08.06.2016 Risikomanagement

Cyber-Versicherungen gegen Ransomware

Von: Ingo Steinhaus

So gut wie jedes Unternehmen hat Betriebsversicherungen, die es rundum gegen Probleme absichern. Aber auch gegen Ransomware und andere Cyberrisiken gibt es Versicherungen.

Ransomware ist die neue IT-Seuche: Die Verschlüsselungs-Trojaner werden professionell entwickelt und geschickt in Spam, Fake-Dokumenten oder gefälschten Websites verpackt. Ihnen gelingt es erstaunlich häufig, sämtliche Hürden und Schutzwälle in den Unternehmen zu überwinden. Selbst aufmerksame und gut geschulte Mitarbeiter fallen auf die immer echter wirkenden Fälschungen herein, die von den Trojanern genutzt werden.

Einen 100-prozentigen Schutz gibt es also nicht, doch das ist kein Grund, auf Maßnahmen zur IT-Security zu verzichten. Der TÜV Süd beispielsweise empfiehlt eine mehrstufige Abwehr gegen Cyber-Bedrohungen. Neben Prävention und einem IT-Sicherheitsmanagement sollten Unternehmen auch an eine rasche Reaktion im Fall der Fälle denken.

Dazu gehörten nach Ansicht des TÜV Süd unter anderem ein IT-Forensik-Team, das möglichst schnell Sicherheitslücken und Datenverluste feststellt und die entsprechenden Probleme mit Patches und Backups behebt. Eine vierte und letzte Stufe erwähnt der TÜV allerdings nicht: Eine Versicherung gegen IT-Risiken. Vor allem kleinere Unternehmen halten sich sehr zurück und verzichten häufig auf das Auffangnetz für Hackerangriffe.

Wachstumsmarkt für Versicherer

Rüdiger Auras, der Geschäftsführer des Deutschen Versicherungsschutzverbands DVS hält den Verzicht auf eine spezifische IT-Versicherung für fahrlässig: „Es gibt heute nur noch zwei Arten von Unternehmen: Solche, die bereits gehackt wurden und solche, die noch gehackt werden.“

In einem kürzlich aktualisierten Sonderheft stellt der DVS verschiedene Arten und Anbieter von IT-Versicherungen vor. Ein wichtiger Schwerpunkt ist dabei die Versicherung von Risiken durch Cyberkriminelle und Hacker. Dahinter verbirgt sich ein Markt mit erheblichem Wachstumspotenzial für die Versicherer. Die Allianz schätzt, dass bis 2018 ein Prämienpotenzial von mindestens 700 Millionen EUR besteht.

Nur ein sehr kleiner Teil der Unternehmen ist wirklich gegen moderne Cyberrisiken versichert. Versicherungsexperten gehen davon aus, dass nur etwa 15 % der Unternehmen in Europa gegen solche Risiken versichert sind. In Deutschland sind es weniger, in den USA allerdings mehr. Nach Erhebungen der US-Versicherungsverbände hat etwa jedes zweite Unternehmen diesen Risikoschutz.

Doch eine Police ist kein Ersatz für Maßnahmen im Bereich der IT-Sicherheit. So enthalten die Versicherungsverträge in der Regel auch Hinweise auf die Pflichten wie regelmäßige Datensicherungen, Anwendungen aller relevanten Sicherheitsaktualisierungen und Einsatz von professionellen Security-Lösungen.

Die optimale Cyberversicherung

Zudem gilt wie bei allen Versicherungen der Leitsatz: Bitte das Kleingedruckte lesen. So sollten Unternehmen die folgenden Punkte beherzigen, um eine gute Cyberversicherung zu finden:

Entscheidend ist der Umfang des Versicherungsschutzes. Hier sollten auch alle Daten versichert sein, die bei einem externen Dienstleister gespeichert sind. Zudem sollte auch Fehlverhalten oder Fahrlässigkeit von Mitarbeitern versichert sein.

Weitere Fragen betreffen die Laufzeit, einen möglichen Selbstbehalt und die Höhe der Deckungssumme.

Der Versicherungsschutz sollte auf jeden Fall die Kosten für den Schaden im engeren Sinne ersetzen, etwa Aufwendungen zur Ermittlung des Schadenumfangs, zur Ursache, zur Beseitigung der Malware, zur Datenwiederherstellung, zur Wiederinbetriebnahme der IC-Infrastruktur und zur Wiederherstellung der Verfügbarkeit der Systeme. Hierzu gehören auch Kosten für externe Forensiker.

Wichtig ist die Übernahme von Kosten zur Aufrechterhaltung des Unternehmensbetriebes. Herkömmliche Betriebsunterbrechungs-Versicherungen zahlen beispielsweise nicht bei Problemen in der Folge eines Hecker-Angriffs, da dort nur Sachschäden versichert werden.

Eine sinnvolle Erweiterung ist die Übernahme von Kosten für die Begrenzung und Vermeidung von Reputationsschäden, etwa Krisenmanagement, Krisen-PR, Kommunikationsberatung oder Verhandlungen mit Behörden.

Ebenso wichtig: Bietet die Versicherung aktive Hilfe wie etwa die Vermittlung einer PR-Agentur die auf Krisenmanagement spezialisiert ist?

Eine weitere Frage an den Versicherer betrifft die Absicherung der Folgen eines Cyberangriffs bei externen Partnern. So ist es durchaus möglich, dass Systeme von Geschäftspartnern, Lieferanten oder Abnehmern ebenfalls betroffen sind. Die schlichte Frage ist: Wer kommt für welche Drittschäden auf?

Bildquelle: Thinkstock