»Risikotransfer« als fester Bestandteil eines umfassenden Riskmanagements – No Risk is Fun!

Technisch machbar ist heute vieles. Mit dem immer weiterwachsenden Einfluss der IT wächst auch die Störanfälligkeit für unsere Gesellschaft.

Kaum ein Lebensbereich in unserer Gesellschaft und in unserer Arbeitswelt, der heute ohne eine funktionierende IT noch vorstellbar wäre. Ob Forschung und Entwicklung, ausgefeilte Office-Anwendungen in der Verwaltung, die Verknüpfung der Systeme in der Produktion im Rahmen von Industrie 4.0, die komplette weltweite Logistik, Lieferkettenmanagement – ohne funktionierende IT-Systeme steht heute alles still. Wer dann nach Feierabend in sein »Smart Home« kommt, hängt wieder an den IT-Funktionalitäten. Und die Entwicklung kennt kein Halten: So stehen das autonome Fahren sowie die künstliche Intelligenz (KI) heute ganz oben auf der Innovationsliste. Kein Wunder also, dass die IT-Branche boomt und diese Unternehmen offensichtlich weitgehend immun gegen Wirtschaftsschwankungen sind.

Doch neben der Begeisterung für das technisch Machbare entwickelt sich eine enorme gesellschaftspolitische Verantwortung der Branche für die Sicherheit der Produkte und Leistungen. Besonders dramatische Folgen könnte eine fehlerhafte Software insbesondere bei Unternehmen aus dem Bereich »Kritische Infrastrukturen« haben. Eine rasante Entwicklung der Cyberkriminalität führt zu ständig wechselnden Bedrohungssituationen, zugleich verschärft die Politik durch immer neue Reglementierungen und Strafnormen, Stichworte DSGVO und Geschäftsgeheimnisgesetz GeschGehG, die Haftungssituation der Unternehmen. Auch ein noch so aufwendiges IT-Sicherheitsmanagement bietet keinen hundertprozentigen Schutz.

Hinzu kommt, dass von Seiten der Rechtsabteilungen bei großen Industrieunternehmen die IT-Dienstleister durch allzu einseitige Haftungsvereinbarungen zusätzlich unter Druck gesetzt werden. Gerade im Zusammenhang mit den zitierten wachsenden Cybercrime-Bedrohungsszenarien setzt sich zunehmend die Einsicht durch, dass ein umfassendes Riskmanagement im Bereich der IT-Unternehmen zwingend erforderlich ist. Vergleichbar dem Brandschutz in der Industrie, sind auch bei IT-Dienstleistern technische, personelle, aber auch organisatorische Maßnahmen notwendig. In welchem Umfang IT-Unternehmen entsprechende Sicherheitsmaßnahmen umsetzen, liegt in deren eigenem Verantwortungsbereich, flankiert durch entsprechende gesetzliche Auflagen und Forderungen beziehungsweise wirtschaftliche und rechtliche Rahmenbedingungen.

Doch was tun, wenn alle IT-Sicherheitsmaßnahmen ins Leere laufen? Ein beträchtlicher oder gar existenzbedrohender Schaden für das Unternehmen wäre die Folge. Im schlimmsten Fall gepaart mit weitergehenden Schäden für den einzelnen Kunden oder ganzen Bevölkerungsgruppen. Auch hier liegt der Vergleich zum Brandschutz nahe, denn dafür steht der sogenannte Risikotransfer in Form von geeigneten Versicherungspolicen etwa gegen Haftungs- oder Cybercrime-Risiken. Allerdings begibt sich hierbei das Management auf unsicheres Gelände, da auf externe Dienstleistungen gesetzt wird, die in ihrer Vielfalt an Angeboten und Spezialprodukten kaum transparent und in der Qualität wenig verifizierbar sind.

Eine gute Nachricht für alle IT-Unternehmen vorweg: In nahezu keinem anderen Segment wie in der IT-Branche finden sich heute im Bereich der Vermögensschadenhaftpflicht so viele Deckungserweiterungen über die reine, üblicherweise versicherbare gesetzliche Haftung hinaus.

Doch gerade die Komplexität der Haftungsrisiken und die sich ständig immer schneller wandelnden Rahmenbedingungen durch neue Technologien treiben die Versicherer und Berater vor sich her. Objektive Versicherungsvergleiche gibt es nicht, einerseits weil die bunte Welt der Versicherungsklauseln Vergleiche nahezu unmöglich macht, andererseits weil es nur sehr wenige spezialisierte Anbieter gibt, welche wirklich das Verständnis für die Branchenrisiken haben und zugleich in der Lage sind, daraus einen individuellen, flexibel anpassbaren und trotzdem bezahlbaren Risikoschutz zu kreieren. So bleibt den allermeisten Versicherungsverantwortlichen in den Unternehmen als Entscheidungsgrundlage die Höhe der Prämie und ein subjektives Vertrauen in die Fähigkeiten des Beraters.

