Cyberversicherung – Cyberdeckung als Selbstverständlichkeit

Die Absicherung von Cyberrisiken spielt eine ganz zentrale Rolle beim Schutz der Firmendaten. Unzureichende Maßnahmen oder Verstöße können zu einer persönlich unbegrenzten Haftung des Geschäftsführers oder Vorstands führen.

»manage it« sprach mit Christian Hörtkorn, Geschäftsführer der Dr. Hörtkorn Unternehmensgruppe,  über die Notwendigkeit einer umfassenden und dennoch individuellen Abdeckung der Cyberrisiken für Unternehmen und deren Organe.

Die Cyberversicherung ist ein relativ junges Geschäftsfeld. Das Bewusstsein für den Bedarf an einer Cyberschutzversicherung ist bei den Kunden und bei den Versicherungsunternehmen erst in den letzten Jahren deutlich gestiegen. Welche Risiken deckt die Cyberversicherung ab?

Die Cyberversicherung ist in der Tat ein noch relativ neues Produkt auf dem deutschen Versicherungsmarkt. Allerdings beschäftigen sich zwischenzeitlich so gut wie alle Versicherungsgesellschaften mit diesem Thema und bieten entsprechende Lösungen an. Ein wirklicher »Bedingungsstandard« hat sich, trotz der GDV-Musterbedingungen, noch nicht wirklich entwickelt.

Generell ist die Cyberversicherung ein Produkt, welches mehrere Versicherungselemente vereint. So werden neben der Komponente »Eigenschaden«, etwa Betriebsunterbrechungsschäden oder Wiederherstellungskosten der Systeme, ein Baustein Haftpflicht für Drittschäden auch die elementar wichtige Unterstützung im Schadenfall durch hoch spezialisierte Dienstleister wie Krisenhotline, Forensik, etc., zusammengefasst.

Cyberrisiken sind begrifflich nicht eindeutig definiert. Zwar ist für viele Unternehmen eine Versicherung gegen Hacker sehr bedeutsam wegen der zielgerichteten Angriffe auf IT-Systeme und Daten, doch ein Datenverlust entsteht auch durch nachlässiges Verhalten eigener Mitarbeiter und durch Strom- und Internetausfälle, zu seltene Backups und weitere Organisationsmängel. Welche sind die häufigsten Cyberrisiken?

Allein von der Anzahl her betrachtet, sind die häufigsten Cyberrisiken nach unserer Einschätzung klar Schäden durch Ransomware. Allerdings mit einer extrem breiten Auswirkung hinsichtlich der Schadenhöhe – diese reicht von »Kleinschäden« mit weniger als 10.000 Euro bis hin zu kompletten Produktionsstillständen mit Schadenpotenzial von mehreren Millionen Euro.

Es gibt Firmen, die eher selten Hackerangriffe, wohl aber Datenverlust durch Fehlbedienungen fürchten. Ein Beispiel wäre das nur im Stundentakt durchgeführte Backup, weil das Unternehmen nicht in der Cloud mit ihren sekündlichen Backups arbeiten will. Wenn vor dem Backup am Tagesende eine Festplatte ausfällt, ist der Schaden groß. Des Weiteren können extern gelagerte Datenträger durch Unfälle wie Brand, Wasser etc., unbrauchbar werden.  

Sind in der Cyberversicherung von Dr.Hörtkorn die Datenschutzversicherung und die Internetschutzversicherung enthalten? 

Bei der Datenversicherung gibt es zwei Modelle. Zum einen die »einfache« Datenversicherung, die einen Schutz gegen die Sachgefahren wie Feuer, Diebstahl, Explosion oder Wasser bietet. Das zweite Modell ist die »erweiterte« Datenversicherung. Hier werden die Sachgefahren erweitert um Schäden durch Viren oder Bedienfehler. Beide Lösungen können eine vollwertige Cyberversicherung nicht ersetzen. Unsere Versicherungslösung Cyber Protection Plus unterscheidet in puncto der Datenwiederherstellung nicht, ob diese durch einen Sachschaden oder durch einen Cybervorfall erforderlich wird.

Welche wirtschaftliche Bedeutung hat die Cyberdeckung?

Für unser Verständnis spielt die Absicherung von Cyberrisiken eine ganz zentrale Rolle. Die Erkenntnis, dass diese Bedrohungsszenarien leicht existenzbedrohende Folgen haben können, setzt sich mehr und mehr durch. Wir sind der Auffassung, dass spätestens in fünf Jahren die Cyberdeckung eine Selbstverständlichkeit im Versicherungsportfolio jeder Firma sein wird.

