Was ist eine Cyber-Versicherung und wann ist sie sinnvoll?

Datenverletzungen bescheren Unternehmen jedes Jahr Kosten in Milliardenhöhe. Mit einer Cyber-Versicherung können sie sich die Kosten eines Cybersicherheitsvorfalls zum Teil zurückholen. Cyber-Versicherungen (auch bekannt als Cyber-Haftunfähigkeitsversicherung) minimieren die Kosten eines Cybersicherheitsvorfalls wie zum Beispiel Ransomware, Datenverletzungen oder Netzwerkbeeinträchtigungen, sodass Unternehmen keinen ernsthaften finanziellen Schaden erleiden.

Jedes Unternehmen, das sensible Informationen hostet oder anderweitig speichert kann von einer Cyber-Versicherung profitieren. Je mehr Risiken ein Netzwerk birgt, desto wichtiger ist es für Unternehmen, Cyber-Versicherungspolicen abzuschließen, um die Kosten zu senken, sollte das Netzwerk einmal kompromittiert werden. Sollte eine Bedrohung zu Datendiebstahl führen, muss das Unternehmen die Kosten für die akute Behebung der Bedrohung, das Wiederherstellen der Datenintegrität, konkrete Schäden, eventuelle Rechtsstreits, Geldbußen und gegebenenfalls Entschädigungen an die Nutzer tragen. Cyber-Versicherungen können für einen Teil dieser Kosten aufkommen.

Nach einem Cybersicherheitsvorfall fallen verschiedene Kosten an. Incident Response, Eindämmung der Bedrohung, forensische Untersuchungen und Ermittlungen, Gerichtskosten, Compliance-Prüfungen, zusätzliche Sicherheitsinfrastruktur und das Ändern interner Grundregeln und Konzepte sind nur einige der Konsequenzen, die aus einer Kompromittierung des Netzwerks folgen können.

Jeder Vorfall, der Datenverlust, Ermittlungen und anderen kostenrelevanten Konsequenzen zur Folge hat, kann potentiell in einer Versicherungspolice abgedeckt werden, aber die Abdeckung hängt von dem Versicherungsunternehmen und dem gewählten Tarif ab. Die Art der Abdeckung bestimmt den Preis, weshalb Kosten meist ein wichtiger Faktor in der Wahl der Versicherung für ein Unternehmen sind. Die meisten Policen decken Kosten in Zusammenhang mit Zugangsdatendiebstahl, Phishing, Ransomware, Malware und Insider-Bedrohungen ab.

Eine Cyber-Versicherung deckt im Allgemeinen folgendes ab:

• Datenverlust und damit zusammenhängende Wiederherstellungsmaßnahmen.
• Profiteinbußen, die durch Arbeitsausfälle im Zusammenhang mit einer Cybersicherheitsvorfall entstanden sind.
• Finanzielle Verluste aufgrund von Ereignissen wie Betrug oder Social Engineering.
• Finanzielle Verluste aufgrund von Computerbetrug und Erpressung.

Diese Liste betrifft das eigentliche Cyber-Ereignis, aber Versicherungspolicen decken normalerweise noch die Nachwirkungen und weiterführende Ereignisse im Zusammenhang mit einer Datenverletzung ab.

Nach einem erlittenen Datenverlust deckt die Cyber-Versicherung höchstwahrscheinlich noch folgendes ab:

• Benachrichtigungskosten: Kosten im Zusammenhang mit der Identifikation von Betroffenen und dem Versenden von Benachrichtigungen an diese. Dieser Vorgang ist meist verpflichtend aufgrund geltender Gesetze.
• Kreditüberwachung: Kosten im Zusammenhang mit Kreditüberwachung für Betroffene nach Datenverlust und Identitätsdiebstahl.
• Gerichtskosten: Kosten im Zusammenhang mit Klagen und Entschädigungen an Betroffene.
• Forensik: Kosten für die Bezahlung von Beratern und forensischen Experten, um den Schaden und die Ursachen zu analysieren.
• Markenschäden: Kosten im Zusammenhang mit Öffentlichkeitsarbeit und dem Wiederherstellen des guten Rufes der Organisation.

Unternehmen sollten mit dem Versicherungsunternehmen klären, ob auch Präventionsmaßnahmen übernommen werden können, um Angriffe zu verhindern, bevor sie passieren. Ein Versicherungsunternehmen kann möglicherweise bei den Schulungen der Mitarbeiter zur Prävention gegen Phishing und Social Engineering helfen.

