Neues Wording bei Cyberversicherungen für mehr Transparenz – Feuerversicherung des 21. Jahrhunderts

Moderne Cyberversicherungen stellen ein Rundum-Paket dar, bei dem der Kunde sofort die beste Hilfe bekommt, IT-Sicherheitsberatung und Präventionsmaßnahmen über das Expertennetzwerk inklusive.

Eine Cyberversicherung ist zwar kein Neuland. Allerdings ändern sich mit dem digitalen Wandel die technischen Gegebenheiten ständig und mit ihnen auch die Rahmenbedingungen für Cyberversicherungen; sie sollten es zumindest, aber sie tun es in Wahrheit nicht. Zwar hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erst 2017 Musterbedingungen entwickelt. Diese sind aber der praktischen Situation in den Unternehmen teilweise nicht gewachsen, weil operative Erfahrungen vor Ort nicht in sie eingegangen sind – sagt der Assekuranz-Makler Oskar Schunck aus München. Und Musterverträge sind für ihn nur die eine Sache. Die Frage sei vielmehr, wie man mögliche Cyberschäden überhaupt einordnen soll. Wickelt man sie bei autonom fahrenden Autos über eine Kfz-Versicherung ab oder im Fall von Datenklau über die betriebliche Haftpflicht? Sogenannte »silent cyber«-Deckungen rücken seit etwa zwei Jahren zunehmend in den Fokus der Diskussion. Für Versicherungen ist das Risiko solcher Schäden nur schwer kalkulierbar. Und die Unternehmen müssen handeln, nicht zuletzt wegen der Datenschutzgrundverordnung und drohender Strafen. In dieser etwas brenzligen Situation etabliert sich am Markt eine eigenständige Cyberversicherung als derzeit beste Lösung. Sie ist auf dem Weg, die Feuerversicherung des 21. Jahrhunderts zu werden. 

Anzeige

Flexible Obliegenheiten. Aber wie müssen solche Verträge in ihrem Wortlaut und Wortsinn (neudeutsch Wording) beschaffen sein, dass sie sowohl den Versicherern zusagen als auch den Unternehmen auf Kundenseite? Genau die richtige Aufgabe für einen Versicherungsmakler, der im Sinne seiner Kunden handelt und seine Kompetenz durchaus im Kleingedruckten sieht. 

Bei den Obliegenheiten verlangen manche Versicherer, dass sich die Kunden verpflichten, die IT-Sicherheit im Unternehmen stets auf dem höchsten Niveau und dem neuesten technischen Stand zu halten. Der Versicherer könnte in einem Schadensfall diesen technischen Status quo möglicherweise bemängeln und die Leistung kürzen. Der Makler kann es demzufolge nicht zulassen, dass der Kunde solche Bedingungen, solch ein Wording akzeptiert und damit dem Versicherer eine Hintertür der Leistungskürzung offenhält. Schunck sorgt daher mit einem eigenen, aktualisierten Wording für mehr Transparenz. »Es kann nicht sein, dass ein Risikoträger unseren Kunden in etwas hineindrängt, das nicht leistungspraktikabel ist«, so Niels Joehnk, verantwortlich für Financial Lines und Cyber bei der SCHUNCK GROUP.

 

 

Anderes Beispiel: In den »normalen« Versicherungsbedingungen steht sinngemäß, dass die Schädigung in dem Moment eintritt, in dem der »Schädling« das System befällt. Aber kann der Kunde das so genau angeben? Möglicherweise ist das System schon seit Jahren befallen, und zwar unbemerkt. Plötzlich verfügt ein Konkurrent über detaillierte Informationen aus diesem Unternehmen. Nun keimt der Verdacht, dass ein Innentäter Informationen nach außen gegeben habe, vielleicht zu einem Zeitpunkt, als das Unternehmen noch keine Cyberversicherung abgeschlossen hatte. Wenn der Vertrag erst ein Jahr alt ist und der Virus davor eindrang, gäbe es mit vorgenannter Definition keinen Versicherungsschutz. In dem neuen SCHUNCK-Wording werden solche Gegebenheiten aus der Praxis vertraglich berücksichtigt. So setzt man neuerdings auf »Kenntnisnahme« des Schadens, nicht mehr auf den Zeitpunkt der Schädigung. Diese Kenntnisnahme kann man zeitlich leicht fixieren. 

Wording aus der operativen Praxis. Wie kommt man zu einem realistischen, einem praktikablen Wording? »Das geht nur durch einen ständigen und lebendigen Kontakt zu den Kunden«, so Sascha Michel Kessel, Leiter des Competence Center Cyber bei Schunck. Seit 2017 im Unternehmen hat er mit mehr als 200 Kunden gesprochen und hat ein klares Urteil über die Informationssicherheit der Unternehmen. Viele davon seien aus ihrem Dornröschenschlaf erwacht und arbeiteten aktiv an ihrer IT-Sicherheit, andere versteckten sich (noch) hinter dem Argument fehlender Budgets. Man frage sich, ob und wie dann ein möglicher Schadenfall einbudgetiert wäre. 