Welche Anwendungsbereiche der Cyberversicherung sind für das Kundenklientel besonders wichtig und müssen hervorgehoben werden?

Eine Cyberversicherung ist für nahezu alle Branchen relevant. Insbesondere für solche Unternehmen, die stark von der IT abhängig sind und/oder über zu schützende Datenbestände verfügen, seien es personenbezogene, sensible, vertrauliche Daten oder Daten, die der Geheimhaltung unterliegen.

Wie gestaltet sich die Regulierungspraxis in der Cyberversicherung?

Nahezu alle Anbieter von Cyberversicherungen haben eine Krisenhotline 24/7 hinterlegt. Bereits im Verdachtsfall ist diese Hotline vorrangig zu kontaktieren. Die Experten entscheiden dann, in der Regel unter Einbindung der jeweiligen IT-Abteilung, welche Maßnahmen zu treffen sind und welche Partner im Netzwerk erforderlich werden, etwa spezialisierte Rechtsanwälte, PR-Berater, etc. 

Welche Ausschlüsse und Grenzen des Deckungsschutzes gibt es bei der Cyberversicherung?

Da sich, wie bereits erwähnt, noch kein einheitlicher Standard entwickelt hat, ist eine pauschale Aussage nicht möglich. Hier lohnt ein intensiver Vergleich. Teilweise finden sich in Bedingungswerken noch Klauseln wie »Stand der Technik«, welche den Versicherern im Schadenfall erheblichen Interpretationsspielraum bieten. Gute Cyberpolicen sollten sich auf wenige klar definierte Tatbestände wie Krieg, Vorsatztaten durch Repräsentanten, etc., beschränken.

Wie hat sich die Cyberversicherung entwickelt, insbesondere im Zusammenhang mit der DSGVO?

Der Cyberversicherungsmarkt entwickelt sich ganz unabhängig von der DSGVO ständig. Die Geschwindigkeit in welcher neue beziehungsweise aktualisierte Versicherungsbedingungen der einzelnen Anbieter auf den Markt kommen, ist beachtlich.

Die DSGVO hat sicherlich dazu beigetragen, dass Unternehmen den eigenen Datenschutz und Datensicherheit kritisch hinterfragen. Hierzu zählt als ein Element natürlich auch die Absicherung der Risiken, zumal das Thema beziehungsweise die Verantwortung für IT-Sicherheit ganz klar im Bereich der Unternehmensführung angesiedelt ist. Unzureichende Maßnahmen oder Verstöße können zu einer persönlich unbegrenzten Haftung des Organs führen und ziehen neben der finanziellen Inanspruchnahme auch die Kündigung des Arbeitsplatzes nach sich.

Welche USPs haben Ihre Versicherungsangebote?

Unser exklusives, eigens auf die Bedürfnisse unserer Kunden entwickeltes Bedingungswerk sowie unsere starken und renommierten Partner, also Risikoträger und Dienstleister. Für ganz entscheidend halten wir die Spezialisierung unserer Münchner Einheit. Die Dr. Hörtkorn München GmbH befasst sich seit vielen Jahren mit der Absicherung von IT- und Cyberrisiken.

Ganz aktuell wurde zudem die Schnittstelle zur Vertrauensschadenversicherung geschlossen. Immer wieder kommt es auf Seiten der Kundschaft bei den Fällen von CEO Fraud oder Fake President zu Unklarheiten, ob hier die Cyber- oder Vertrauensschadenversicherung betroffen ist. Da es in der Tat Konstellationen geben kann, in denen beide Policen getriggert wären, haben wir ein auf unsere Cyber Protection Plus abgestimmtes Bedingungswerk verabschiedet, welches zum einen Überschneidungen vermeidet und zum anderen speziell auf Schadenfälle aus dem Bereich der Wirtschaftskriminalität abzielt. 

Herr Hörtkorn, vielen Dank für dieses Gespräch.

 

Foto: © Anne-Kathrin Kabitzke

 

Cyberversicherungen – Absicherung existenzbedrohender Risiken

 

Als Unternehmen Opfer einer Cyberattacke zu werden ist nur eine Frage der Zeit. Die Nachfrage nach Cyber-Versicherungslösungen steigt daher enorm. Sie bieten neben der Absicherung des wirtschaftlichen Bilanzschadens auch externe Experten, die bereits beim Verdacht auf einen Cybervorfall helfen.

Über das Thema »Cyber-Bedrohung und Möglichkeiten der Absicherung« sprachen wir jüngst mit Michael Dutz, Prokurist der Dr. Hörtkorn München GmbH.

