Finanzielle Schäden in Grenzen halten

Cyberversicherungen für Mittelständler

Ist ein Mittelständler Opfer eines Cyberangriffs geworden, kann dieser prinzipiell nur hoffen, dass sich der Schaden – auch was die Wahrnehmung in der Öffentlichkeit betrifft – in Grenzen hält. Eine Cyberversicherung kann zumindest finanziell gegen Hackerattacken und Cyberkriminalität entschädigen.

Je nach Versicherungs-Police zahlt die Versicherung, sobald entweder Datenschutzrechte von Dritten verletzt wurden – etwa durch Datenverlust oder einen IT-Angriff von Außen – oder wenn das eigene IT-System von Hackern attackiert wurde.

Im Visier der Datendiebe stehen insbesondere Bezahlkartendaten, die sich leicht zu Geld machen lassen, weshalb vor allem Hotels oder Gastronomie, Onlineshops,  Medienunternehmen und Einzelhändler zu den häufigsten mittelständischen Opfern von Cyberangriffen zählen. Trotzdem sind immer noch 95 Prozent der deutschen Mittelständler nicht gegen digitale Gefahren abgesichert, wie eine aktuelle eDNA-Studie 2014 des Spezialversicherers Hiscox ergibt. Und das, obwohl auf den Unternehmerservern oftmals Unmengen sensibler und wertvoller Daten liegen.

Praxisbeispiel: Cyberangriffe

Gelingt Kriminellen der Zugriff auf diese Daten, geht der Schaden schnell in die Millionen, wie folgendes Beispiel zeigt: Durch eine Sicherheitslücke auf der Homepage drangen Hacker in die Datenbank einer Hotelkette ein und stahlen bzw. kopierten über einen Zeitraum von drei Monaten Kreditkartendaten von Hotel- und Restaurantgästen. Der Schaden summierte sich auf mehr als 2,7 Millionen Euro für die nötigen forensischen Arbeiten, für Rechtsberatung und -beistand, Öffentlichkeitsarbeit, Informationspflichten, Datenwiederherstellung und Betriebsunterbrechung.

Ein anderes Beispiel verdeutlicht die Brisanz von Cyberrisiken: Obwohl ein Unternehmen aus dem Gesundheitswesen Datensicherheit im operativen Betrieb stets einen hohen Stellenwert einräumte, wurde es von einer Nachricht der Polizeibehörden überrascht. Bei einer Razzia wurden persönlich identifizierbare Patientendaten, die aus dem Unternehmen stammten, entdeckt. Rund 45.000 Personen waren davon betroffen. Die Ermittlungen führten zu einem Mitarbeiter, der im Auftrag einer kriminellen Organisation Akten händisch scannte. Da der Fall frühzeitig aufgedeckt wurde, entstanden bisher keine Folgeschäden. Die Kosten für Rechtsberatung, Informationspflichten, Call Center, forensische Untersuchungen, Kreditüberwachsungsdienstleistungen und PR-Krisenberatung lagen dennoch insgesamt bei 428.000 Euro.

Monetären Schaden begrenzen

Wenn sich scheinbar hypothetische Risiken in konkrete Krisen verwandeln, kann dies vor allem mittelständische Unternehmen schnell in Existenznöte bringen. Neben den juristischen Konsequenzen beim Verlust personenbezogener Daten (wie die Informationspflicht nach §42a BDSG) sind es vor allem die Herausforderungen des Krisenmanagements, die Mittelständler rasch überfordern. Zur Bewältigung werden neben vertrauenswürdigen Experten für IT-Forensik vor allem Krisenmanager und Kommunikationsexperten benötigt, die entsprechende Erfahrung mit Cyberangriffen mitbringen.

Findet das gesamte Krisenmanagement rasch und professionell statt, lassen sich viele Vorfälle unterhalb der öffentlichen Wahrnehmungsschwelle managen. Um auch den monetären Schaden im erträglichen Rahmen zu halten, bieten seit einigen Jahren verschiedene Versicherungsgesellschaften eigene Policen zur finanziellen Absicherung gegen Cyberschäden und IT-Sicherheitsrisiken an. Je nach Police zahlt die Versicherung, sobald entweder Datenschutzrechte von Dritten verletzt wurden – etwa durch Datenverlust oder einen Angriff von Außen – oder wenn das eigene System von Hackern attackiert wurde. Zudem prüft der Versicherer Schadensersatzansprüche von Dritten: Sind diese berechtigt, entschädigt die Versicherung – bei unberechtigten Ansprüche wehrt sie im Namen des Kunden ab.

Welche Risiken sind von einer Cyberversicherung ausgeschlossen?

Von einer Versicherungsleistung ausgenommen sind Schäden durch Programmierfehler, Verschleiß oder Schäden durch unterbrochene Stromversorgung. Genauso wenig sind vorsätzlich herbeigeführte Versicherungsfälle geschützt. Versicherer wie Hiscox schließen jedoch nur den Vorsatz leitender Angestellter aus: Insider-Attacken durch Mitarbeiter sind also abgesichert.




Gut zu wissen...

Auch bei der Schadensbegrenzung vor Ort kann ein Versicherer Hilfe leisten – so engagiert er z.B. externe IT-Dienstleister, die das geschädigte Unternehmen bei der Wiederherstellung von Daten und beim Krisenmanagement unterstützen.

Bildquelle: © Thinkstock/iStockphoto

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok