Ransomware, Hackerangriffe, Denial-of-Service-Attacken. Immer mehr Unternehmen werden Opfer von Cyber-Kriminalität, in den vergangenen zwei Jahren waren laut KPMG 38 Prozent der Firmen in Deutschland betroffen. Die durchschnittlichen Kosten pro Angriff beziffert das Beratungsunternehmen mit 360.000 Euro; dem Branchenverband Bitkom zufolge addieren sich die Schäden für die deutsche Wirtschaft auf mehr als 50 Milliarden Euro jährlich. Angesichts der Tatsache, dass immer mehr Geschäftsabläufe und Dienstleistungen in die digitale Welt verlagert werden, steigt die Gefahr, selbst betroffen zu werden, enorm. Vielleicht stellen auch Sie sich die Frage, wann es Ihr Unternehmen erwischt und ob es nicht höchste Zeit ist, sich um eine Cyber-Versicherung zu kümmern.
Was leistet eine Cyber-Versicherung?
Cyber-Versicherungen begrenzen die wirtschaftlichen Folgen, die aus Verletzungen der Informationssicherheit entstehen, in der Regel unabhängig davon, wer die Verletzung begeht. Während sich klassische Versicherungen wie Haftpflicht- oder Elektronikversicherung überwiegend auf materielle Schäden beziehen, die in der Regel durch physische Ereignisse zustande kommen, decken Cyber-Versicherungen immaterielle Schäden im Zusammenhang mit Daten ab. Die neuartigen Versicherungen stellen eine Kombination aus Drittschaden- und Eigenschadenversicherung dar. Sie werden, weil sie unternehmensspezifisch zugeschnitten sein müssen, als Modullösungen angeboten. Manche Versicherungen haben sich spezialisiert, auf bestimmte Unternehmensgrößen wie den Mittelstand oder auf bestimmte Branchen wie produzierende Unternehmen oder Unternehmen mit großer Abhängigkeit von Internet und IT-Systemen sowie großen Mengen personenbezogener Daten. Pauschalangebote gibt es für kleine Betriebe mit überschaubarem Risiko.
Folgende Schäden können abgedeckt werden:
- Fremdschäden wie:
- Ansprüche Dritter infolge missbrauchter Kundendaten
- Umsatzausfälle beim Kunden infolge von Unterbrechungen des Geschäftsbetriebes
- Verteidigungskosten
- Vertragsstrafen
- Bußgelder
- Eigenschäden wie:
- Kosten für die Aufrechterhaltung des Geschäftsbetriebes und die Wiederinbetriebnahme der IT-Infrastruktur
- Wiederherstellungskosten bei Datenverlust
- Kosten für die Benachrichtigung von Kunden bei Datenschutzverletzungen
- Forensik-Kosten
- Kosten bei Erpressung
Kein Versicherungsabschluss ohne Risikoprüfung
Inwieweit Unternehmen auf IT-Systeme und Daten angewiesen sind und welche Auswirkungen ein Schaden auf die Geschäftsprozesse haben kann, sieht bei jedem Unternehmen anders aus. Damit ändert sich auch der Umfang des benötigten Versicherungsschutzes. Ebenso muss das Risikoprofil als Grundlage für die Berechnung der Prämien einer Cyberversicherung individuell ermittelt werden. Dabei spielen viele Faktoren eine Rolle, unter anderem das Geschäftsfeld, die Mitarbeiterzahl und der Umsatz, die Branche und die Kundenstruktur. Bei einem Unternehmen der produzierenden Industrie mit dem Risiko von Betriebsunterbrechungen sehen Risikoprofil und Schutzbedarf anders als bei einem kleineren Systemhaus, das eine überschaubare Kundenzahl in der Region betreut. Von ihnen wiederum unterscheidet sich ein international agierender Telekommunikationsanbieter mit Hunderttausenden von Kundendaten, die für Cyberkriminelle interessant sein könnten.
Für die Risikoprüfung von kleineren und mittelständischen Unternehmen werden meist Fragebögen eingesetzt. Solche Erfassungsbögen und Cyber-Risiko-Tests für die Selbstauskunft findet man auf den Webseiten von Versicherern und spezialisierten Maklern. Je nach Geschäftsfeld und Branche müssen ggf. weitere Fragen beantwortet werden, beispielsweise von einer eCommerce-Firma oder einem Unternehmen mit vernetzter Produktion. In speziellen Fällen, insbesondere bei Großunternehmen bzw. bei sehr hohen Deckungssummen, finden ausführliche Risikoprüfungen statt, als Risikodialog oder auch als Assessment.
Wie steht es um die IT-Sicherheit?
Besonderes Augenmerk legen die Versicherungen auf die Qualität der IT- und Informationssicherheit des Unternehmens und prüfen, mit welchen Maßnahmen die Risiken verringert werden. Das Unternehmen muss Auskunft darüber geben, ob es über angemessene Sicherheitsmaßnahmen verfügt, den Zustand der IT mittels Zertifizierungen und Audits prüfen lässt, die Mitarbeiter regelmäßig in Sicherheitsfragen schult, gesetzliche Vorgaben und Branchenstandards umsetzt. Über Branchenstandards informieren das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die einschlägigen Branchenverbände. Orientierungshilfen geben zudem die IT-Grundschutz-Kataloge des BSI oder die Teletrust-Handreichung zum Stand der Technik.
