Ob System-Hacks, DDoS-Attacken oder die zunehmende Erpressung
von Lösegeldern durch gesperrte Daten: Die Liste an Cyberbedrohungen wird von Jahr zu Jahr länger. Im Allianz Risk-Barometer 2020 belegten Cyberangriffe erstmals Platz eins in der Rubrik Geschäftsrisiken – noch vor Betriebsunterbrechungen.

Zwar wurden in den letzten Jahren weniger große Cybervorfälle bekannt, wie z.B. der Fall Yahoo aus 2017, bei dem die persönlichen Daten von rund 3 Milliarden Nutzern veröffentlicht wurden. Dennoch steigt die Zahl von Angriffen auf kleinere Unternehmen und Mittelständler stetig, so dass sich auch Regierungen genötigt sehen, Richtlinien und Standards wie die Datenschutzgrundverordnung (DSGVO) festzulegen und Organisationen zur Verantwortung zu ziehen.

Die meisten Unternehmen arbeiten mit Hochdruck daran, alle Vorgaben und Richtlinien zu verstehen und die internen Prozesse entsprechend anzupassen. Kommt es dann aber doch zu einem Zwischenfall, z.B. durch Cyberangriffe, kommen nicht selten empfindliche Geldstrafen auf sie zu.

Was man über Cyber-Haftpflicht­versicherungen wissen sollten
Unternehmen sind heute gegen zahlreiche Arten von Zwischenfällen versichert. Zu den Standards gehören Versicherungen für Rechtsschutz, Gebäude, Transport, Vertrauensschaden oder höhere Gewalt. Da die Risiken durch Cyberangriffe aber immer größer werden, wandeln sich auch die von Versicherungen angebotenen Policen und Produkte. Zahlreiche Versicherungen bieten heute schon Haftpflichtversicherungen gegen Cybervorfälle an, um die durch Attacken teils immensen Kosten abzufangen. Die Allianz rechnet bei Cyberversicherungen bis 2025 mit einem Marktvolumen von rund 20 Milliarden US-Dollar.

Für diese steigende Nachfrage gibt es sehr gute Gründe. Cyber-Haftpflichtversicherungen ermöglichen es Unternehmen, im Ernstfall die finanziellen Mittel zu haben, um alle Prozesse am Laufen zu halten und entsprechend auf Angriffe reagieren zu können.

Systemintegratoren sollten ihren Kunden Cyber-Haftpflichtversicherungen aktiv anbieten. Das bedeutet nicht, dass man der angebotenen Lösung nicht traut und sich daher besser frühzeitig gegen mögliche Schwachstellen versichern sollte. Im Gegenteil:  Security-Lösungen, die für eine solche Versicherungspolice in Frage kommen, müssen strenge Sicherheitsprotokolle befolgen und hohe Standards erfüllen. Bevor eine Police nämlich nach einem Zwischenfall ausgezahlt wird, muss der Integrator nachweisen, dass alle gängigen Maßnahmen von Beginn an umgesetzt wurden. Andernfalls könnte die Versicherung eine Auszahlung verweigern.

Übernahme des Risikos über die ­Versicherung hinaus
Da es sich bei Cyber-Haftpflichtversicherungen um ein noch recht neues Produkt handelt, tun sich viele Versicherer noch schwer, die Risiken richtig einzuschätzen und zu berechnen. In der Regel basiert die Kalkulation der Deckungssumme auf einem standardisierten Fragebogen über gängige IT-Richtlinien, die Organisationhierarchie, die Größe der vorhandenen IT-Infrastruktur und die Unternehmensform. In vielen Fällen neigen Versicherer dazu, die Haftungssumme zu überschätzen, was am Ende zu höheren Prämien führt.

Unternehmen sollten sich aber nicht nur auf eine Cyber-Haftpflichtversicherung verlassen. Denn wenn diese greift, ist es in der Regel schon zu spät. Vielmehr sollten die IT- und Sicherheitssysteme schon im Vorfeld den höchsten Cyber-Sicherheitsstandards entsprechen. Dazu gehören unterschiedliche Sicherheitsebenen wie eine End-to-End Datenverschlüsselung und sichere Authentifizierungs- und Autorisierungsmechanismen, die für einen höheren Datenschutz und eine ordnungsgemäße Installation von Endgeräten mit starken Passwörtern sorgen. Unternehmen sollten sich außerdem ihren Lösungsanbieter und Partner sorgfältig auswählen und auf Systeme setzen, die effektiv vor Cyberrisiken schützen, schnell über neue Updates und Patches informieren, und somit unnötige Sicherheitslücken vermeiden. Darüber hinaus sollten die eigenen Mitarbeiter durch interne Richtlinien sensibilisiert werden.

Drei Tipps für die richtige Cyber-Haftpflichtversicherung
Wie die individuell zugeschnittene und passgenaue Cyber-Haftpflichtversicherung im stetig wachsenden Angebot der Versicherungen identifiziert werden kann, dabei helfen die nachfolgenden Tipps:

1. Die individuellen Cyberrisken kennen: Cybersicherheit kann viele unterschiedliche Facetten haben. Gleiches gilt auch für passende Haftpflichtversicherungen. Es ist daher besonders wichtig, sich über mögliche Cyberrisiken für das eigene Unternehmen im Klaren zu sein. Das kann eine ganze Reihe virtueller, aber auch realer Risiken beinhalten, wie Datenverlust oder Diebstahl von Unternehmenswerten. Erst wenn das Unternehmen genau weiß, wo die größten Gefahren liegen, kann es sich für eine Versicherung entscheiden, die den individuellen Bedürfnissen entspricht.
2. Wissen, was versichert ist: Eine Cyber-Haftpflichtversicherung kann durch zusätzliche Versicherungspolicen ergänzt werden. Es kann auch sinnvoll sein, unterschiedliche Versicherungen miteinander zu kombinieren, um im Ernstfall die bestmögliche Abdeckungssumme zu erhalten. Deshalb ist es von zentraler Bedeutung, die Bedingungen und Auszahlungsvoraussetzungen der einzelnen Policen genau zu kennen, falls ein Unternehmen für einen etwaigen Datenverstoß haftbar gemacht werden sollte. Darüber hinaus kann es mitunter schwierig sein, den aus Cyberangriffen entstandenen Schaden finanziell zu beziffern. Daher ist es sehr wichtig, mögliche Risiken in ein Finanzmodell umzuwandeln. Auch wenn die Cybersicherheit ein Geschäftsrisiko bleibt, sollten sicherheitsrelevante Aspekte von einem Experten für Cybersicherheit untersucht werden. Optimalerweise kennt sich dieser gleichermaßen im wirtschaftlichen Kontext aus und kennt die Risiken für Cybersicherheit.
3. Was passiert nach dem Ernstfall: Neben der Höhe der Abdeckungssumme sollten Unternehmen auch wissen, wie der Schadensersatzprozess vonstattengeht. Denn jeder Versicherer hat eigene Verfahren, um die Authentizität des Anspruchs zu prüfen, und einen eigenen zeitlichen Rahmen, in dem die Summe ausgezahlt wird. Unternehmen sollten sich daher frühzeitig darüber informieren, wie schnell sie im Schadensfall mit der Versicherungssumme und anderen Hilfsleistungen rechnen können. Einige Versicherungen bieten neben finanzieller Entschädigung nämlich auch die Vermittlung von Cyber-Ermittlern und Kommunikationsagenturen an, die nach einem Cyberangriff unterstützen und in der Krise so eine große Entlastung sein können.