Doch wie kann ein Unternehmen hier für »Mehrwerte« in Form von optimal auf die Bedürfnisse abgestimmten Versicherungsprodukten schaffen? Hier empfiehlt es sich, einen qualifizierten Spezialmakler in Anspruch zu nehmen, der über langjährige Erfahrung im Umgang mit Risiken der Informationstechnologie verfügt. Unternehmen sollten sich die Zeit nehmen und sich eine umfassende Risikoanalyse anfertigen lassen, welche eine detaillierte Schwachstellenanalyse in Verbindung mit Optimierungsansätzen verbindet.

Versicherungsverantwortliche in IT-Unternehmen können davon ausgehen, dass die überwiegende Zahl ihrer Haftpflicht- und Cyberpolicen mehr oder weniger gravierende Mängel aufweisen. Dargestellt sei dies an zwei wichtigen Themen, welche für viele Unternehmen der Branche von Relevanz sind.

 

 

Themenschwerpunkt: Haftungsvereinbarungen. Als Dienstleistungsbranche ist die IT häufig Lieferant von Softwareprodukten oder Services. Abnehmer sind meist große, internationale Unternehmen, die über eine entsprechende Marktmacht verfügen und diese über deren Anwälte auch ausnutzen.

So werden in der täglichen Praxis Verträge geschlossen, welche mit Pönalen belegt werden, sofern zum Beispiel die Leistung nicht fristgerecht erbracht wird. Doch führt dieser Verzug beim Abnehmer denn auch zu einem echten Schaden? Versicherungsschutz bieten die Haftpflichtversicherer lediglich für »Schadensersatzansprüche«, welche auf einer gesetzlichen Haftung, also insbesondere auf Verschulden, basieren. Das geht in der Regel komplett am Versicherungsbedarf eines IT-Dienstleisters vorbei, da dieser häufig auch verschuldensunabhängig in die Haftung genommen werden kann. Diesen fatalen Fehler haben zwischenzeitlich viele IT-Haftpflichtversicherer korrigiert und die »verschuldensunabhängige Haftung insbesondere bei SLAs und Dauerschuldverhältnissen« in die Deckung mit aufgenommen.

Doch läuft auch diese Klausel ins Leere, sofern nach einem unverschuldeten Ereignis der IT-Dienstleister etwa seine SLAs nicht einhalten kann, in Verzug gerät und vertraglich dafür Pönalen zu leisten hat. Denn Pönalen sind unverändert in der Branche ein Ausschlusskriterium und damit ein Damoklesschwert über einem IT-Unternehmen. Dieses Problem zu lösen, bedarf es einer deckungstechnischen Überprüfung der Haftungsvereinbarungen sowie gegebenenfalls einer individuellen Klausellösung unter Einbeziehung von Strafzahlungen, wie sie bereits heute von einigen spezialisierten Versicherungsmaklern angeboten werden.

Themenschwerpunkt: Cybercrime. Über kaum ein anderes Thema wurde in den letzten Jahren so viel geschrieben, wie über die immer weiter ausufernden Risiken von Cyberattacken. Ein funktionierendes Riskmanagement ist heute unverzichtbarer Bestandteil eines jeden verantwortungsvollen unternehmerischen Handelns.

Doch ein Bereich wird trotz aller negativen Schlagzeilen immer noch geradezu stiefmütterlich behandelt, der Risikotransfer im Rahmen einer umfassenden Cyberversicherung. Zugegeben, es gibt spannendere Themen, als sich mit Versicherungsbedingungen herumzuschlagen. Und noch dazu bei der Absicherung eines so komplexen Themas wie Cyberrisiken, wo bis heute die Mehrzahl der Versicherungsmakler nur über rudimentäres Wissen verfügt. Über einen Mangel an Anbietern für Cyberpolicen brauchen wir heute nicht mehr zu klagen, doch wer versteht wirklich, was diese im Zweifelsfall decken? Und wer kann mir als Unternehmer die Deckungsunterschiede der einzelnen Anbieter erklären?