Unternehmen schließen eine Cyber-Versicherung ab, um finanzielle Verluste während eines Cybersicherheitsvorfalls einzudämmen, aber die Policen decken nicht alles ab. Eine Cyber-Versicherungspolice schützt beispielsweise nicht vor geringeren Gewinnen in der Zukunft aufgrund eines Vorfalls. Jeglicher Verlust an intellektuellem Eigentum durch eine Datenverletzung muss durch eine weitere, genau darauf zugeschnittene Police abgedeckt werden.

Kriegshandlungen durch ausländische Akteure werden ebenfalls üblicherweise nicht abgedeckt, und jegliche Kosten in Zusammenhang mit dem Aufbau einer Cybersicherheitsinfrastruktur vor und nach einer Kompromittierung werden möglicherweise auch nicht übernommen. Auch hier gilt, sich mit dem Versicherungsunternehmen zu verständigen und die Police genau zu studieren, um zu verstehen, was von der Abdeckung ausgeschlossen ist.

Bei manchen Versicherungspolicen sind Cyber-Vorfälle von der Abdeckung explizit ausgeschlossen. Jeder Unternehmer sollte seine Police daraufhin überprüfen, jedoch ist der Hacking und anderem digitalen Datendiebstahl aus den meisten Haftunfähigkeitsversicherungen standardmäßig ausgeschlossen, sodass Unternehmer dazu gezwungen sind, weitere Cyber-Versicherungen abzuschließen.

Der Grund, dass die herkömmlichen Haftunfähigkeitsversicherungen Cyber-Vorfälle ausschließen, sind die hohen Kosten: Ein einziger Cybersicherheitsvorfall kann zehntausende Euros kosten. Die Anzahl der Risiken ist ebenfalls ein großer Faktor für die Höhe der Versicherungsgebühren, weshalb die Gebühren jedes Mal steigen würden, wenn Organisationen wachsen und ihre Infrastruktur ausbauen.

Es gibt keine Patentlösung für Cyber-Versicherungen, weil jedes Unternehmen ihre eigenen Risiken und Präferenzen mitbringt, was sie abgedeckt haben möchte. Die Größe des Unternehmens und die jährliche Rendite sind ebenfalls Faktoren, die die Versicherungsgebühr beeinflussen. Manche Industrien wie etwa die Gesundheits- und Finanzindustrie sind besonders von Cyber-Angriffen betroffen, was bei den Kosten ebenfalls eine Rolle spielen kann.

Genauso wie herkömmliche Versicherung haben vergangene Ereignisse einen Einfluss auf die Kosten. Wenn eine Organisation bereits das Opfer eines Hacking-Angriffs war, sind die Gebühren für eine Versicherung höchstwahrscheinlich höher als bei einer Organisation, die Angriffe bisher erfolgreich abgewehrt hat.

Wie bei jeder anderen Versicherung gibt es auch bei einer Cyber-Versicherung eine Eigenbeteiligung, aber Sie können die Höhe bestimmen, wenn die Police zusammengestellt wird. Versicherungsunternehmen geben Organisationen eine Wahl zwischen verschiedenen Eigenbeteiligungen und die Höhe der Eigenbeteiligung bestimmt am Ende den Preis für die Versicherung. Je niedriger die Eigenbeteiligung, desto mehr wird eine Organisation für ihre Versicherung zahlen müssen.

Es mag so klingen, als sei eine Cyber-Versicherung ein Allheilmittel für eine Datenverletzung, aber sie sollte nur ein zusätzlicher Baustein Ihrer Cybersicherheitsstrategie und nie die gesamte Strategie sein. Es ist wichtig, die gesamte Police zu lesen, um sicherzugehen, dass alle Bedingungen erfüllt werden, einschließlich einem Plan zum Einrichten der notwendigen Infrastruktur zum Schutz Ihrer Daten.

Eine Datenverletzung ist teuer, und Cyber-Versicherungen decken nicht zukünftige Gewinne aus neuen Produkten und Unternehmenswachstum ab. Profiteinbußen durch Schäden an Ihrer Marke und die Kosten in Zusammenhang mit einer Datenverletzung kann zukünftige Gewinne dauerhaft beeinflussen. Damit sich eine Organisation dauerhaft halten kann, braucht sie eine Cybersicherheitsstrategie, um Risiken zu reduzieren und eine Kompromittierung zu verhindern.

