Moderne Cyberversicherungen stellen ein Rundum-Paket dar, bei dem der Kunde sofort die beste Hilfe bekommt, IT-Sicherheitsberatung und Präventionsmaßnahmen über das Expertennetzwerk inklusive.

Eine Cyberversicherung ist zwar kein Neuland. Allerdings ändern sich mit dem digitalen Wandel die technischen Gegebenheiten ständig und mit ihnen auch die Rahmenbedingungen für Cyberversicherungen; sie sollten es zumindest, aber sie tun es in Wahrheit nicht. Zwar hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erst 2017 Musterbedingungen entwickelt. Diese sind aber der praktischen Situation in den Unternehmen teilweise nicht gewachsen, weil operative Erfahrungen vor Ort nicht in sie eingegangen sind – sagt der Assekuranz-Makler Oskar Schunck aus München. Und Musterverträge sind für ihn nur die eine Sache. Die Frage sei vielmehr, wie man mögliche Cyberschäden überhaupt einordnen soll. Wickelt man sie bei autonom fahrenden Autos über eine Kfz-Versicherung ab oder im Fall von Datenklau über die betriebliche Haftpflicht? Sogenannte »silent cyber«-Deckungen rücken seit etwa zwei Jahren zunehmend in den Fokus der Diskussion. Für Versicherungen ist das Risiko solcher Schäden nur schwer kalkulierbar. Und die Unternehmen müssen handeln, nicht zuletzt wegen der Datenschutzgrundverordnung und drohender Strafen. In dieser etwas brenzligen Situation etabliert sich am Markt eine eigenständige Cyberversicherung als derzeit beste Lösung. Sie ist auf dem Weg, die Feuerversicherung des 21. Jahrhunderts zu werden.

Flexible Obliegenheiten. Aber wie müssen solche Verträge in ihrem Wortlaut und Wortsinn (neudeutsch Wording) beschaffen sein, dass sie sowohl den Versicherern zusagen als auch den Unternehmen auf Kundenseite? Genau die richtige Aufgabe für einen Versicherungsmakler, der im Sinne seiner Kunden handelt und seine Kompetenz durchaus im Kleingedruckten sieht.

Bei den Obliegenheiten verlangen manche Versicherer, dass sich die Kunden verpflichten, die IT-Sicherheit im Unternehmen stets auf dem höchsten Niveau und dem neuesten technischen Stand zu halten. Der Versicherer könnte in einem Schadensfall diesen technischen Status quo möglicherweise bemängeln und die Leistung kürzen. Der Makler kann es demzufolge nicht zulassen, dass der Kunde solche Bedingungen, solch ein Wording akzeptiert und damit dem Versicherer eine Hintertür der Leistungskürzung offenhält. Schunck sorgt daher mit einem eigenen, aktualisierten Wording für mehr Transparenz. »Es kann nicht sein, dass ein Risikoträger unseren Kunden in etwas hineindrängt, das nicht leistungspraktikabel ist«, so Niels Joehnk, verantwortlich für Financial Lines und Cyber bei der SCHUNCK GROUP.

Anderes Beispiel: In den »normalen« Versicherungsbedingungen steht sinngemäß, dass die Schädigung in dem Moment eintritt, in dem der »Schädling« das System befällt. Aber kann der Kunde das so genau angeben? Möglicherweise ist das System schon seit Jahren befallen, und zwar unbemerkt. Plötzlich verfügt ein Konkurrent über detaillierte Informationen aus diesem Unternehmen. Nun keimt der Verdacht, dass ein Innentäter Informationen nach außen gegeben habe, vielleicht zu einem Zeitpunkt, als das Unternehmen noch keine Cyberversicherung abgeschlossen hatte. Wenn der Vertrag erst ein Jahr alt ist und der Virus davor eindrang, gäbe es mit vorgenannter Definition keinen Versicherungsschutz. In dem neuen SCHUNCK-Wording werden solche Gegebenheiten aus der Praxis vertraglich berücksichtigt. So setzt man neuerdings auf »Kenntnisnahme« des Schadens, nicht mehr auf den Zeitpunkt der Schädigung. Diese Kenntnisnahme kann man zeitlich leicht fixieren.

Wording aus der operativen Praxis. Wie kommt man zu einem realistischen, einem praktikablen Wording? »Das geht nur durch einen ständigen und lebendigen Kontakt zu den Kunden«, so Sascha Michel Kessel, Leiter des Competence Center Cyber bei Schunck. Seit 2017 im Unternehmen hat er mit mehr als 200 Kunden gesprochen und hat ein klares Urteil über die Informationssicherheit der Unternehmen. Viele davon seien aus ihrem Dornröschenschlaf erwacht und arbeiteten aktiv an ihrer IT-Sicherheit, andere versteckten sich (noch) hinter dem Argument fehlender Budgets. Man frage sich, ob und wie dann ein möglicher Schadenfall einbudgetiert wäre.

