Der Nutzen einer Cyberversicherung wird nach Einschätzung von Anja Käfer-Rohrbach, stellvertretende Hauptgeschäftsführerin des Gesamtverbandes der Deutschen Versicherungswirtschaft, viel zu häufig unterschätzt. Die meisten Betriebe würden sich immer noch zu sicher fühlen.
Frau Käfer-Rohrbach, sind kleine Handwerksbetriebe für Hacker überhaupt interessant genug, um eine Cyberversicherung in Betracht zu ziehen?
Anja Käfer-Rohrbach: Auch ein kleiner Betrieb sollte sich nicht in Sicherheit wiegen. Gezielte Hackerangriffe auf einzelne Unternehmen sind eher die Seltenheit. Phishing-Angriffe werden hingegen immer häufiger automatisiert, möglichst breit und wahllos gestreut. Deshalb ist es relativ egal, welche Größe ein Unternehmen hat. Jeder kann das Pech haben, von einem Angriff betroffen zu sein.
Die Zahl der Cyberangriffe nimmt zu. Spiegelt sich das in den Versicherungsabschlüssen wider?
Wir führen regelmäßig Umfragen unter potenziellen Kunden von Cyberversicherungen durch. Dabei zeigt sich zwar, dass das Risikobewusstsein steigt, aber es noch sehr viel Luft nach oben gibt. Die Marktdurchdringung der Cyberversicherungen ist noch lange nicht dort, wo sie in Anbetracht der Gefahrenlage sein sollte.
Werden die wirtschaftlichen Risiken eines Angriffs unterschätzt?
Diesen Eindruck haben wir. Eine Betriebsunterbrechung infolge eines Cyberangriffs kann ein Unternehmen teilweise über Wochen erheblich einschränken. Auch ein Datenabfluss kann teuer werden. Der wirtschaftliche Schaden eines Angriffs kann erheblich und im schlimmsten Fall existenzbedrohend sein.
Das Verständnis dafür scheint aber noch zu fehlen. Warum?
Einerseits ist vielen Unternehmern die Digitalisierung nicht in die Wiege gelegt. Nur die wenigsten von ihnen sind bereits IT-Experten. Es bedarf deshalb viel Aufwand, um sich das notwendige Know-how anzueignen, um die Bedeutung der IT-Sicherheit und den Nutzen einer Cyberversicherung zu verstehen. Anderseits ist es auch Aufgabe von Maklern und Versicherern das komplexe Thema verständlich zu vermitteln.
Ist für jeden Betrieb eine Versicherung sinnvoll?
Grundsätzlich steigt mit zunehmender Digitalisierung im Unternehmen der Bedarf eines Schutzes. Ein Handwerker, der noch sehr analog arbeitet und den Computer lediglich nutzt, um neue Ware zu bestellen oder eine Kundendatei zu verwalten, kann sich diese berechtigte Frage stellen.
Was kostet mich die Versicherung?
Dies variiert und ist etwa von der Unternehmensgröße abhängig. Auch die aktuelle Schadensbelastung bei den Versicherern wirkt sich auf die Prämien in diesem noch jungen Segment aus. Ich kann dazu keine konkreten Zahlen nennen.
Wie sollte ein Handwerker vorgehen, der sich absichern möchte?
Der erste Schritt ist die Prävention. Solange der Betrieb nicht ausreichend vor IT-Sicherheitsrisiken geschützt ist, kann man die Obliegenheiten der Versicherer nicht erfüllen. Deshalb werden professionelle IT-Dienstleister benötigt, um sein Unternehmen entsprechend aufzustellen. Erst im nächsten Schritt sollte man mit den Versicherungen ins Gespräch kommen.
Was ist mit Obliegenheiten gemeint?
Versicherungsinteressenten füllen in der Regel zunächst einen Risikofragebogen aus. Hier werden die vorhandenen Sicherheitsstandards abgeklärt. Dazu zählen etwa vorhandene Datensicherungen und die Trennung zwischen Back-up und laufendem System. Auch bedarf es eines Rechtemanagements, sodass nicht jeder im Unternehmen auf sensible Geschäftsbereiche zugreifen kann. Weiterhin werden Mitarbeiterschulungen vorausgesetzt. Die Obliegenheiten können sich je nach Versicherer unterscheiden, die genannten Basics sollte ein Betrieb aber in jedem Fall erfüllen, um sich versichern lassen zu können bzw. einen bestehenden Versicherungsschutz nicht zu gefährden. Wir raten zudem, die Daten über eine Cloud zu verwalten und professionell abzusichern.
