Management und Wissen / Cyber-Versicherungen
Seit der Verlagerung von Mitarbeitern ins Homeoffice und der daraus resultierten weiteren Zunahme von Gefährdungen und Angriffen, verschärfen Sicherheitsvorfälle die Anforderungen für Abschlüsse einer Cyber-Versicherung. Was müssen Versicherungsnehmer jetzt beachten?
Nach dem Ausbruch der Corona-Krise wechselten zum Teil ganze Belegschaften vom Büro, in dem die Regeln der IT-Security deutlich konsequenter kontrolliert werden, ins Homeoffice. Dies rief nicht nur Cyberkriminelle auf den Plan – es hatte auch Auswirkungen auf den Versicherungsmarkt. Zu den größten Herausforderungen im Homeoffice gehören unsichere Konnektivität, Zugangsprobleme von Mitarbeitern, Bandbreiten, Phishing, Social-Engineering sowie weitere menschliche Cyberrisiken. Aufgrund vielfacher Vorfälle – unabhängig davon, ob es sich um Netzwerkausfälle, Datenschutzverletzungen, Finanzbetrug oder Ransomware handelte – mussten die Versicherungsgeber vielfach für entstandene Schäden aufkommen.
Der Markt reagierte prompt mit höheren Preisen, genaueren Überprüfungen der Sicherheitskontrollen oder Einschränkungen des Versicherungsschutzes in Form von Mitversicherungen oder Sublimits für Ransomware. Allerdings haben sich die Anforderungen bereits vor der Corona-Krise deutlich verändert: Während sich die meisten Fragen zur Cyber-Versicherung anfangs auf die grundlegende Computersicherheit bezogen haben und die Assekuranzen lediglich prüften, ob Versicherungsnehmer über Firewalls und Virenschutz verfügten, wurde längst verstanden, dass Netzwerksicherheit viel mehr umfasst als das.
Cyber-Versicherungen haben ihren Ursprung in der sogenannten Errors-and-Omissions-(E&O)- Versicherung: einer eigenständigen Versicherungsform, die vor Fehlern und Mängeln im Dienstleistungsbereich schützt. E&O-Versicherungen sind analog zu den Produkthaftpflichtversicherungen für Unternehmen aufgestellt, die physische oder digitale Produkte verkaufen.
Während einige Cyber-Versicherungspolicen spezifische Bestimmungen für E&O enthalten, verkauft eine große Anzahl der Assekuranzen diese als separate Policen. Die E&O-Versicherung deckt zum Beispiel nicht den Verlust von Daten Dritter, wie beispielsweise im Zusammenhang mit Kunden-Kreditkarten, ab – Unternehmen, die einen solchen Schutz benötigen, müssen eine Cyber-Versicherung abschließen, die diesen ebenfalls erfasst. Da sich die Cyber-Risiken ständig verändern, variieren auch die Richtlinien der Assekuranzen.
Cyber-Versicherungspolicen werden meist von den gleichen Anbietern verkauft, die Betriebsversicherungen anbieten – etwa E&OVersicherungen, Betriebshaftpflichtversicherungen und gewerbliche Sachversicherungen. Die meisten Policen umfassen eine Erstversicherung, die für Verluste aufkommt, die sich direkt auf ein Unternehmen auswirken. Wogegen eine Drittversicherung für Folgeschäden eintritt, die andere aufgrund ihrer Geschäftsbeziehung mit dem angegriffenen Unternehmen erleiden.
Cyber-Versicherungen sollen naturgemäß dabei helfen, finanzielle Verluste abzudecken, die aus Cyber-Attacken entstehen. Zudem unterstützt eine Cyber-Risikodeckung Geschädigte (je nach Police) bei den mit der Sanierung verbundenen Kosten, einschließlich der Zahlung für Rechtshilfe, Ermittler, Krisenkommunikatoren und Kundengutschriften beziehungsweise Rückerstattungen.
Besonders Unternehmen, die Kundendaten oder persönlich identifizierbare Informationen (PII) und personenbezogene Daten online erstellen, speichern und verwalten, können von einer Cyber-Versicherung profitieren. Des Weiteren sollten produzierende Betriebe sowie E-Commerce-Unternehmen über einen Versicherungsschutz nachdenken, da Ausfallzeiten im Zusammenhang mit Cyber-Angriffen mitunter zu erheblichen Umsatz- und Kundenverlusten führen können.
