Cyber-Versicherung

Cyber-Versicherung

Cyber-Angriffe entwickeln sich aktuell zum größten Geschäftsrisiko. Die Cyber Versicherung ist für alle Unternehmensarten mittlerweile ein absolut notwendiges Versicherungsprodukt. Sie wird häufig auch als Hacking-Versicherung oder Datenschutz-Versicherung bezeichnet. Das Risiko durch Hacking, also einen Cyberangriff, handlungsunfähig zu werden, ist mittlerweile sehr hoch und bedroht die Existenz des Unternehmens genauso wie reale Gefahren aus dem Bereich Gewerbehaftpflicht (Personenschäden, Vermögensfolgeschäden) oder Geschäftinhalt (Feuer, Diebstahl). Besonders betroffen sind kleine und mittlere Unternehmen und Selbständige, da hier im Gegensatz zu den Konzernen vielfach das IT-Know-How fehlt.

Cyber-Kriminalität in Form von Datendiebstahl, Spionage oder Sabotage nimmt weiterhin stark zu. 9 von 10 Unternehmen sind in Deutschland davon betroffen (Studie Bitkom, 2022). Der Schaden für die deutsche Wirtschaft beläuft sich auf 203 Milliarden EUR – jährlich. 45% der befragten Unternehmen geben an, dass die Cyber-Angriffe existenzbedrohend sind.

Daher umfasst Ihre Cyber-Versicherung am besten alle der folgenden Hauptbausteine:

IT-Forensik (Eigenschaden)

Bei einem Cyberangriff benötigen Sie zunächst eine Unterstützung von Experten, um den Schaden zu erkennen und einzudämmen (Analyse, Beweissicherung, Schadenbegrenzung). Hier arbeiten viele Versicherer mit führenden Softwarehäusern zusammen, die sich auf diese Dienstleistung spezialisiert haben und innerhalb kürzester Zeit zur Verfügung stehen. Meist gehört auch eine 24-Stunden-Hotline zum Leistungsangebot.

Wiederherstellung der IT-Systeme (Eigenschaden)

Sobald der Angriffspunkt lokalisiert und die „Lücke gestopft“ ist. beginnt die Aufgabe der Wiederherstellung Ihres IT-Systems. Meist müssen Daten aufwändig wiederhergestellt oder Backups zurückgespielt werden. Eventuell ist auch Hardware beschädigt worden und muss ausgetauscht werden. In der Regel ist dieser Prozess aufwändig und teuer. Sofern die Daten nicht wiederhergestellt werden können, müssen diese anderweitig ersetzt werden, um Ihren Betrieb wieder handlungsfähig zu machen.

Vertrauensschaden / Betrug (Eigenschaden)

Häufig betrifft der Angriff nicht nur die Software, sondern läuft über Ihre Mitarbeiter. Beim „Social Hacking“ werden Schwachstellen bei Ihren Mitarbeitern (Unkenntnis oder Leichtsinn) ausgenutzt, um an Daten zu kommen. So werden auch Attacken wie „Phishing“ oder „Fake-President“-Angriffe übernommen. Auch kann es sein, dass (ehemalige) Mitarbeiter Diebstahl über die IT verüben.
Achtung: Nicht immer sind solche Bausteine der Vertrauensschadenversicherung vorhanden. Meist müssen hier extra Bausteine versichert oder eine separate Vertrauensschadenversicherung abgeschlossen werden.

Cyber-Haftpflicht (Drittschaden)

Zur Cyber-Versicherung gehört auch die Absicherung von Haftpflichtansprüchen, die sich zum Beispiel aus dem Datenschutzverstoß bei entwendeten Kundendaten ergeben. Hierbei ist die Cyber-Versicherung natürlich auch dazu da, unberechtigte Ansprüche abzuwehren. Außerdem sind Sie verpflichtet, Ihre Kunden ordnungsgemäß über die unerlaubte Weitergaben (z. B. nach einem Hacking-Angriff) zu informieren. Dies kann bei einer hohen Anzahl von Datensätzen sehr teuer werden. Man rechnet hier mit ca. 50 Euro pro Datensatz.

Betriebsunterbrechung (Eigenschaden)

Sofern Ihr Betrieb „lahmgelegt“ ist, fehlen Ihnen sofort die Betriebseinnahmen. Diese würden bei einem Baustein der Betriebsunterbrechung erstattet. Dies ist sehr wichtig, da bei einem kompletten Ausfall der IT-Systeme meist keine Arbeit mehr möglich ist.

Service-Leistungen

Zur Cyber Versicherung gehören die verschiedensten Service-Leistungen. Angefangen bei der IT-Forensik bis hin zu einem PR-Berater, der den Image-Schaden repariert, der durch einen Cyber Angriff entstanden ist. Ggf. muss ein Krisenplan ausgearbeitet werden. Sie erhalten außerdem Zugriff zu IT-Dienstleistern, die Ihr Unternehmen vorab auf Angriffsschwachpunkte prüfen, sodass möglichen Angriffen vorgebeugt werden kann. Zudem gibt es eine Hotline, bei der Sie sich bei Verdacht melden können.


Optionale Bausteine

Häufig können optionale Bausteine in der Cyberversicherung mitversichert werden, bei denen normalerweise separate Verträge notwendig sind. Solche pauschalen Ergänzungen sind gerade für kleine Betriebe sinnvoll, da man so unkompliziert den Versicherungsschutz erweitern kann. Unsere Experten beraten Sie dazu gerne.

Erpressung (Lösegeld)

Die Internetkriminalität wird immer kreativer. Wenn die Daten erfolgreich „gehackt“ wurden, folgt oft noch ein Erpressungsversuch, bei dem gedroht wird, diese Daten zu zerstören, zu versenden oder unleserlich zu verschlüsseln. Zahlungsaufforderungen als „Schweigegeld“ folgen dann meist mit der Aufforderung, diese mittels Bitcoin-Überweisung zu begleichen. Mit dem Zusatzbaustein „Erpressung“ kann man sich gegen die finanziellen Folgen aus Erpressungsversuchen schützen. Bezahlt wird allerdings nicht die eigentliche Lösegeldforderung, sondern die Kosten aus der Wiederherstellung der Daten und ggf. weitere Kosten, wie z. B. ein Umsatzausfall.

Social-Hacking („Fake-President“)

Hier handelt es sich nicht um Erpressung, sondern um Identitätsdiebstahl mit einer schädlichen Handlungsanweisung. Es handelt sich um eine Form der Eigenschadenversicherung. Versichert ist die tatsächliche Schadenzahlung innerhalb der vom Versicherer festgesetzten Versicherungssumme bzw. der maximalen Sublimite.

BeispielDer Unternehmensinhaber oder Vorstand eines Mittelstandsunternehmens meldet sich direkt aus dem Urlaub im Controlling des Unternehmens. Er sei gerade vom Hauptzulieferer persönlich kontaktiert worden. Wenn nicht binnen der nächsten Minuten per Sofortüberweisung Summe X angewiesen wird, stellt der Lieferant alle Warenlieferungen ein und die Produktion des eigenen Unternehmens steht still.

Tatsächlich hat nur jemand vorgetäuscht der Unternehmensinhaber bzw. Vorstand zu sein und die Überweisung verschwindet unwiederbringlich.


Welche Risiken deckt die Cyber Versicherung ab?

Generell gilt es zu unterscheiden, ob es sich bei dem Schaden um ein direktes Risiko oder ein indirektes Risiko handelt. Beim direkten Risiko geht es um die direkte Schädigung des Unternehmens bzw. Kosten die hier entstehen. Beim indirekten Risiko geht es um Schäden, die anderen entstehen. Meist geht es hier um Entschädigung von Ansprüchen oder gesetzlichen Verstößen (Strafzahlungen). Ebenso gibt es Serviceleistungen, die Sie bei einem Schaden durch Cyber-Angriff benötigen.

Eigenschäden (direkte Schäden)

  • Wiederherstellung (Datenrettung) oder Wiederbeschaffung von (elektronischen) Daten nach einem Hacker-Angriff
  • Kosten für Benachrichtigung von Kunden über den Diebstahl Ihrer persönlichen Daten (Datenschutzverstoß ist nach DSGVO meldepflichtig)
  • Kosten für Hardwareschäden
  • Entschädigung bei Betriebsunterbrechung: Die laufenden Kosten werden übernommen, sofern der Betrieb stillsteht

Drittschäden (indirekte Schäden)

  • Entschädigung berechtigter Ansprüche
  • Abwehr unberechtigter Ansprüche
  • Kosten für die Verletzung von gesetzlichen Bestimmungen (z. B. Verstoß gegen DSGVO-Bestimmungen
  • Kosten für die Entschädigung (Schadenersatz) bei Verletzung von Datenschutzverletzung (Perönlichkeitsrechte)
  • Kosten für Verstöße gegen Geheimhaltungspflichten (z. B. bei Kunden oder Lieferanten)

Service-Leistungen

  • Bezahlung der IT-Forensik, um den Schaden festzustelle, das EDV-System zu „säubern“ und die Angriffslücke zu schließen (Analyse, Beweissicherung, Schadenbegrenzung)
  • Kosten für Rechtsberatung, Fachanwälte für IT- und Datenrechtsschutz zur Erfüllung der Kommunikationspflichten
  • Kosten für PR-Beratung (um Ihre Firmenreputation wieder herzustellen und einen möglichen Image-Schaden zu vermeiden)
  • Bezahlung einer Krisenkommunikation oder Call-Center


Was ist in der Cyber Versicherung versichert?

Es gibt eine Vielzahl von kleinen Punkten. Nachfolgend werden einige genannt (nicht abschließend). Je nach Versicherungsumfang können diese Punkte versichert sein oder nicht.

  • Hacker-Angriff
  • Einschleusen von Schadeprogrammen (Viren/Trojaner)
  • Erpressung (Bsp. Tronjaner „WannaCry“)
  • Denial-of-Service-Angriff (Webseite wird nicht erreichbar)
  • Nicht Verfügbarkeit von externen Dienstleistern (z. B. Cloudsysteme)
  • Nicht Verfügbarkeit von eigenen Daten
  • Nicht zielgerichtete Angriffe
  • Hack des Kreditkartenterminals
  • Cyber-Diebstahl von Geld
  • Cyber-Diebstahl von Waren
  • Diebstahl von Hardware
  • Datenrechtsverletzungen
  • Datenvertraulichkeitsverletzung
  • Vorsätzliche Schädigung eines Mitarbeiters
  • Bedienfehler von Mitarbeitern
  • Betrug durch Phishing
  • Social Engineering (z.B. „Fake-President“-Attacke)

Copyright 2022
Papke Consulting GmbH 
Alle Rechte vorbehalten

Erstinformation nach §15 VersVermV

Kontakt

📞 0251 297 905 10
📪  info@papke-consulting.de
Scharnhorststraße 48
48151 Münster

Erfahrungen & Bewertungen zu Papke Consulting GmbH & Co. KG