Die Risikoanalyse
Das Ergebnis aus Risikoprüfung und Sicherheitsstatus fließen in die Risikoanalyse ein. In einer Risiko-Matrix lässt sich die Höhe des Schadens bei Eintritt des Ereignisses ins Verhältnis zur Eintrittswahrscheinlichkeit setzen. Die Matrix ist die Grundlage für die Entscheidung, welche Schäden bis zu welcher Höhe und mit welchem Selbstbehalt versichert werden sollen und welche Module der Cyber-Versicherung dafür erforderlich sind. Daraus berechnet die Versicherung die Prämienhöhe.
Das Kleingedruckte
Vor dem Abschluss einer Cyber-Versicherung sollten Sie auf folgende Details achten:
- Welche Fälle aus der Risiko-Matrix sollen versichert werden?
- Gibt es teuer zu versichernde Risiken mit geringer Eintrittswahrscheinlichkeit, die Sie ausschließen wollen?
- Gibt es Schäden, die durch bestehende Versicherungen abgedeckt sind?
- Wie hoch ist der Aufwand für die Bereitstellung aller Angaben, die der Versicherer benötigt, und wie häufig fällt er an?
- Gibt es eine Meldepflicht bei Veränderungen?
- Wie verändert sich die Prämie, wenn sich die Sicherheit im Unternehmen verbessert / verschlechtert?
- Bis zu welcher Höhe ist ein Selbstbehalt sinnvoll?
- Sind ggf. Rückstellungen ein wirtschaftlicheres Vorgehen?
Damit Sie im Fall eines Cyber-Schadens keine bösen Überraschungen erleben, sind diese Aspekte besonders wichtig:
- Ist die Deckungssumme ausreichend kalkuliert?
- Arbeitet die Versicherung mit eigenen Gutachtern bzw. Sachverständigen; ist die Begutachtung durch sie zwingend oder optional; kann ein Gutachter frei gewählt werden?
- Welche Haftungseinschränkungen und Haftungsausschlüsse gibt es?
- Wie sieht es mit der rückwirkenden Abdeckung von bislang nicht bekannten Sicherheitsvorfällen aus?
Wie kann eine DLP-Lösung bei einer Cyber-Versicherung helfen?
Lösungen für Data Loss Prevention senken das Risiko von Datenschutzverletzungen durch die eigenen Mitarbeiter enorm, was positive Auswirkungen auf die Höhe der Prämie haben kann. Zudem können sie durch geeignete Richtlinien im Schnittstellenschutz das Risiko verringern, dass Schadcode über mobile Geräte wie USB-Sticks ins Unternehmensnetz gelangt. Meist rechnet sich die Anschaffung einer DLP-Lösung, wenn nur ein einziger Vorfall verhindert wird.
- Ist-Analyse
DLP-Lösungen suchen mit Komponenten wie eDiscovery nach unstrukturierten Daten, die auf den Endpoints gespeichert und von dort aus über nicht genehmigte Anwendungen das Unternehmen verlassen können. Zudem zeichnen sie den Datentransfer auf, so dass er im Hinblick auf unerwünschte Aktivitäten ausgewertet werden kann: Sind sensible Daten betroffen? Wohin werden sie übermittelt? Über welche Austrittspunkte verlassen sie das Unternehmen? Welche Nutzer übertragen sie?
- Schnittstellenschutz
Schnittstellenschutz als Kernkomponente von DLP-Lösungen überwacht den Datentransfer auf externe Datenträger und Geräte. Er identifiziert USB-Geräte anhand von Seriennummern und IDs und blockiert alle unbekannten Sticks oder Geräte. Wenn für spezielle Aufgaben USB-Sticks erforderlich sind, können im Rahmen von White Listing Geräte eines bestimmten Herstellers beziehungsweise mit bestimmten Seriennummern oder IDs für ausgewählte Rechner, bestimmte Gruppen oder alle Nutzer freigeben werden.
- Container-Verschlüsselung
Müssen sensible Daten auf USB-Datenträgern transportiert werden, verhindert eine Zwangsverschlüsselung, dass bei Diebstahl oder Verlust des Speicher-Sticks ein nicht autorisierter Zugriff auf die Daten möglich ist.
- Inhaltsbasierte Richtlinien
Inhaltsbasierte Richtlinien schützen vor Datenklau und versehentlichen Dateiübertragungen, indem die Übermittlung von Geschäfts- und Betriebsgeheimnissen sowie von datenschutzrechtlich relevanten Informationen über alle Austrittspunkte wie Cloud-Speicher, E-Mail-Anwendungen, Speichermedien und alle Rechner, Nutzer, Gruppen im Unternehmen hinweg blockiert wird. Dafür werden Richtlinien mit vordefinierten Inhalten wie personenbezogene Daten und Kreditkarten-, Konto- oder Ausweisnummern angelegt und die Dateien entsprechend der Richtlinien gefiltert. Für die Prüfung auf unternehmensspezifische Inhalte lassen sich individuelle Wörterbücher mit Schlüsselbegriffen und Regulären Ausdrücken einrichten.
Eine Cyber-Versicherung ist kein Ersatz für umfassende IT- und Datensicherheit und kein Freibrief für Nachlässigkeiten, ganz im Gegenteil: Versicherungspolice und Sicherheitspolicy sind keine guten Alternativen; Sicherheitsrichtlinien und ihre Überwachung sind die Voraussetzung, um überhaupt eine Police zu bekommen. Unternehmen, die nicht ausreichend abgesichert sind, zahlen exorbitant hohe Prämien, wenn sie denn überhaupt versichert werden, oder der Versicherer zahlt bei einem Vorfall nicht. Da höhere Sicherheit mit State-of-the-Art-Technologie die Prämien niedrig hält, ist es eine Überlegung wert, zunächst in eine DLP-Lösung zu investieren, um danach von niedrigeren Prämien einer Cyber-Versicherung zu profitieren.