2017 gab es mehrere große Cybersicherheitsvorfälle, die die Daten von Organisationen und Regierungen auf der ganzen Welt zerstört haben. Dazu gehören WannaCry, Petya und NotPetya. Es mag naheliegen, dass Cyber-Versicherungen diese Kosten übernommen hätten, aber forensische Experten haben die Vermutung geäußert, dass diese Angriffe bestimmte Länder ins Visier genommen hatten.

Wie wir weiter oben erläutert haben, sind „Kriegshandlungen“ in den meisten Cyber-Versicherungspolicen nicht abgedeckt. Nach den zahlreichen Ransomware-Angriffen im Jahr 2017 behaupteten einige Versicherungsunternehmen, dass sie den durch diese Angriffe verursachten Schaden nicht aufkommen müssten, weil es sich um Kriegshandlungen handele. Damit gingen mehrere Organisationen leer aus und mussten die Kosten nach einem erlittenen Ransomware-Schaden selbst tragen. Ransomware kann unter Cybersicherheitsvorfällen mit den höchsten Schaden verursachen.

Der erste Schritt auf dem Weg zum Abschluss einer Cyber-Versicherung ist eine ausführliche Prüfung der aktuellen Infrastruktur und das Anfertigen einer Dokumentation aller genutzten Cybersicherheitsstandards und -systeme. Ein Versicherungsunternehmen wird wissen wollen, welche Systeme bereits umgesetzt sind, um die Abdeckung und die Kosten zu berechnen. Wie mit jedem anderen Versicherungsunternehmen auch, wird ein Cyber-Versicherungsunternehmen keine Organisation ohne jegliche Cybersicherheitsstrategie und -infrastruktur nehmen, weil eine solche Organisation mit großer Wahrscheinlichkeit in naher Zukunft eine Datenverletzung erleiden wird.

Haben Sie Ihre Cybersicherheitsinfrastruktur geprüft, wird es Zeit, Policen miteinander zu vergleichen und mehrere verschiedene Versicherungsunternehmen zu kontaktieren. Jedes Unternehmen wird seine eigenen Richtlinien, Ausnahmen und Kosten haben. Deshalb versichern Sie sich genau, dass Sie die Bedingungen der Police verstehen, bevor Sie unterschreiben. Eine Cyber-Versicherungsfirma wird die aktuellen Cybersicherheitsstrategien prüfen und daraufhin entscheiden, ob Sie Ihnen eine Police anbietet.

Cybersicherheitsvorfälle verursachen Unternehmen jedes Jahr Schäden in Milliardenhöhe. Ein einziger Vorfall kann ein Unternehmen einen sechsstelligen Betrag kosten, um die Bedrohung einzudämmen, die Schwachstelle auszubessern und die Forensik zu bezahlen. Dazu kommen finanzielle Verluste durch Markenschäden und Gesetzesverstöße. Mehr und mehr Unternehmen werden sich dieser enormen Kosten bewusst und sind deshalb auf der Suche nach Versicherungen, die für Schäden und finanziellen Verluste aufkommen.

Versicherungsunternehmen werden ihre Policen so anpassen, dass sie mit den Gebühren einen Gewinn erzielen, weshalb Unternehmen genau darauf achten sollten, welche Ausnahmeregelungen in den Verträgen enthalten sind. Das Auszahlen großer Versicherungssummen kommt den Versicherungsunternehmen teuer zu stehen, weshalb sie die Abdeckung so beschränken, dass sie nur solche Vorfälle abdeckt, bei denen die Organisation notwendige Cybersicherheitsmaßnahmen installieren und alles ihr Mögliche tun muss, um einen Vorfall zu verhindern.

Da Versicherungsanbieter nur ungern Policen mit Organisationen abschließen, die mangelhafte Cybersicherheitskontrollen haben, müssen Sie bestimmte Strategien und Infrastruktur erst einmal umsetzen, bevor Sie sich nach einem Anbieter umsehen. Bessere Cybersicherheitskontrollen reduzieren das Risiko und damit auch die Versicherungsgebühren und die Eigenbeteiligung. Bevor Sie erwägen, eine Versicherung abzuschließen, sollten Sie deshalb eine effektive, übergreifende Cybersicherheitsinfrastruktur aufbauen.