Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform
IT-Sicherheit

Versicherung: Risiko IT

Eva Neuthinger | 01. März 2015 | 0 Kommentare

Hackerangriffe, Datenspionage, Passwörterklau – Cyberkriminalität entwickelt sich weiterhin dynamisch. Umso wichtiger wird es für Unternehmen, sich für den Ernstfall zu versichern. Worauf es beim Abschluss einer solchen Police ankommt.

Mehrere Dutzend deutsche Unternehmen waren im vergangenen Jahr von Hackerangriffen auf ihre Produktionsnetze betroffen. Im Frühjahr 2014 gelang es Cyberkriminellen zudem, verschlüsselte Internetseiten zu knacken. Ziel war das virtuelle Zertifikatsprotokoll Open-SSL, mit dem zahlreiche Sites gesichert werden. Die Kriminellen konnten unerlaubt Speicherinhalte auslesen und private Daten abgreifen. „Neben großen Onlinediensten oder Webseiten der Banken waren auch Server der Bundesverwaltung betroffen. Es ist davon auszugehen, dass es auch weiterhin Systeme in Deutschland gibt, die beeinträchtigt werden können“, heißt es dazu im aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik.

Die offiziellen Zahlen zur Cyberkriminalität nehmen stetig zu. Während das Bundeskriminalamt 2009 noch 2.276 Angriffe registrierte, waren es 2013 bereits 12.766. Eine Umfrage der Industrie- und Handelskammern unter norddeutschen Unternehmen hat ergeben, dass bereits jede dritte Firma Opfer einer Cyberattacke wurde. Doch die wenigsten melden laut dieser Studie die Vorfälle. „Insbesondere kleine und mittlere Firmen, die ins Visier der Kriminellen geraten, scheuen aus Scham oder Sorge ums Image oft davor zurück, an die Öffentlichkeit zu gehen“, weiß Björn Haag, Experte des Versicherungsmaklerunternehmens Richard Böck.

Digitale Erpressung

Hacker kennen viele Wege, um ans Ziel zu gelangen. So kommt es zum Beispiel häufig vor, dass einfach E-Mails mit Spionageprogrammen verschickt werden. Zudem kann jeder Teilnehmer der digitalen Welt Opfer einer Erpressung werden, meint das Bundeskriminalamt im Lagebericht zur Cyberkriminalität. Rund 6.700 solcher Fälle wurden gemeldet. Den Betroffenen wird mittels einer Schadsoftware suggeriert, dass ihr Computersystem mit einer strafbaren Handlung im Zusammenhang steht und deswegen gesperrt wurde. Gegen eine Geldleistung würde die IT wieder freigeschaltet. Solche Angriffe kommen teuer. Nicht nur, weil tatsächlich mitunter das Lösegeld von der Firma bezahlt werden muss, um weiterarbeiten zu können. Sondern auch, weil teuere Spezialisten zu beauftragen sind.

Solche Beispiele machen deutlich: Cyberattacken können jeden Firmenchef treffen – und hohe Schäden verursachen. Im Schnitt belaufen sich die Kosten bei mittelständischen Betrieben jeweils auf 41.000 Euro, so das Ergebnis einer weltweiten Umfrage des Softwarehauses Kaspersky Lab in Kooperation mit der Gesellschaft B2B International. Anlass genug, den Abschluss einer entsprechenden Versicherung zu erwägen.

Bisher konzentrieren sich die Deckungskonzepte zwar überwiegend auf den industriellen und großgewerblichen Bereich. Sogenannte Assistance- Pakete übernehmen zum Beispiel die Kosten für IT-Experten, für das Schließen der Sicherheitslücke oder für Maßnahmen der Krisenkommunikation. Ebenso kann der Mehraufwand für die juristische Betreuung gedeckt sein, falls Schadensersatzforderungen an die Firma gestellt werden. Im Idealfall kommt noch der Schutz für eine Betriebsunterbrechung hinzu.