Und welche Leistungen sollte die Versicherung in jedem Fall abdecken?
Der Eigenschadenbereich ist die erste wichtige Säule. Eine Betriebsunterbrechung sollte genauso versichert sein, wie die Wiederherstellung verschlüsselter oder gelöschter Daten. Die zweite Säule ist der Drittschadenbereich. Ist mein System kompromittiert und ich leite unwissentlich einen Virus weiter, sollte die Versicherung auch die Schäden bei den Betroffenen abdecken. Ebenso den Fall, dass Kundendaten durch einen Hackerangriff an die Öffentlichkeit gelangen und Ansprüche gegen den Handwerksbetrieb geltend gemacht werden, weil ein Verstoß gegen die Datenschutzgrundverordnung vorliegt. Die dritte Säule sind die Kosten, die im Zusammenhang mit der Aufarbeitung des Hackerangriffs entstehen. Darunter fallen Forensikkosten für IT-Experten, die den Cyberangriff untersuchen. Optional ist es aus meiner Sicht auch die Kosten für Krisenkommunikation oder Reputationswiederhstellung durch die Versicherung abdecken zu lassen. Dies ist abhängig vom Einzelfall zu entscheiden.
Sind Fehler der Mitarbeiter, etwa durch das Öffnen eines E-Mail-Anhangs, mitversichert?
Solche Vorfälle sind üblicherweise abgedeckt. Zwar sollten Mitarbeiter geschult werden, damit sie eine verdächtige E-Mail erkennen können, aber ganz vermeiden lässt sich ein solches Risiko in der Praxis nicht. Die Phishing-Angriffe sind inzwischen so professionell, dass sich gefälschte Nachrichten teilweise kaum noch als solche erkennen lassen.
Darf ich meine Mitarbeiter auch Zuhause arbeiten lassen, ohne den Versicherungsschutz zu riskieren?
Remote zu arbeiten ist von den Versicherungen abgedeckt, alles andere wäre in unserer heutigen Zeit auch lebensfremd. Aber natürlich gelten die Obliegenheiten genauso für den privaten Bereich, in dem sich die Mitarbeiter befinden. Deshalb sollten im Homeoffice nur Arbeitsgeräte der Firma zum Einsatz kommen. Üblicherweise greifen die Mitarbeiter über eine abgesicherte VPN-Verbindung auf die Firmendaten zu. Der Zugriff über Privatrechner oder ein offenes WLAN sind zu vermeiden, um den Versicherungsschutz nicht zu verlieren.
Zahlt die Versicherung auch für einen Ausfall bei meinem IT-Dienstleister?
Wenn der Dienstleister die vereinbarte Leistung nicht in vertraglich festgelegter Form erbringt, weil etwa die Integrität der Daten nicht mehr gesichert ist, diese verändert wurden oder an die Öffentlichkeit geraten, besteht Versicherungsschutz. Anders sieht das aus, wenn die Leistung komplett ausfällt, weil es zum Beispiel einen Brand beim IT-Dienstleister gibt. In diesem Fall ist er gegenüber dem Handwerksbetrieb schadensersatzpflichtig. Der Versicherungsschutz des Handwerksbetriebs greift hier nicht mehr.
Cyberangriffe werden häufig von Staaten organisiert. Bin ich auch dagegen geschützt?
Grundsätzlich enthalten alle Policen einen Kriegsausschluss. Auch wenn Angriffe ohne Kriegserklärung stattfinden, handelt es sich um einen kriegsähnlichen Zustand, sobald kritische Infrastruktur angegriffen wird. Hier greift deshalb kein Versicherungsschutz. In der Praxis lässt sich allerdings oftmals schwer feststellen, ob der Angriff tatsächlich von einem Staat verübt wurde.
Cybersicherheit im Check
Es vergeht wohl kaum ein Tag ohne einen erfolgreichen Hackerangriff auf Unternehmen in Deutschland. Um sich darauf vorzubereiten, bietet der Gesamtverband der Deutschen Versicherungswirtschaft ein Online-Tool, das die IT-Sicherheit auf den Prüfstand stellt. Zudem gibt es eine Übersicht zu Anbietern von Cyberversicherungen sowie ein Video, das verständlich erklärt, wie die Versicherung im Schadensfall hilft. Mehr Informationen unter www.gdv.de/gdv/themen/digitalisierung/cybersicherheit