Ähnlich urteilt eine aktuelle KPMG-Studie [1]: 91 Prozent der befragten Unternehmen sehen Verbesserungspotenzial im Schutz gegen Cyberattacken. 88 Prozent erwarten eine Zunahme von Cyberangriffen in den nächsten Jahren. Und dennoch passiert wenig. Man klammert sich an den Irrglauben, schon nicht betroffen zu sein. Kessels Fazit lautet: Der Kunde muss seine IT-Sicherheit in Ordnung bringen. Für das verbleibende Restrisiko erhält er eine Sicherheit, die bei Schunck »Cyber Risk Elite« genannt wird. Dieses neue Konzept haben bereits mehrere Versicherer gegengezeichnet. 

Schwachstelle Mensch. Zweidrittel aller Cyberschäden werden durch Menschen verursacht oder begünstigt. Über Software oder Hardware lassen sich viele Lücken im IT-System, an den Laptops oder den Datenbanken schließen, gleichzeitig klebt das Passwort unter der Schreibunterlage oder E-Mail-Anhänge oder Links werden unbedacht geöffnet. Mitarbeiter müssen in Sachen IT-Sicherheit geschult werden, so sieht man es bei Schunck, damit sie Neugier, Leichtsinn, Gutmütigkeit, Leichtgläubigkeit als mögliche Gefahrenquellen erkennen und abwehren.

 

 

Auf dem Weg zur Jedermann-Kriminalität. Wenn jemand drei Monate Arbeit investiert, eine Firma mit Schadsoftware infiltriert und endlich einen Gewinn von mehreren Hunderttausend Euro herauszieht – kann man dann sicher sein, dass er sich seiner kriminellen Tat bewusst ist? Er ist durch eine völlige Anonymität geschützt, lernt ein System kennen, wenn es ihm nicht schon als Mitarbeiter vertraut ist, findet die Zugangscodes, spiegelt sie nach außen und meint wohlmöglich noch, eine höchst technische, sportliche Leistung zu erbringen. Der »Erfolg« scheint seine Tat zu rechtfertigen. »Wir rutschen ab in die Jedermann-Kriminalität«, so Kessel. Dazu kommt ein Ungleichgewicht des Aufwands. Man macht sich weniger Gedanken über die Verhinderung eines Schadens als der Täter investiert, um den Schaden zu verursachen. Das hat zur Folge, dass Strafbehörden und Unternehmen »immer hinterherrennen«, so Kessel. 

Die neue Cyberversicherung der SCHUNCK GROUP ist zwar kein hundertprozentiges »Sleep-well«, aber ein Rundum-Paket, bei dem der Kunde im Notfall mit einer einzigen Telefonnummer sofort die beste Hilfe bekommt. Zusätzlich dazu bietet man den Kunden auch IT-Sicherheitsberatung und Präventionsmaßnahmen über das umfangreiche Expertennetzwerk an.



Dr. Klaus Neugebauer,
PR-Berater
[1] KPMG. Ist Cyber Security Chefsache? Der Umgang deutscher Entscheider mit Cyber Security. Studie und Handlungsempfehlungen, 2018.
Die Schunck Group ist einer der führenden internationalen Versicherungsmakler mit über 200 Partnern in über 130 Ländern. Seit 100 Jahren arbeitet man in der Tradition des Gründers Oskar Schunck nach den Werten eines familiengeführten Unternehmens. Schunck verfügt über ein eigenes Competence Center Cyber.

 

Bilder: © Nevada31/shutterstock.com; Schunck

 

43 Artikel zu „Cyberversicherung“

Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«

»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…

Industrie setzt zunehmend auf Cyberversicherungen

       14 Prozent haben Policen gegen digitale Angriffe abgeschlossen.        Vor allem Großunternehmen setzen auf Cyberversicherungen.   In der deutschen Industrie wächst der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst 11 Prozent. Das ist das Ergebnis einer…

Cyberversicherungen – Absicherung existenzbedrohender Risiken

Als Unternehmen Opfer einer Cyberattacke zu werden ist nur eine Frage der Zeit. Die Nachfrage nach Cyber-Versicherungslösungen steigt daher enorm. Sie bieten neben der Absicherung des wirtschaftlichen Bilanzschadens auch externe Experten, die bereits beim Verdacht auf einen Cybervorfall helfen.