Ähnlich urteilt eine aktuelle KPMG-Studie [1]: 91 Prozent der befragten Unternehmen sehen Verbesserungspotenzial im Schutz gegen Cyberattacken. 88 Prozent erwarten eine Zunahme von Cyberangriffen in den nächsten Jahren. Und dennoch passiert wenig. Man klammert sich an den Irrglauben, schon nicht betroffen zu sein. Kessels Fazit lautet: Der Kunde muss seine IT-Sicherheit in Ordnung bringen. Für das verbleibende Restrisiko erhält er eine Sicherheit, die bei Schunck »Cyber Risk Elite« genannt wird. Dieses neue Konzept haben bereits mehrere Versicherer gegengezeichnet.

Schwachstelle Mensch. Zweidrittel aller Cyberschäden werden durch Menschen verursacht oder begünstigt. Über Software oder Hardware lassen sich viele Lücken im IT-System, an den Laptops oder den Datenbanken schließen, gleichzeitig klebt das Passwort unter der Schreibunterlage oder E-Mail-Anhänge oder Links werden unbedacht geöffnet. Mitarbeiter müssen in Sachen IT-Sicherheit geschult werden, so sieht man es bei Schunck, damit sie Neugier, Leichtsinn, Gutmütigkeit, Leichtgläubigkeit als mögliche Gefahrenquellen erkennen und abwehren.

Auf dem Weg zur Jedermann-Kriminalität. Wenn jemand drei Monate Arbeit investiert, eine Firma mit Schadsoftware infiltriert und endlich einen Gewinn von mehreren Hunderttausend Euro herauszieht – kann man dann sicher sein, dass er sich seiner kriminellen Tat bewusst ist? Er ist durch eine völlige Anonymität geschützt, lernt ein System kennen, wenn es ihm nicht schon als Mitarbeiter vertraut ist, findet die Zugangscodes, spiegelt sie nach außen und meint wohlmöglich noch, eine höchst technische, sportliche Leistung zu erbringen. Der »Erfolg« scheint seine Tat zu rechtfertigen. »Wir rutschen ab in die Jedermann-Kriminalität«, so Kessel. Dazu kommt ein Ungleichgewicht des Aufwands. Man macht sich weniger Gedanken über die Verhinderung eines Schadens als der Täter investiert, um den Schaden zu verursachen. Das hat zur Folge, dass Strafbehörden und Unternehmen »immer hinterherrennen«, so Kessel.

Die neue Cyberversicherung der SCHUNCK GROUP ist zwar kein hundertprozentiges »Sleep-well«, aber ein Rundum-Paket, bei dem der Kunde im Notfall mit einer einzigen Telefonnummer sofort die beste Hilfe bekommt. Zusätzlich dazu bietet man den Kunden auch IT-Sicherheitsberatung und Präventionsmaßnahmen über das umfangreiche Expertennetzwerk an.

Dr. Klaus Neugebauer,
PR-Berater

[1] KPMG. Ist Cyber Security Chefsache? Der Umgang deutscher Entscheider mit Cyber Security. Studie und Handlungsempfehlungen, 2018.

Die Schunck Group ist einer der führenden internationalen Versicherungsmakler mit über 200 Partnern in über 130 Ländern. Seit 100 Jahren arbeitet man in der Tradition des Gründers Oskar Schunck nach den Werten eines familiengeführten Unternehmens. Schunck verfügt über ein eigenes Competence Center Cyber.

Bilder: © Nevada31/shutterstock.com; Schunck

43 Artikel zu „Cyberversicherung“

NEWS | SICHERHEIT MADE IN GERMANY | AUSGABE 5-6-2019 | SECURITY SPEZIAL 5-6-2019

Cyberversicherung – Cyberdeckung als Selbstverständlichkeit

24. Juni 2019

Die Absicherung von Cyberrisiken spielt eine ganz zentrale Rolle beim Schutz der Firmendaten. Unzureichende Maßnahmen oder Verstöße können zu einer persönlich unbegrenzten Haftung des Geschäftsführers oder Vorstands führen.

Moderne Cyberversicherungen stellen ein Rundum-Paket dar, bei dem der Kunde sofort die beste Hilfe bekommt, IT-Sicherheitsberatung und Präventionsmaßnahmen über das Expertennetzwerk inklusive.

Dr. Klaus Neugebauer, PR-Berater

[1] KPMG. Ist Cyber Security Chefsache? Der Umgang deutscher Entscheider mit Cyber Security. Studie und Handlungsempfehlungen, 2018.

Bilder: © Nevada31/shutterstock.com; Schunck

43 Artikel zu „Cyberversicherung“

Dr. Klaus Neugebauer,
PR-Berater