Herr Dutz, was genau macht die Dr. Hörtkorn Unternehmensgruppe? Können Sie Ihr Unternehmen kurz vorstellen? 

Die Dr. Hörtkorn Unternehmensgruppe zählt zu den größten inhabergeführten Versicherungsmaklern in Deutschland. Mit rund 200 Mitarbeitern bieten wir unseren Kunden und Partnern eine professionelle und unabhängige Beratung und Betreuung bei individuellen Versicherungslösungen. Die Dr. Friedrich E. Hörtkorn GmbH bietet alles rund um klassische und innovative Versicherungslösungen an. Zum Portfolio gehören unter anderem die Bereiche Versicherungs-, Schaden- sowie Vorsorgemanagement. Mit der Dr. Hörtkorn München GmbH steht Kunden im Bereich Cyber- und IT-Versicherungen ein renommiertes Expertenteam zur Seite.

Wie entstand die Idee sich mit einer Einheit in München auf Cyber- und IT-Versicherungen zu fokussieren?

In der Cyberkriminalität sehen wir die Bedrohung der Zukunft. Unternehmen werden in wenigen Jahren den Risikotransfer in Form einer Versicherungslösung als ähnlich selbstverständlich betrachten wie beispielsweise eine Betriebshaftpflicht- oder Feuerversicherung. Gerade in dieser doch sehr komplexen und neuartigen Sparte halten wir es für erforderlich sich zu spezialisieren, um Risiken zu erkennen, Marktstandards zu setzen und Kunden optimal beraten zu können.

Wie sind Sie personell aufgestellt, mit welchen weiteren Experten arbeiten Sie zusammen?

Unser Team in München besteht derzeit aus fünf Personen, die sich überwiegend dem Thema Cyber verschrieben haben. Die Mitarbeiter verfügen neben ihrer Versicherungsausbildung über ausgeprägt hohes IT-Wissen. Zudem arbeiten wir eng mit Experten aus dem Bereich digitale Forensik, IT-Consulting und »White-Hat«-Hackern zusammen.

Welche Kompetenz benötigt ein Versicherungsmakler zur Gestaltung von Cyberversicherungen?

Die grundsätzliche Kompetenz eines Versicherungsmaklers liegt darin, Marktprodukte zu analysieren, zu optimieren und nach dem Prinzip »best advice« im Sinne des Kunden zu agieren. Die Entwicklung unserer innovativen Versicherungsmaklerlösung »Cyber Protection Plus by Dr. Hörtkorn«, erfordert ein hohes Maß an Recherchearbeit sowie die umfangreiche Zusammenarbeit mit Cyberexperten, Rechtsanwälten und nicht zuletzt intensive Verhandlungen mit potenziellen Risikoträgern.

Wie digital ist die Versicherungsbranche heute und wie hat sich die Nachfrage nach Cyberversicherungen entwickelt?

Immer mehr Versicherer setzen inzwischen auf Onlineplattformen mit vereinfachten Antragsverfahren, dieser Trend ist vor allem im »Massengeschäft« zu erkennen. Bei komplexen und individuellen Lösungen, insbesondere im gewerblichen Bereich, steht jedoch nach wie vor der persönliche Kontakt im Vordergrund. Die Nachfrage nach Cyber-Versicherungslösungen steigt enorm, noch vor rund drei Jahren waren die Abschlusszahlen gefühlt kaum messbar. Spätestens seit dem letzten Jahr beschäftigt sich der überwiegende Teil des Mittelstandes mit diesem Thema mehr oder weniger intensiv.

Welche Bedrohung ist im Moment am stärksten und was motiviert Kunden, eine Cyberversicherung abzuschließen?

Von der Anzahl her ganz klar die Kryptotrojaner, also Ransomware. Die Motivation für eine Cyberversicherung steigt mit der täglichen Berichterstattung, aber auch Vorfälle aus dem direkten Umfeld der Unternehmen tragen zu den Entscheidungen bei. Als Unternehmen Opfer einer Cyberattacke zu werden ist nur eine Frage der Zeit und nicht selten kann dies existenzbedrohende Folgen haben.

Welche Bausteine Ihrer Cyber-Versicherungslösung sind am gefragtesten?

Unsere Police besitzt eine modulare Struktur, das heißt die Leistungsbausteine Assistance, Eigenschaden und Haftpflicht können einzeln gewählt oder abgewählt werden. Wobei der Assistance-Baustein obligatorisch ist. Trotz der Abwahlmöglichkeit hat bisher noch kein Kunde davon Gebrauch gemacht. Welche Bausteine für Unternehmen in Frage kommen, ist jeweils abhängig von deren Geschäftsmodell. Generell kann man sagen, dass der Baustein Assistance für alle Unternehmen einen elementaren Mehrwert bietet und in wirtschaftlicher Hinsicht ist der Eigenschadenbereich, gerade die Betriebsunterbrechung, für die meisten Unternehmen wesentlich.