Pauschale Lösungen gibt es nicht

Derzeit ist der Versicherungsmarkt in Bewegung: Die Gesellschaften arbeiten daran, auch kleinen und mittleren Unternehmen passgenaue Lösungen zu bieten. „Eine Cyberpolice muss auf die Anforderungen und strukturellen Erfordernisse eines Unternehmens und seines Geschäftsmodells zugeschnitten sein“, erklärt Dirk Kalinowski, Experte für IT-Risiken beim Versicherungskonzern Axa in Köln. Pauschale Lösungen gibt es deshalb nicht. „Jede Organisation verfügt über individuelle Risikofaktoren, die berücksichtigt werden müssen. Beispiele sind der Umgang mit besonders sensiblen Daten, die Nutzung von Cloud-Diensten oder Spezifika der eigenen IT-Abteilung“, so Kalinowski. Die Experten analysieren deshalb die Risiken und passen den Leistungsumfang entsprechend an.

Cyberpolicen bieten derzeit noch wenige Gesellschaften an – neben der Axa etwa die Allianz sowie Spezialisten wie Chubb, Hiscox oder AIG. „Der Preiswettbewerb verschärft sich. Für mittelständische Firmen dürfte es künftig günstiger werden“, so Haag. Derzeit müssen Mittelständler mit Prämien zwischen 3.000 und 6.000 Euro im Jahr je Million Euro Deckungssumme rechnen. Die Beiträge variieren abhängig von der Größe der Firma, der Risikosituation, dem Selbstbehalt sowie dem Leistungsumfang. „Angesichts der hohen möglichen Schäden zählen wir entsprechende Deckungen dennoch zu den Muss-Policen für die meisten Unternehmen“, so Haag.

 

 

DER RICHTIGE SCHUTZ

Der Versicherungsumfang bei Cyberpolicen fällt sehr unterschiedlich aus. Versicherungsmakler Björn Haag nennt wichtige Kriterien für die Auswahl.

Unternehmer können verschiedene Deckungsbausteine erwarten. In der Regel sind versichert:

• Wiederherstellungskosten für zerstörte Unternehmensdaten

• Schadensersatzansprüche von Dritten

• Rechtsschutz bei unberechtigten Forderungen Dritter

• Kosten forensischer Untersuchungen

• Kosten für einen PR-Berater, um Imageschäden zu vermeiden

• Kosten für eine Rechtsberatung zu möglichen Datenschutzverletzungen

• Benachrichtigungskosten an die Betroffenen im Schadensfall

Im Optimalfall übernimmt die Versicherung nicht nur die Kosten, sondern garantiert zusätzlich, kurzfristig einen Spezialisten zu beauftragen. Dies kann sehr wichtig sein, da beispielsweise mittelständische Einzelhändler in der Regel nicht über Kontakte zu Spezialisten wie etwa zu Forensikern verfügen. Diese Experten sind zudem häufig ausgebucht. Die Versicherungsgesellschaften haben deshalb Extraverträge mit ihnen abgeschlossen, um eine schnelle Unterstützung zu gewährleisten.

 

DIE WICHTIGSTEN LEISTUNGEN

Vor der Unterzeichnung sollten Unternehmer prüfen, ob ein Versicherungsangebot folgende Leistungen enthält:

• Sind Wiederherstellungskosten für zerstörte Daten und Programme versichert?

• Sind die Kosten zur Benachrichtigung von Verbrauchern enthalten?

• Sind Kosten für Forensik, PR-, Sicherheitsberater und Rechtsanwalt versichert?

• Sind Lösegeldforderungen abgedeckt?

• Sind Ansprüche aus Persönlichkeitsverletzungen mitversichert?

• Ist Urheberrechtsverletzung abgedeckt?

• Sind Forderungen der Payment-Card-Industrie mitversichert?

• Sind Schäden integriert, wenn Geld digital entwendet wird?

• Sind Vertragsstrafen und Bußgelder mitversichert?

• Sind Ansprüche Dritter bei Datenverlust abgedeckt?

• Ist die Betriebsunterbrechung versichert, falls nichts mehr geht?

Wir freuen uns über Diskussionen und Ihre Kommentare.

Durch Ihre Kommentare sollen bereichernde Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Tabu sind Beleidigungen, Schmähreden, Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich nicht hinter Pseudonymen, sondern nutzen Sie Klarnamen. Die Redaktion sieht von der Veröffentlichung von Kommentaren ab, die diesen Regeln nicht genügen. Gleiches gilt für Kommentare mit kommerziellem Interesse.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert