Cyberspezialisten stehen zur Seite

Haftung bei Eigen- und Drittschäden

Warum Cyberversicherungen sowohl bei Eigen- als auch Drittschäden greifen sollten, erklärt Hanno Pingsmann von Cyber-Direkt im Interview.

Hanno Pingsmann, Cyber-Direkt

Hanno Pingsmann, Geschäftsführer bei Cyber-Direkt

IT-DIRECTOR: Herr Pingsmann, welche Risiken lassen sich aktuell mit Cyberversicherungen abdecken?
H. Pingsmann:
Der Versicherungsschutz deckt Eigen- und Fremdschäden infolge eines gezielten Hackerangriffs, böswilliger Handlungen durch Innentäter oder auch einer ungezielten Ransomware-Attacke ab. Darüber hinaus werden Eingriffe aufgrund von Phishing-Attacken, Schadprogrammen sowie Denial-of-Service-Angriffe und Ausfälle eines Cloud-Dienstleisters versichert. Neben den damit verbundenen Kosten, übernimmt die Cyberversicherung auch Drittschäden und ist damit auch vor dem Hintergrund der ab 25. Mai 2018 gültigen Datenschutz-Grundverordnung (DSGVO) ein sinnvoller Schutz vor Haftungsrisiken.

IT-DIRECTOR: Für welche Unternehmen lohnt sich der Abschluss einer Cyberversicherung?
H. Pingsmann:
Grundsätzlich kann jedes Unternehmen Opfer von Cyberattacken werden. Doch vor allem Firmen, die mit einer großen Anzahl an vertraulichen und sensiblen Daten arbeiten oder bei einer Betriebsunterbrechung mit hohen finanziellen Einbußen zu rechnen hätten, sollten die Absicherung von Cyberrisiken prüfen. Auf unserer Online-Plattform lassen sich Tarifdetails und Preise unkompliziert vergleichen. Das digitale Angebot richtet sich speziell an Unternehmen mit einem Umsatz von bis zu 50 Millionen Euro. Für größere Firmen bereiten wir individuelle Angebote vor.

IT-DIRECTOR: Auf welche Vertragsinhalte sollten die Kunden bei der Auswahl einer passenden Cyberversicherung vor allem achten?
H. Pingsmann:
Die Trigger-Events eines Cyberschadensfalls sollten weit definiert und sowohl für Eigen- als auch Drittschäden greifen. Kunden sollten insbesondere auch Sublimits, Haftzeiten und Selbstbehalte für verschiedene Deckungsinhalte prüfen. Der Versicherungsschutz muss darüber hinaus die Cyberrisiken des Geschäftsmodells des Kunden so umfassend wie möglich abdecken. Für ein Produktionsunternehmen sind die Regelungen zum Ertragsausfall aufgrund einer Betriebsunterbrechung besonders relevant. Ein Software-Anbieter sollte das Szenario nicht erfüllbarer Vertragsleistungen oder die Verletzung des Schutzes personenbezogener Daten bei der Auswahl des Versicherungstarifs priorisieren.

IT-DIRECTOR: Was muss im Schadensfall sofort passieren? Was sind die wichtigsten nachgelagerten Schritte?
H. Pingsmann:
Die schnellstmögliche Einbeziehung eines Spezialisten für Incident Response und IT-Forensik ist der wichtigste Schritt, um zeitnah Sofort- und Gegenmaßnahmen einzuleiten. Einige Cyberversicherungstarife beinhalten einen 24/7-Zugang zu diesen IT-Dienstleistern, so dass der Kunde in einem Notfall jederzeit technische Hilfe in Anspruch nehmen kann. Darüber hinaus ist ein professionelles Krisenmanagement erforderlich, um die richtigen Maßnahmen einzuleiten und zu koordinieren. Dabei geht es in erster Linie um die Analyse der Ursache und Beseitigung der Bedrohungslage. Vielfach ist eine Meldung an die Datenschutzbehörde innerhalb der 72-Stunden-Frist erforderlich. Es müssen Anweisungen an Mitarbeiter, Kunden und Lieferanten ausgegeben werden, um z.B. eine weitere Verbreitung von Schadprogrammen zu stoppen. Es ist auch im Interesse des Versicherers, diese Schritte schnellstmöglich einzuleiten, daher deckt die Cyberversicherung auch das Krisenmanagement mit ab.

IT-DIRECTOR: Inwiefern lassen sich im Rahmen des Versicherungsumfangs auch Ertragsausfälle auffangen?
H. Pingsmann:
Die Absicherung von Ertragsausfällen ist Bestandteil einer Cyberversicherung. In der Regel werden der entgangene Betriebsgewinn sowie die fortlaufenden Kosten für die Dauer der Wiederherstellung der betroffenen IT-Systeme ersetzt. Darüber hinaus übernehmen einige Versicherer auch zusätzliche Kosten, die in dieser Zeit entstehen, wie z.B. zusätzliches Personal, wenn dadurch der Gesamtschaden verringert werden kann.

IT-DIRECTOR: Wie werden beispielsweise Schäden durch Hackerangriffe auf Basis von Verschlüsselungstrojanern/Ransomware reguliert?
H. Pingsmann:
Die Cyberversicherung übernimmt zunächst die Kosten für schnelle und unmittelbare Hilfe im Rahmen der Incident Response. Ein IT-Spezialist versucht, die Daten mit bekannten Entschlüsselungscodes wiederherzustellen – sollte dies nicht möglich oder nicht wirtschaftlich sein, übernehmen die Versicherer teilweise auch die Lösegeldzahlungen. Darüber hinaus werden sämtliche Kosten für die Bereinigung und Wiederherstellung der IT-Systeme erstattet. Wenn es durch den unbefugten Zugriff zu einer Datenschutzverletzung gekommen ist – dies ist regelmäßig der Fall –, werden auch die Kosten für eine rechtliche Beratung bei der behördlichen Meldung sowie die notwendige Information der Betroffenen übernommen.

IT-DIRECTOR: Inwieweit existieren bereits Präzedenzfälle für Schadensregulierungen nach Cyberattacken? Können Sie Beispiele nennen?
H. Pingsmann:
In der Branche ist ein Schadensfall aus dem Jahr 2017 bekannt, der Kosten von insgesamt drei Millionen Euro für IT-Forensik, Krisenkommunikation und Betriebsunterbrechung verursacht hat. Der Cyberschaden wurde in diesem Fall durch einen Innentäter ausgelöst, der nach Verlust seiner Stelle im IT-Bereich eines Dienstleisters gezielte Aktionen durchführte. Den größten Schadensfall im Jahr 2017 hatte der Pharmakonzern Merck zu beklagen. Es wird erwartet, dass eine Schadensregulierung von bis zu 275 Millionen US-Dollar auf die Versicherungsgesellschaften zukommt.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok