IT-Versicherung

Wird Hardware im Bereich der Informations- und Kommunikationstechnik beschädigt oder zerstört, kann schon lange eine Elektronikversicherung die Kosten für Reparatur oder Neuanschaffung übernehmen. Auch ein Ausfall der Software ist in zunehmendem Umfang versicherbar: Fahrlässigkeit, Überspannung, Brand, Feuchtigkeit, aber auch Viren, Hacker, versehentliches Löschen, falsches Programmieren oder Fehlfunktionen der Anlage sind Schadenursachen, deren finanzielle Folgen ganz oder teilweise von einer Versicherung gedeckt werden können.

Um den gesamten IT-Versicherungsschutz bedarfsgerecht zusammenzustellen, sind die unterschiedlichen Risikomerkmale der Anwender zu berücksichtigen:

• in einem Unternehmen werden nur eigene Datennetze genutzt,
• ein anderer Betrieb arbeitet mit eigenen und fremden Datennetzen,
• Produktions-/Betriebsabläufe können per Datenfernübertragung gesteuert werden,
• eine andere Firma vertreibt ihre Produkte online oder
• die Verarbeitung erfolgt via Datennetz.

Auch die Betriebsart eines Unternehmens wirkt sich auf das Risiko aus. Zum Beispiel dann, wenn eine "just-in-time-Verarbeitung" als Lieferant erfolgt oder eine "just-in-time-Verarbeitung" als Besteller betrieben wird.

Zur Ermittlung des Gefährdungsgrades müssen deshalb vorab auch folgende Fragen geklärt werden:

• Wie lange steht der Betrieb bei Datenverlusten voraussichtlich still?
• Gibt es innerhalb des Betriebes Sicherheitsbestimmungen und -anweisungen für Mitarbeiter, um Datenverlusten vorzubeugen, zu begegnen bzw. sie einzugrenzen?
• Bestehen vertragliche Regressverpflichtungen (z.B. Vertragsstrafen) aus Lieferungen oder Leistungen?
• Sind aus letzter Zeit Datenverluste oder Sabotageakte bekannt?

Diese und andere Risikomerkmale entscheiden über die Versicherungsart der Daten. Besteht über diese Fragen Klarheit, lässt sich der Versicherungsbedarf in Form einer Pyramide abbilden. Das heißt, die Versicherungsarten sind den jeweiligen Risikomerkmalen angepasst.

IT-Versicherungen - bedarfsgerecht in Pyramidenform geschichtet und mit Tausenden von Computerbauteilen veranschaulicht. (Bild: WüBa)

Die Basis, das untere Segment der Pyramide (in der abgebildeten Pyramide "Daten" genannt), umfasst als Grunddeckung die Daten- und Daten-Betriebsunterbrechungs-Versicherung. Diese Versicherung ist geeignet für Betriebe mit geringer Abhängigkeit von Datenverarbeitung und niedrigem Sicherheitsrisiko (z.B. PC-Einzelplatzlösungen, keine externen Datenverbindungen). Sie kommt aber auch in Frage für Unternehmen mit mittlerer bis hoher DV-Abhängigkeit und großen Gefährdungspotenzialen, jedoch ohne ausreichend vorhandene Sicherheitsstruktur (z.B. interne Vorschriften mit dem Umgang von Daten, Passwortvergabe, Stichproben mittels Zufallsgenerator) und fehlender technischer Anpassungsbereitschaft auf der Hardwareseite. Dieser Versicherungsschutz leistet Ersatz für die Wiedereingabe und Wiederbeschaffung verlorener oder abhandengekommener Daten und übernimmt den entgangenen Betriebsgewinn sowie die umsatzunabhängigen Kosten infolge der Betriebsunterbrechung. Voraussetzung dafür, dass der Versicherer Leistungen erbringt, ist eine vorausgegangene Beschädigung oder Zerstörung an der Hardware (Sachschaden) oder am Speichermedium.

Das mittlere Segment der Pyramide (in der Abbildung: "Daten-Secure"), umfasst die Erweiterte Daten- und Erweiterte Daten-Betriebsunterbrechungsversicherung. Sie ist konzipiert für Unternehmen mit durchschnittlichem Gefährdungspotenzial von innen und außen, mit mittlerer bis hoher DV-Abhängigkeit und einer ausreichend vorhandenen Sicherheitsstruktur. In diesem Segment ist der Versicherungsschutz erweitert um die Deckung von Viren- und Hackerrisiken, versehentliches Löschen und falsches Programmieren - und das jeweils ohne Voraussetzung eines Sachschadens an der DV-Anlage bzw. der Speichermedien. Betriebsunterbrechungen aufgrund der genannten Schadenereignisse in dieser Versicherungsart sind ebenfalls versichert.

Die Spitze der Pyramide und somit der Top-Schutz ist in der abgebildeten Pyramide mit "Daten-Secure-IT" bezeichnet. Diese besondere Versicherung ist zugeschnitten auf Unternehmen mit hohem Gefährdungspotenzial von innen und außen sowie hoher DV-Abhängigkeit. Es sind somit Unternehmen, für die in der Vergangenheit kein optimaler Versicherungsschutz geboten werden konnte, weil die Risiken nicht versicherbar erschienen (z. B. "Just-in-time-Verarbeitung"). Für diese Anwender müssen zunächst Grundlagen geschaffen werden, um das Restrisiko abzudecken. Es muss in eine ausreichende technische Sicherheitsstruktur investiert werden, bzw. es muss eine Bereitschaft vorhanden sein, bestehende Strukturen zu verändern.

Grundlage für eine so anspruchsvolle Police ist ein geschlossenes Bedingungswerk, das Elemente aus Daten-, Erweiterter Daten- und Computermissbrauch-Versicherung beinhaltet. Ergänzt wird der Deckungsumfang weiter durch die Mitversicherung von Vermögensschäden durch Datenmanipulation oder -entwendung sowie den Ersatz von Mehrkosten, die weder umsatzunabhängige Kosten noch entgangenen Betriebsgewinn darstellen (z.B. für Werbeaktionen). Hierzu ist es erforderlich, dass vor Abschluss des Versicherungsvertrages die Datenbestände nach individuellen Gefährdungs- und Sicherheitskriterien durch ein externes Serviceunternehmen überprüft werden. Diese Versicherungsform ist gerade für den Anwender gedacht, dessen Risikomerkmale aufgrund seiner Gefährdungskriterien eine Versicherung scheinbar nicht ermöglicht. Daher kann eine solche Police nur unter speziellen Sicherheitsaspekten für Großrisiken und bei exponierten Gefahrensituationen in Frage kommen (z.B. Produktionssteuerung durch Datenfernübertragung, Just-in-time-Betriebe, Versandhäuser, Banken, Online-Verarbeitung etc.).
(Neu aufgenommen 12.5.2000)