Cyberversicherung

Der Verlust von sensiblen Daten, ein Hackerangriff oder ein einziger Klick auf eine infizierte Email durch einen Mitarbeiter – aus einem Cyber-Zwischenfall können hohe Schadensersatzansprüche von Geschädigten und dazu noch immense eigene Kosten entstehen. Doch das ist nicht alles. Werden sensible Daten gestohlen, musst Du Dich als Unternehmer vor Datenschutzbehörden oder Betroffenen erklären. Machst Du das nicht, drohen empfindliche Bußgelder. Damit Du rechtlich möglichst nicht angreifbar bist, benötigst Du ganz schnell Anwälte, die sich mit der Materie bestens auskennen.

Eine Standard-Cyberversicherung deckt in der Regel

• Eigenschäden bei Betriebsunterbrechung durch Zahlung eines vereinbarten Tagessatzes und die Kosten für die Systemrekonstruktion und Datenwiederherstellung.
• Des Weiteren reguliert Sie Drittschäden, also Schadenersatzforderung von Kunden wegen Datenmissbrauch und/oder dadurch bedingter Lieferverzug. Denn alle betroffenen Kunden müssen informiert werden und können dann einen Rechtsanwalt konsultieren – auf Deine Kosten versteht sich! Wieviel Kunden hast Du?
• Und schließlich bietet eine Cyberversicherung auch noch wichtige Serviceleistungen, wie:

• IT-Forensiker zur Analyse, Beweissicherung und Schadenbegrenzung,
• Anwälte für IT- und Datenschutzrecht zur Erfüllung Deiner Informationspflichten,
• PR-Spezialisten für Krisenkommunikation zur Eindämmung des Imageschadens.

Die schwächste Stelle für erfolgreiche Cyberattacken ist nach wie vor der Mensch mit seinen Schwächen. Darauf richten sich Angriffe mehr und mehr aus. Die Angreifer der Generation 3.0 sind längst immer einen Schritt voraus und die Methoden sind sehr filigran und einfallsreich geworden. Sie erbeuten damit in einem milliardenschweren lukrativen Markt riesige Summen. Die wichtigsten Einfallstore sind infizierte E-Mails, externe Firmenzugänge wie Homeoffice aber auch Datenträger und Diebstahl von ganzen Rechnern. Die folgenden Beispiele zeigen dies.

Schadenbeispiel 1

Die Mitarbeiterin Frau R. hat eine E-Mail mit hübschen Katzenbabys erhalten, die angeblich verkauft werden sollen.  Was Frau R. nicht ahnt: Als sie auf den Link „Weitere Fotos findest Du hier“ klickt, lädt sie ein Schadprogramm auf den Firmenrechner, das sich schnell verbreitet und die Festplatten verschlüsselt. Bekannt auch als Ransomware. Ein Lösegeld wird gefordert, damit die Daten wieder zugänglich werden. Bei Nichtzahlung drohen die Erpresser mit der Veröffentlichung aller Daten. Der Super-Gau!

Schadenbeispiel 2

Der Mitarbeiter Herr D. findet auf dem Betriebsgelände einen USB-Stick mit vielversprechender Beschriftung, der offenbar verloren wurde. Er kann es kaum abwarten nachzusehen, was so alles Schönes auf dem Stick drauf ist. Als er den Stick trotz Verbot in die USB-Buchse seines Betriebsrechners steckt, findet er aber nicht das, was er erhofft. Herr D. wirft daraufhin den USB-Stick wieder weg. In der Zeit, in der der Stick in der USB-Buchse steckte, installierte sich stattdessen unbemerkt Malware auf dem Rechner, die sich im Firmennetz verbreitete. Sie wird erst nach einem Monat zufällig erkannt und sendete bis dahin alle möglichen Daten der Firma nach draußen, so auch Datensätze von Kunden, Produktdaten und die gesamte Buchhaltung.

Eine eigentlich bekannte Masche, die aber immer wieder funktioniert. Der Schaden war allerdings beträchtlich: Betriebsausfall bis zur Rekonstruktion der Systeme, Kosten für die Entfernung der Schadsoftware, Information aller Kunden und der Datenschutzbehörde über das Datenleck, Anwaltskosten usw.

Wer heute denkt, das betrifft mich nicht, ich bin doch nur ein kleiner Bäckerladen, liegt völlig falsch. Denn in der Regel wissen selbst die Cyberakteure vorher nicht, wer die breit verteilten und infizierten E-Mails öffnen wird. Sie wissen nur eines – irgendjemand wird es tun und die E-Mail öffnen. Das kann der kleine Bäckerladen oder der mittelständische Autozulieferer sein. Es stellt also nicht die Frage ob du betroffen sein wirst, sondern nur noch wann! Selbst bei kleinen Firmen sind die Eigenschäden bei solchen Attacken bereits weit im vierstelligen Bereich angesiedelt. Dazu kommen ggf. noch Bußgelder, Imageverlust, Schadenersatz, Vertragsstrafen usw.

Grundsätzlich für alle Betriebe. Ich kenne keine Firma, die keinen Rechner hat und nicht mit dem Internet verbunden ist. In der Regel werden die Kundendaten ebenfalls auf dem Rechner gespeichert und kaum noch auf Karteikarten. Für Firmen oder Freiberufler mit sensiblen Kundendaten (z.B. Gesundheitsdaten, Bankverbindungen) ist sie ein Muss! Denn keiner ist gegen Cyber-Vorfälle gefeit.

Cyber-Versicherungen gibt es entweder als Zusatzversicherung zur Betriebshaftpflichtversicherung oder als völlig eigenständige Police.

Wir empfehlen in den meisten Fällen die eigenständige Police, weil eine gute Betriebshaftpflichtversicherung nicht automatisch eine gute und umfassende Cyber-Zusatzversicherung bedingt. Abgesehen davon bietet ein Teil der Betriebshaftpflichtversicherer derzeit keine vernünftige Cyber-Zusatzdeckung an. Die eigenständige Cyberversicherung ist meist umfangreicher, flexibler und außerdem unabhängig einsetzbar.

Und kündigt Dein Versicherer als Folge von „normalen“ Haftpflichtschäden Deine Betriebshaftpflicht, ist die Cyber-Zusatzpolice auch gleich gekündigt, weil diese oft nur zusammen mit einer Betriebshaftpflichtversicherung bestehen kann. Dann musst Du für Deine Firma gleich zwei neue Anbieter suchen. Nicht so bei der eigenständigen Cyber-Versicherung.

Deckungserweiterungen gehen über eine einfache Standarddeckung hinaus. Zu nennen wären aus unserer Sicht folgende Erweiterungen:

• DSGVO-Rechtsschutz
• Mitversicherung von privaten Geräten der Mitarbeiter
• Vorsatz durch Mitarbeiter
• Forensik und Schadenfeststellung, auch wenn die Ursache kein Cyber-Angriff war
• Maßnahmen zur Verbesserung der Datensicherheit nach einem Schadensfall
• Cyber-Erpressung einschließlich Lösegeld
• Schulung der Mitarbeiter zur Vorbeugung
• Internetdiebstahl

Das ist sehr unterschiedlich in Abhängigkeit von den Versicherern. Zu den allgemeinen Ausschlüssen gehören u.a.:

• Vorsätzliche Schadenverursachung
• Schäden durch Störungen der öffentlichen oder privaten Infrastruktur (Strom, Internetzugang usw.)

Bei Vorsatz erfolgt grundsätzlich keine Leistung.

In der Regel sind Cyberschäden in „normalen“ Standardpolicen kaum abgedeckt. Allenfalls kann es einzelne Ausschnittsdeckungen geben. So muss in einer Elektronikversicherung immer ein Sachschaden zu einem Ausfall führen. Eine Datenmanipulation beispielsweise führt in der Regel zu keinem Sachschaden, so dass deshalb keine Leistungspflicht in der Elektronikversicherung besteht, wohl aber in der Cyberversicherung. In der Betriebshaft- oder Berufshaftpflichtversicherung sind Schäden an Dritten versichert aber keine Eigenschäden, die meine Firma erleidet.

Beispiel: Eine Verschlüsselung der Festplatte durch eingeschleuste Ransomware ist kein Versicherungsfall für die Standardpolicen – also weder für die Betriebshaftpflicht, noch für die Elektronikversicherung. Für die Betriebshaftpflicht wäre es ein Eigenschaden und damit nicht versichert und in der Elektronikversicherung ist kein Sachschaden entstanden, also auch kein Versicherungsfall.

Das ist nicht verwunderlich, weil der angedachte Versicherungszweck in der Betriebs- oder Berufshaftpflicht (Versicherungsschutz bei Schäden Dritter) oder der Elektronikversicherer (Versicherungsschutz bei Hardwareschäden) ein ganz anderer ist als in der Cyber-Police. Deshalb ist eine Cyber-Versicherung für Cyberschäden optimiert und deckt diese Schadenskategorie ausreichend gut ab. Denn es kommt ja auch kaum einer auf die Idee die Cyber-Versicherung als Betriebshaftpflicht zu „missbrauchen“. Oder?