Systeme wieder ans Laufen zu bekommen und Betriebsunterbrechungen zu verhindern“, erklärt Kessel. Aus diesem Grund sei es wichtig, bereits im Vorfeld einen Krisenplan zu erarbeiten, ähnlich wie bei einer Brandschutzübung. „Viele unterschätzen, dass IT-Sicherheit immer Chefsache sein sollte. Denn stets steht der Geschäftsführer in der Verantwortung, solche Fälle zu vermeiden“, betont Kessel weiter.

Aufsehenerregende Präzedenzfälle


Darüber hinaus ist laut Pingsmann ein professionelles Krisenmanagement erforderlich, um die richtigen Maßnahmen einzuleiten und zu koordinieren. Dabei gehe es in erster Linie um die Analyse der Ursache und Beseitigung der Bedrohungslage. Vielfach ist eine Meldung an die Datenschutzbehörde innerhalb der 72-Stundenfrist erforderlich. „Zudem müssen Anweisungen an Mitarbeiter, Kunden und Lieferanten ausgegeben werden, um z.B. eine weitere Verbreitung von Schadprogrammen zu stoppen. Es ist auch im Interesse des Versicherers, diese Schritte schnellstmöglich einzuleiten, daher deckt die Cyberversicherung auch das Krisenmanagement mit ab“, betont Pingsmann.

Präzedenzfälle, inwieweit Schäden reguliert wurden, gibt es bereits zuhauf. „Einer unserer deutschen Kunden besitzt eine Produktionsstätte in Südafrika, die in der Vergangenheit Opfer eines Hackerangriffs wurde. Unser externer IT-Forensiker, den wir im Rahmen der Assistance-Leistungen den Kunden zur Verfügung stellen, hat das betroffene Unternehmen dabei unterstützt, die Folgen des Angriffs binnen 48 Stunden zu beheben, so dass es zu keinem wesentlichen Produktionsstillstand kam“, erläutert Johannes Steffl die konkrete Schadenregulierung.

Auf einen weiteren Fall aus dem Jahr 2017 verweist Hanno Pingsmann. Hier wurden Kosten von drei Millionen Euro für IT-Forensik, Krisenkommunikation und Betriebsunterbrechung reguliert. „Der Cyberschaden wurde in diesem Fall durch einen Innentäter ausgelöst, der nach Verlust seiner Stelle im IT-Bereich eines Dienstleisters gezielte Aktionen durchführte“, so Pingsmann. Den größten Schadenfall im Jahr 2017 hatte laut Pingsmann jedoch der Pharmakonzern Merck zu beklagen. „Es wird erwartet, dass eine Schadenregulierung von bis zu 275 Mio. US-Dollar auf die Versicherungsgesellschaften zukommt“, so Pingsmann weiter.

Doch nicht immer kommt es zu Schäden in Millionenhöhe, vielmehr sind zunehmend auch kleinere Firmen sowie der Mittelstand regelmäßig betroffen. „In kleineren Bereichen geht es hauptsächlich um Verschlüsselungstrojaner, neudeutsch Ransomware. Das Versenden von mit dieser Angriffsvariante verseuchten E-Mails und die darauffolgende Erpressung (Zahlung von Lösegeld gegen Bekanntgabe des Entschlüsselungscodes) ist mittlerweile eine echte eigene Industrie geworden, die hohe Umsätze erzielt“, betont Oliver Schulze.

Dies ist ein Artikel aus unserer Print-Ausgabe 12/2018. Bestellen Sie ein kostenfreies Probe-Abo.

In diesem Zusammenhang gibt Sascha Michel Kessel abschließend folgenden Tipp mit auf den Weg: „Wiederherstellungs- und Rettungskosten aufgrund von Hackerangriffen und Ransomware sind in nahezu allen Produkten inkludiert. Eine erpressungsbedingte Betriebsunterbrechung in der Regel auch. Schwieriger wird es, wenn es um die Zahlung von Lösegeldern geht. Unternehmer sollten darauf achten, dass diese ebenso mitversichert ist.“


Welche Risiken lassen sich abdecken?

Mit den hierzulande üblichen Cyberversicherungen lassen sich zum einen die aus Cyberkriminalität und sonstigen Datenrechtsverletzungen resultierenden Haftpflichtrisiken abdecken, die immer dann entstehen können, wenn Daten abhanden kommen. Zum anderen leisten Cyberversicherungen aber auch Ersatz für aus Cyberkriminalität entstehende Eigenschäden der Unternehmen, wie eine Betriebsunterbrechung als Folge eines Hackerangriffs, und bieten darüber hinaus diverse Assistance-Bausteine, wie etwa Forensik oder Krisenmanagement. Diese Assistance-Dienstleistungen werden in der Regel nicht vom Versicherer selbst erbracht, sondern durch spezialisierte, vom Versicherer beauftragte Firmen.

Quelle: Oliver Schulze, Rechtsanwalt und Experte für Cyberversicherungen bei der Gothaer


Versicherungsschutz

Eine Cyberversicherung sollte aus mindestens folgenden drei Leistungsbausteinen bestehen:

  •   Einer Assistance, die im Schadenfall sofort mit technischen und organisatorischen Dienstleistungen unterstützt
  •   einer Eigenschadendeckung, beispielsweise für den Fall der Betriebsunterbrechung
  •   einer Haftpflichtkomponente für eventuelle Schadensersatzforderungen Dritter.

Quelle: Sascha Michel Kessel, Leiter Competence Center Cyber der Schunck Group


Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok