Wer sich mit dem Thema Cyberversicherung beschäftigt, hat es nicht leicht. Der Markt ist noch jung, die Angebote schwer vergleichbar, sagt Holger Tittko vom Gesamtverband der versicherungsnehmenden Wirtschaft (GVNW). Er erklärt, welche Gefahren abzuwägen sind und wo beim Abschluss einer Police Fallstricke lauern.
Brauchen tatsächlich auch Handwerksbetriebe eine Cyberversicherung?
Holger Tittko: Pauschal kann man das nicht sagen und es gibt auch keine branchentypischen Anhaltspunkte, die eine Orientierungshilfe bieten. Es kommt auf den Einzelfall an.
Können Sie das etwas genauer erklären?
Zuerst müssen die IT-Risiken analysiert und erfasst werden. Danach gilt es, die erkannten Risiken zwischen "existenzbedrohend" und "unbeachtlich" zu bewerten. Erst an dem Punkt, an dem die Selbsttragung der Risiken unternehmensgefährdend oder unwirtschaftlich erscheint, ist an die Versicherung zu denken. Das gilt auch und besonders im Umgang mit den komplexen Bedrohungen aus dem Cyberspace.
Wo liegen denn überhaupt die größten Gefahren?
Das größte Schadenpotenzial geht von Ransomware aus, also von Erpressungssoftware. Wenn Cyberkriminelle Daten oder ganze Systeme verschlüsseln, entstehen nicht selten enorme Schäden. Dann ist in aller Regel die gesamte Palette der Deckungsinhalte einer Cyber-Police gefordert. Dabei muss es sich nicht um einen auf den Handwerksbetrieb zielgerichteten Hackerangriff handeln. Jeder kann davon betroffen sein.
"Der Cyber-Versicherungsmarkt ist noch jung. Das ist einer der Gründe, weswegen es keinen Marktstandard gibt."
Kann man denn vorbeugen?
Zumindest soll man sich einmal mit dem Thema auseinandersetzen. Wertvolle Tipps zur Prävention gibt es unter anderem auf den Internetseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Und dort wird auch über die Gefahrenlage in Deutschland informiert.
Angenommen ich entscheide mich für eine Police? Gibt es da Unterschiede?
Keine Cyber-Police ist wie die andere. Der deutsche Cyber-Versicherungsmarkt ist noch jung. Das ist einer der Gründe, weswegen es keinen Marktstandard gibt, wodurch ein zuverlässiger, objektiver Vergleich mehrerer Angebote schwierig ist. Die Gemeinsamkeiten beschränken sich auf die Versicherung schädigender Folgen einer IT- oder Netzwerksicherheitsverletzung, meist nach dem Deckungsbaustein-Prinzip.
"Die Bausteine dienen in erster Linie der Wiederherstellung des vorherigen, normalen Betriebsablaufs."
Und welche Bausteine können das sein?
In der Regel eine Cyber-Haftpflichtversicherung, eine Ertragsausfallversicherung durch Betriebsunterbrechungen und ein bunter Strauß an Klauseln zur Versicherung von Aufwendungen, die in erster Linie der Wiederherstellung des vorherigen, normalen Betriebsablaufes dienen. Oft steht es dem Interessenten frei, welche Deckungsbausteine er auswählen möchte.
Worauf sollte denn beim Abschluss unbedingt geachtet werden?
Da gibt es mehrere Aspekte. Aber die größte Gefahr lauert bereits vor dem Abschluss einer Cyber-Police: das ist der Risikofragebogen. Er enthält unter anderem Fragen zur Cybersicherheit im Betrieb, bei denen oftmals nur die Antwortmöglichkeiten "Ja" oder "Nein" zugelassen werden.
Was ist daran falsch?
Ich nenne ein Beispiel, die Frage lautet: "Gab es in den letzten drei Jahren einen Cyberschaden oder einen Datenschutzvorfall im Unternehmen?" Antworten Sie mit "Ja", wird es vermutlich kein verbindliches Angebot geben. Wird die Frage mit "Nein" beantwortet, kann der Versicherer, ohne einen Cent Ersatz leisten zu müssen, vom Vertrag zurücktreten, wenn sich im Schadenfall herausstellt, dass die IT in diesem Zeitraum infiltriert wurde, ohne dass es zutage trat.
"Die Cyber-Versicherer verlangen ein hohes Maß an Schadenprävention. Das gilt nicht nur für technische Aspekte."
Aber das kann doch kaum jemand mit Sicherheit sagen.
Eben. Fair wäre die Frage, ob im Verlauf der letzten drei Jahre ein Cyber-Schaden oder ein Datenschutzvorfall im Unternehmen bekanntgeworden sei. Interessenten sollten also genau schauen, worauf sie sich einlassen. Zumal der Abschluss einer Cyberversicherung ja auch noch zusätzlich mit hohen Kosten verbunden sein kann.
Inwiefern?
Die Cyber-Versicherer verlangen ein hohes Maß an Schadenprävention. Das gilt nicht nur für technische Aspekte, sondern auch für Maßnahmen zur Sensibilisierung von Mitarbeitern.
Neben Cyberversicherungen gibt es Elektronikversicherungen und Internet-Rechtsschutzversicherungen? Braucht man die ebenfalls?
Mit der Elektronikversicherung, die ja eine Sachversicherung ist, gibt es keine Überschneidung. Ähnlich verhält es sich mit der Internet-Rechtsschutzversicherung. Welche Police man braucht, ist wieder eine individuelle Frage. Wer mit teurer Elektronik arbeitet, kann sie unbedingt benötigen, ein anderer gar nicht.
Versicherungen rund um die IT: Wo liegen die Unterschiede?
Die Elektronikversicherung ist eine reine Sachversicherung, das heißt, sie schützt gegen Schäden an elektrotechnischen Geräten, Anlagen und Systemen. Dazu gehören insbesondere Daten- und Kommunikationstechnik, Bürotechnik und Geräte zur Mess- und Prüftechnik.
Eine Cyberversicherung schützt vor den finanziellen Folgen von Internetkriminalität. Dazu gehören in der Regel unter anderem Entschädigungen bei Betriebsunterbrechungen, Lösegeldzahlungen bei Erpressung, Erstattung der Kosten für die Datenwiederherstellung oder Krisenmanagement, aber auch Rechtsberatung oder passiver Rechtsschutz zur Abwehr unberechtigter Ansprüche Dritter.
Bei der Internet-Rechtsschutzversicherung stehen dagegen der Prozesskostenersatz und der Aufwendungsersatz zum Schutz der Unternehmensreputation im Fokus.