Wachsende Bedeutung der Cyberversicherungen

Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern. »Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Im Laufe der letzten zehn Jahre konnten wir die Anwendung…

State of Cybersecurity Report: Gesteigertes Sicherheitsbewusstsein

Die digitale Transformation treibt Unternehmen dazu, ihre Sicherheitsmaßnahmen zu überdenken. Immer mehr konzentrieren sich IT-Experten auf IoT und Cloud und entwickeln eigene Systeme zum Schutz gegen Cyberbedrohungen.   Der Report »State of Cybersecurity Report 2019« von Wipro Limited unterstreicht die wachsende Bedeutung der Cyberabwehr für Unternehmen, den CISO als neue Rolle im Vorstand und belegt…

Sicheres Surfen und sorgenlose E-Mail-Kommunikation sind machbar

Auch wenn die Methoden von Cyberangreifern immer raffinierter werden, die Hauptangriffswege bleiben gleich: gefälschte E-Mails und bösartige Downloads. Nur eine vollständige Isolierung dieser Gefahrenherde garantiert ein sicheres Surfen und Downloaden von Dokumenten. Cyberangreifer nehmen Unternehmen und Behörden nach wie vor unter Nutzung der Angriffswege E-Mail und Download ins Visier. So vergeht kaum ein Tag, an…

Cybercrime: Angriff der Unbekannten

39 Prozent der für die KPMG-Studie »e-Crime in der deutschen Wirtschaft« befragten Unternehmen waren in den letzten zwei Jahren von Cyberattacken betroffen. »Unternehmen werden verstärkt über verschiedenste Angriffsvektoren attackiert und müssen sich künftig besser auf alle Angriffsszenarien vorbereiten«, so KPMG-Partner Michael Sauermann. Dabei können die Schäden in die Millionen gehen, auch wenn das eher selten…

Enorme Wissenslücken von Anwendern in puncto Phishing und Datenschutz

Die Ergebnisse einer Sicherheitsstudie [1] zum Kenntnisstand von Endanwendern hinsichtlich einer Vielzahl verschiedener Themen aus dem Cybersecurity-Umfeld verdeutlichen die Notwendigkeit kontinuierlicher Schulungen für Mitarbeiter, da über alle Branchen hinweg das Wissen um Cyberbedrohungen noch immer erhebliche Lücken aufweist. Beispielsweise offenbarten sich im Branchenvergleich, vor allen im Bildungs- und Transportwesen sowie im Gastgewerbe, teils massive Schwächen.…

Fünf von sechs Unternehmen wissen nicht, wer hinter dem Cyber-Angriff steckt

85 Prozent der von Computerkriminalität betroffenen Unternehmen können den Täter lediglich der Kategorie »unbekannt extern« zuordnen. Sie sind somit nicht in der Lage, Angriffe effektiv zu verfolgen und aufzuklären. Damit geht zugleich die Gefahr einher, dass Delikte gänzlich unentdeckt bleiben.   Zu diesem Ergebnis kommt die aktuelle KPMG-Studie »e-Crime in der deutschen Wirtschaft 2019«. Hierfür…

Verborgene Cyberrisiken treffen Versicherer und Versicherte

Die Problematik von unentdeckten Cyberrisiken in laufenden Versicherungsverträgen. Ein Kommentar von René Schoenauer, Guidewire. Cyberattacken schaffen es immer wieder in die Schlagzeilen. Man denke an WannaCry, Petya oder die erst kürzlich bekannt gewordene Microsoft-Schwachstelle BlueKeep. Hackerangriffe verursachen einerseits enorme finanzielle Schäden, ziehen langfristig allerdings noch viel schwerwiegendere Konsequenzen nach sich. Unternehmen, die einer erfolgreichen Cyberattacke…

Angriffsforensik, das Post Mortem von Cyberattacken

Blinde Flecken in der digitalen Verteidigung werden von den Cyberkriminellen dankend ausgenutzt. EPP- und EDR-Lösungen können IT- und Sicherheitsteams helfen diese Sicherheitslücken zu identifizieren. Wenn Cyberangriffe die Sicherheit von Endgeräten umgehen, kann es oft Monate dauern, bis Unternehmen die Schwachstelle entdecken. Unternehmen suchen deshalb nach Möglichkeiten, ihre Endgerätesicherheit zu modernisieren und ihre Fähigkeit zu verbessern,…

Cyber-Security: So vermeiden Unternehmen ihr eigenes »Baltimore«

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyberangriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Ransomware ist eine perfide Kryptografie-Anwendung:…

Baltimore ist »Smart City ready« – wirklich?

Der aktuelle Hackerangriff auf die Stadtverwaltung Baltimore schlägt hohe Wellen. Wieder einmal zeigt sich, dass nicht gepatchte Systeme zu den größten Sicherheitsgefahren gehören. Die Herstellung einer Cyber-Security-Hygiene mit elementaren Sicherheitsmaßnahmen darf nicht am Geld scheitern, sagt NTT Security, ansonsten wird auch die Umsetzung ambitionierter Smart-Society-Ziele am Misstrauen des Bürgers scheitern. Bei der Stadtverwaltung Baltimore haben…