04/15/2019

Cyberversicherung

Welche Unternehmen brauchen welche Versicherung - eine Hilfestellung für Entscheider

Wenn Sie als Unternehmer oder Entscheider in einem Betrieb sich aktuell in der Medienlandschaft umsehen, stellen Sie fest, dass das Thema Cyberversicherung sehr prominent ist. Das ist, die Zahlen betrachtet, auch durchaus nachvollziehbar. Laut einer Forsa-Umfrage gibt jedes Dritte mittelständische Unternehmen an, bereits einen wirtschaftlichen Schaden durch Cyberattacken erlitten zu haben.
Seit 2017 stellt der Gesamtverband der der Deutschen Versicherungswirtschaft Musterbedingungen für die Cyber-Versicherungen (AVB Cyber) zur Verfügung, gleichwohl herrscht noch keine Einigkeit innerhalb der Versicherer über Mindeststandards.
Daher ist die Bandbreite zurzeit noch sehr groß und sorgt im Ergebnis dafür, dass es Lösungen über die Rechtsschutzversicherung, die Betriebsunterbrechungs- oder eine separate Cyber-Versicherung gibt, die jeweils eine partielle Abdeckung gewährleisten.

Keine Mindeststandards. Viele Tarife. Konfusion statt Klarheit.

Zwar kommen gerade die ersten Ratingagenturen mit Bewertungen der diversen Cyber-Versicherungen hervor, gleichwohl bleibt leider festzuhalten, dass fehlende Mindeststandards hier zu mehr Konfusion als Klarheit führen. Franke und Bornberg definiert in 21 Bereichen 115 Kriterien, aus welchen sie eine Bewertung ableiten wollen. Damit gibt es zumindest schon einmal eine Art framework an welchem sich ein Entscheider entlang arbeiten kann. Aber es fehlt noch an der systematischen Evaluation des Risikos. Immerhin etabliert Franke und Bornberg die ersten Mindeststandards - ob sich diese als zweckmäßig in der Praxis erweisen, wird die Zeit zeigen. Nach unserer Auffassung stellen diese einen guten Startpunkt dar. 

Ein weiterer Aspekt, den es zu beachten gibt, ist, dass es keine wirklichen Konzepte im Sinne eines best-practice-Ansatzes gibt. Deswegen ist die Risikobewertung im Rahmen eines klaren Risikomanagements notwendig.

Ein Flickenteppich an Leistungen.

Diese ganzen Entwicklungen führen leider dazu, dass eher die Verunsicherung bei den Entscheidern in den Unternehmen steigt und gerade eben keine Entscheidung, in die eine oder andere Richtung, getroffen wird.
Die Konsequenz aus diesem Unterlassen ist nicht notwendigerweise die Verwundbarkeit für Cyber-Angriffe; vielmehr sind die finanziellen Folgen eines Datenverlustes, des Identitätsdiebstahls oder einer Datenlöschung unabsehbar. Nachgelagerte Ausfälle von Maschinen oder Programmen sind ebenfalls ein zu berücksichtigendes Problem.
Dabei führen viele kleine und mittelständische Unternehmen bereits diverse Versicherungen, deren Leistungen partiell diese Risiken mit abdecken können. Allerdings kann hier ein falsches Gefühl der Sicherheit entstehen, das dazu führt, dass die Gefahr nicht wirklich in ihrem gesamten Umfang erkannt wird.

Prüfung der bestehenden Absicherung verbunden mit einer klaren Risikoanalyse.

Hieraus ergibt sich, dass sie bereits heute Maßnahmen ergreifen können, die zu einer ersten Einschätzung der Situation führt und die ihnen dann hoffentlich ermöglicht, eine bewusste Entscheidung über die Art Risikoabsicherung zu schaffen.
Zunächst gilt es, die bestehenden Gefahren zu evaluieren. Folgende Gefahren können in den meisten Versicherungen abgesichert werden:

* Vermögensschäden und immaterielle Schäden als Eigenschaden und auch für Dritte;
* Wiederherstellung Ihrer IT-Systeme nach Schadensfeststellung;
* Ertragsausfälle des Betriebs bei einem Cyber-Angriff.

Prüfen Sie daher, ob und in welchem Umfang sich ein Angriff auf Ihren Betrieb auswirken kann.
Dabei kann es sich um das Abschöpfen wertvoller Daten handeln oder die Stilllegung der gesamten Produktion. Auch sollten Sie prüfen, inwiefern Sie und Ihre Mitarbeiter auf die Computersysteme Dritter Zugriff haben.  

Danach können Sie selbst ihre bestehenden Versicherungen darauf überprüfen, ob bereits einzelne Elemente grundsätzlich abgesichert sind. Dafür müssen Sie die Allgemeinen Versicherungsbedingungen auf die relevanten Passagen prüfen; es ist empfehlenswert im Zuge dessen die aktuellsten Bedingungen beim jeweiligen Versicherer anzufordern, da manchmal Bedingungsverbesserungen eingeführt werden, die dann auch Bestandsverträgen zugutekommen.

Es gibt seitens Franke und Bornberg postulierte Mindeststandards, von denen wir empfehlen, diese zugrunde zu legen. Prüfen Sie daher, ob bereits bestehende Bausteine eine oder mehrere Mindestanforderungen erfüllen.
Sofern Sie bereits eine Cyber-Versicherung abgeschlossen haben, prüfen Sie bitte noch, ob dort auch dann Versicherungsschutz besteht, wenn ein vor Vertragsbeginn liegendes Schadenereignis sich realisiert, ohne dass Sie bei Abschluss des Vertrages hiervor Kenntnis hatten (Rückwirkung). Gerade bei Datenlecks ist es für kleine Unternehmen häufig schwierig, exakt zu bestimmen, wann der erste Angriff stattfand.

In der Folge wäre noch die Eintrittswahrscheinlichkeit zu bestimmen; dies ist eine sehr individuelle Leistung, zu der wir uns hier natürlich nicht realistisch äußern können, da es von Ihrer individuellen IT- und Sicherheitskonzeption abhängt.

Die Schadenhöhe können auch nur Sie abschätzen, wir raten jedoch dringend, diese zumindest einmal auch tatsächlich zu bestimmen bzw. schätzen; das hilft Ihnen im Zweifel auch zu entscheiden, ob eine möglicherweise bestehende Absicherung bereits eine hinreichende Schadenhöhe absichert. Damit ist gemeint, dass Sie sich im Zuge Ihrer Risikoevaluation Gedanken dazu machen, wie hoch der Schaden in Ihrem Unternehmen wäre, wenn Sie sich eines Angriffs ausgesetzt sähen.

Wir haben Ihnen hierfür eine Checkliste erstellt, welche Sie mit diesem [link] herunterladen können. Diese soll Ihnen als Arbeitshilfe dienen.

In den nächsten Artikeln werden wir einzelne Cyber-Versicherungen sowie deren Komponenten näher beleuchten.