Welche Rolle spielt die neue Datenschutzgrundverordnung bei der Nachfrage nach Cyberversicherungen?

Durch die neue EU-Datenschutzgrundverordnung sind alle Unternehmen gezwungen sich mit dem Thema Datenschutz intensiv zu beschäftigen und Prozesse zu definieren. Da man hundertprozentige Sicherheit in diesem Bereich ausschließen kann, ist die Absicherung des Restrisikos essenziell.

Mit welchen Vertretern sprechen Sie in den Unternehmen, führen Sie bei Neukunden einen Auditierungsprozess durch?

Nach Möglichkeit versuchen wir sowohl den Entscheider, als auch den IT-Leiter an einen Tisch zu bekommen, um alle Belange gleichzeitig zu beleuchten. Im Zuge unseres Auditierungsprozesses bei Neukunden arbeiten wir mit einem abgestimmten Risikoermittlungsbogen. In Einzelfällen, sei es aufgrund der Unternehmensgröße oder der individuellen Risikosituation kann es vorkommen, dass vor Abschluss ein IT-Sicherheitscheck durch unsere Partner erforderlich wird.

Welche Leistungen sind im Schadensfall für Kunden am wichtigsten und warum?

Nach unserer bisherigen Erfahrung ganz klar die Assistance. Experten die bereits beim Verdacht auf einen Cybervorfall unsere Kunden »an die Hand nehmen« und zusammen mit der örtlichen IT durch die Krise begleiten. Darüber hinaus natürlich die Absicherung des wirtschaftlichen Bilanzschadens.

Aus Ihrer Sicht, welche Gründe für eine Cyberversicherung sind für Unternehmen am wichtigsten?

Die Vernetzung und Abhängigkeit von der IT nimmt weiter zu, kaum mehr ein Unternehmen ist ohne IT handlungsfähig. Die angebotenen Versicherungslösungen werden besser, umfangreicher und schützen das tatsächliche Restrisiko. Nicht zuletzt, aus haftungsrechtlicher Sicht der Unternehmensleitung gehört zum IT-Sicherheitsmanagement auch die Absicherung existenzbedrohender Risiken über eine Cyberversicherung.

Herr Dutz, vielen Dank für das Gespräch.


Michael Dutz, Prokurist der Dr. Hörtkorn München GmbH, leitet die Münchener Geschäftsstelle der Dr. Hörtkorn Unternehmensgruppe. Der studierte Versicherungsfachwirt ist seit 1992 in der Versicherungsbranche tätig und verfügt über langjährige Erfahrung im Bereich IT- und Cyberversicherung.
https://www.dr-hoertkorn.de

 

Illustration: © Kelvin Degree /shutterstock.com

 

34 Artikel zu „Cyberversicherung“

Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«

»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…

Industrie setzt zunehmend auf Cyberversicherungen

       14 Prozent haben Policen gegen digitale Angriffe abgeschlossen.        Vor allem Großunternehmen setzen auf Cyberversicherungen.   In der deutschen Industrie wächst der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst 11 Prozent. Das ist das Ergebnis einer…

Cyberversicherungen – Absicherung existenzbedrohender Risiken

Als Unternehmen Opfer einer Cyberattacke zu werden ist nur eine Frage der Zeit. Die Nachfrage nach Cyber-Versicherungslösungen steigt daher enorm. Sie bieten neben der Absicherung des wirtschaftlichen Bilanzschadens auch externe Experten, die bereits beim Verdacht auf einen Cybervorfall helfen.

Wachsende Bedeutung der Cyberversicherungen

Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern. »Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Im Laufe der letzten zehn Jahre konnten wir die Anwendung…

Cyber-Security: So vermeiden Unternehmen ihr eigenes »Baltimore«

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyberangriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Ransomware ist eine perfide Kryptografie-Anwendung:…

Baltimore ist »Smart City ready« – wirklich?