Verschiedene Versicherungsanbieter bieten zum Teil deutlich voneinander abweichende Versicherungsleistungen an. In der Regel deckt eine Cyber-Versicherung jedoch die unmittelbaren Kosten, die mit einem Cyber-Angriff verbunden sind. Im Allgemeinen soll sie vor vier Hauptrisiken schützen: Haftung für Netzwerksicherheit und Datenschutz, Unterbrechung des Netzwerkbetriebs, Medienhaftung sowie Fehler und Auslassungen – wobei die Haftung für Netzwerksicherheit und Datenschutz sowohl Eigen- als auch Fremdkosten umfassen kann.
Wie bei allen Versicherungspolicen gibt es Ausschlüsse – auch eine Cyber-Versicherung ist gegenüber den tatsächlichen Risiken immer noch begrenzt, es lassen sich nie alle Cyber-Risiken abdecken. Von einer Regulierung sind in der Regel folgende Fälle ausgeschlossen: potenzielle zukünftige Gewinne, finanzieller Schaden, der durch den Verlust von geistigem Eigentum entsteht, Reputationskosten, die nach einem Cyber-Angriff auftreten sowie Kosten für die Verbesserung interner technischer Systeme – einschließlich Software- oder Sicherheits-Upgrades nach einem Cyber-Vorfall.
In der Regel basiert die Preisgestaltung für Cyber- Versicherungen auf folgenden Faktoren: dem Jahresumsatz des Versicherten, der Art der gespeicherten Daten, dem Grad der bestehenden Netzwerksicherheit sowie der Branche. Schließlich sind bestimmte Sektoren der Wirtschaft anfälliger für Cyber-Kriminalität und erfordern aus diesem Grunde eine höhere Abdeckung. Unternehmen mit einem großen Volumen personenbezogener Unterlagen, wie zum Beispiel im Finanz- und Gesundheitswesen, sind beispielsweise einem höheren Risiko ausgesetzt als etwa die Gastronomie. Ein Unternehmen, das eine unzureichende IT-Security aufweist oder bereits in der Vergangenheit Opfer von Angreifern oder einer Datenschutzverletzungen wurde, dürfte wahrscheinlich mehr für eine Cyber-Versicherungspolice bezahlen als eines, das über einen guten Ruf verfügt, sich selbst zu schützen.
Da Versicherungen dieser Art noch relativ neu sind, variieren die Policen zudem deutlich von Anbieter zu Anbieter. Daher sollten Unternehmen die jeweiligen Richtliniendetails der Assekuranzen genau prüfen, um sicherzustellen, dass sie die erforderlichen Schutzmaßnahmen und Bestimmungen enthalten. Darüber hinaus sollten Unternehmen bewerten, ob diese Richtlinien ausreichenden Schutz gegenüber bekannten sowie auch neu auftretenden Cyber-Vorfällen und Bedrohungsprofilen bieten.
Um sich für eine Versicherungspolice zu qualifizieren, muss sich der Interessent in der Regel einem Sicherheits-Audit durch die Versicherungsgesellschaft unterziehen – dessen Ergebnisse fließen dann in die Deckungsarten des Cyber-Versicherers oder die Prämienkosten ein.
Folgende Punkte werden in der Regel für die Beantragung einer Cyber-Versicherung von den Assekuranzen im Zusammenhang mit einem Sicherheitsaudit abgefragt:
Aufgrund der rasant zunehmenden Digitalisierung sind Cyber-Risiken und Schadenszenarien einem kontinuierlichen und ebenso rasantem Wandel unterworfen – daher wird es nie ein Patentrezept zur Absicherung digitaler Abläufe und Geschäftsmodelle geben. Für alle Risikoeigner ist es deshalb umso wichtiger, aus vergangenen Vorfällen zu lernen und bevorstehende Cybersicherheits- Trends, -Bedrohungen und -Schwachstellen rechtzeitig zu erkennen.
Cyber-Versicherer haben bereits bewiesen, dass sie ein Teil der Problemlösung sein können, wenn es darum geht, Resilienz aufzubauen und Vorsorgeleistungen über alle Branchen hinweg anzubieten. Die Umsetzung dazu geforderter Maßnahmen und Kontrollen kann als eine Art „digitaler Impfstoff“ verstanden werden – da dieser nicht immer ausreichen kann, muss die Versicherungswirtschaft verbleibende Risiken zusätzlich abdecken.