Der aktuelle Hackerangriff auf die Stadtverwaltung Baltimore schlägt hohe Wellen. Wieder einmal zeigt sich, dass nicht gepatchte Systeme zu den größten Sicherheitsgefahren gehören. Die Herstellung einer Cyber-Security-Hygiene mit elementaren Sicherheitsmaßnahmen darf nicht am Geld scheitern, sagt NTT Security, ansonsten wird auch die Umsetzung ambitionierter Smart-Society-Ziele am Misstrauen des Bürgers scheitern. Bei der Stadtverwaltung Baltimore haben…

Wo sich Wohneigentum lohnt

Viele Bundesbürger möchten irgendwann eine eigene Wohnung oder ein eigenes Haus kaufen. Ein aktueller Report des Wirtschaftsinstituts IW Köln zeigt, dass es sich in vielen deutschen Kreisen tatsächlich lohnt, in Wohneigentum zu investieren, da die regelmäßig anfallenden Kosten für die Eigentümer hier unterhalb der Mietkosten liegen [1]. So ist Wohnen im Eigentum in Düsseldorf aktuell…

Sicherheitsteams verdienen einen besseren Ansatz für Erkennung und Reaktion auf Cyberangriffe

Für viele Unternehmen ist das IT-Sicherheitsteam die erste Verteidigungslinie gegen alle bekannten und unbekannten Bedrohungen. Die zentrale Aufgabe solcher Teams besteht darin, Bedrohungen in ihrer gesamten digitalen Umgebung zu identifizieren, zu untersuchen und zu entschärfen. Da die Angreifer zunehmend automatisierter und komplexer vorgehen, verlassen sich Sicherheitsteams auf einen mehrschichtigen Ansatz zur Prävention, wie Palo Alto…

Datenunsicherheit und Folgen – Das Rennen ist in vollem Gange

Die Ratlosigkeit der europäischen Unternehmen lässt sich mit Zahlen belegen: Obwohl die Sicherheitsmaßnahmen für Datenendprodukte und mobile Geräte als am wenigsten effektiv bewertet werden, fließt dorthin das meiste Geld. Umgekehrt werden Maßnahmen bei Data-at-Rest (etwa bei festliegenden Referenzdateien auf einem Rechner) als sehr effektiv angesehen, und dennoch glaubt man nicht, dafür Mittel einplanen zu müssen [1]. Woran liegt das?

Konsolidierung der Anbieter und Architekturansatz in komplexen Sicherheitsumgebungen schafft mehr IT-Sicherheit

Mehr Vertrauen in Cloud-Security. Höhere Investitionen in Abwehr, Sicherheitstraining und Risikoanalysen. CISOs fürchten Nutzerverhalten, Daten, Geräte und Apps.   Verantwortliche für IT-Sicherheit setzen vor allem auf die Konsolidierung der Anbieter in komplexen Sicherheitsumgebungen, einer engeren Zusammenarbeit zwischen Netzwerk- und Sicherheitsteams sowie Schulungen, um die Sicherheitslage des Unternehmens zu verbessern. Das zeigt die fünfte jährliche CISO…

Immer mehr nutzen Versicherungsangebote im Internet

Jeder Zweite hat schon online eine Versicherung abgeschlossen. Unter den Jüngeren unter 30 sind es sogar zwei Drittel. Am häufigsten werden Versicherungen aber immer noch vor Ort abgeschlossen.   Per Mausklick die Kfz-Versicherung wechseln oder den Hausrat gegen Einbruch und Wasserschäden versichern: Jeder zweite Bundesbürger (55 Prozent) hat bereits einmal eine Versicherung online abgeschlossen. Bei…

Cybersecurity: Sofortmaßnahmen bei Cyberangriffen

Kommt es zum Cyberangriff, zahlt sich für Unternehmen eine gute Krisenvorbereitung aus. Die Versicherer haben jetzt zusammen mit dem Innen- und dem Justizministerium des Landes Baden-Württemberg einen Ratgeber zu »Sofortmaßnahmen bei Cyber-Angriffen« vorgestellt.   Mit dem gemeinsamen Ratgeber wollen Versicherungswirtschaft und das Land Baden-Württemberg bei Unternehmen dafür werben, dass diese sich gut auf mögliche Cyberattacken…

Rechtsschutzversicherung: Rechtsschutzkosten um ein Fünftel gestiegen

Die Kosten zur Durchsetzung eines Rechtsanspruchs wachsen rapide. Nach einer GDV-Analyse von jährlich 1,4 Millionen Rechtsschutzfällen haben sich die durchschnittlichen Ausgaben für Anwälte und Gerichte von 2012 bis 2016 um 19 Prozent erhöht. Das beträchtliche Kostenrisiko eines Rechtsstreits zeigt sich beispielsweise beim Diesel-Skandal. Ein rechtliches Vorgehen gegen den Händler oder Hersteller eines Diesel-Fahrzeugs kann schon…

Weitere Artikel zu