Wie im Bereich der IT-Haftpflicht zeigt sich die Qualität des jeweiligen Versicherungsprodukts an den Grenzen der Versicherbarkeit. Inwieweit werden »vertragliche« Haftungsvereinbarungen im Falle eines cyberbedingten Haftpflichtschadensanspruchs gedeckt? In welchen Fällen werden auch Vertragsstrafen übernommen? Wird eine 24-Stunden-Krisenhotline zu einem im Vorfeld fix vereinbarten Provider geboten? Wie ist die Qualität des Risk Consultant? Wer zahlt, wenn sich ein Verdacht auf einen Cybervorfall nicht bestätigt und Kosten für den Cyberconsultant anfallen? Kommt der Dienstleister schon im Verdachtsfall zum versicherten Unternehmen? Was ist, wenn das Unternehmen eine cyberbedingte Betriebsunterbrechung erleidet und die Ursache außerhalb des Unternehmens zu suchen ist, beispielsweise bei einem Cloud-Service-Provider? Werden auch Fälle von Cyberspionage abgesichert? Und, und, und.

Die Liste der Qualitätsmerkmale ist mindestens so lang, wie der Unterschied in der Produktqualität groß ist. Auch hier empfiehlt es sich, den Rat eines auf Cyberrisiken spezialisierten, unabhängigen Versicherungsmaklers einzuholen. Das muss nicht gleichzeitig eine Abkehr vom bisherigen Versicherungspartner bedeuten, da Spezialmakler in der Regel auch eine Beratung und Betreuung in dieser Spezialsparte anbieten.

Fazit. Die IT verändert unser aller Leben. Damit wachsen auch die Risiken für die IT-Unternehmen, welche als Teil dieses Veränderungsprozesses Dienstleistungen erbringen. Doch genau so komplex wie die Anwendungen oder Services der IT-Branche sind auch die Risiken, die es im Vorfeld abzuwägen und einzugrenzen gilt. Dem »Risikotransfer« als festem Bestandteil eines umfassenden Riskmanagements wird heute oft noch zu wenig Bedeutung beigemessen. Doch so, wie die IT-Branche bei der Entwicklung neuer Technologien oder Dienstleistungen auf Spezialisten setzt, sollten IT-Unternehmen auch die Qualität ihres Risikotransfers von Branchenspezialisten überprüfen lassen.


Peter Janson,
Versicherungsspezialist für die IT-Branche,
Prokurist der Dr. Hörtkorn München GmbH
www.hoertkorn-muenchen.de

 

Illustration: © dimitriip /shutterstock.com

 

60 Artikel zu „Cyberversicherung“

Cyberversicherungen – Absicherung existenzbedrohender Risiken

Als Unternehmen Opfer einer Cyberattacke zu werden ist nur eine Frage der Zeit. Die Nachfrage nach Cyber-Versicherungslösungen steigt daher enorm. Sie bieten neben der Absicherung des wirtschaftlichen Bilanzschadens auch externe Experten, die bereits beim Verdacht auf einen Cybervorfall helfen.

 

 

Wie sinnvoll ist eine Cyberversicherung?

Die Absicherung durch eine Cyberversicherung gilt nur für den Schadensfall aus der Police – Cyberattacken vorbeugen und IT-Infrastruktur absichern müssen Unternehmen dennoch.   Dramatische Angriffe auf die Cybersicherheit bedrohten in den vergangenen Jahren Großkonzerne genauso wie kleine und mittlere Unternehmen (KMU). Betroffene Betriebe stehen vor immensen finanziellen Schäden – vom angekratzten Ruf ganz zu schweigen.…

Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«

»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…

Industrie setzt zunehmend auf Cyberversicherungen

       14 Prozent haben Policen gegen digitale Angriffe abgeschlossen.        Vor allem Großunternehmen setzen auf Cyberversicherungen.   In der deutschen Industrie wächst der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst 11 Prozent. Das ist das Ergebnis einer…

Wachsende Bedeutung der Cyberversicherungen

Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern. »Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Im Laufe der letzten zehn Jahre konnten wir die Anwendung…

Auf dem Weg zur transparenten KI

  Im Schach, Poker und Go hat künstliche Intelligenz (KI) die Menschheit längst überflügelt. Auch Röntgenbilder oder Aktienkurse analysiert sie bereits ähnlich gut – und teilweise sogar besser – als ein Experte aus Fleisch und Blut. Doch auch die präzisesten KI-basierten Analysen haben einen Makel: Bis jetzt ist es für einen Menschen oft kaum nachvollziehbar,…

Cybervorfälle sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit

Neunte Umfrage der Allianz Global Corporate & Specialty zu den wichtigsten Unternehmensrisiken unter mehr als 2.700 Risikoexperten aus über 100 Ländern. Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf. Betriebsunterbrechungen bleiben eine zentrale Herausforderung für Unternehmen: weltweit auf Platz zwei und in Deutschland weiterhin an der Spitze. Risiken aus dem Klimawandel sind der größte Aufsteiger…

Mangelnde Datenkompetenz kostet Milliarden an Produktivität

Global kämpfen Organisationen immer noch damit, Teams zu bilden, die Daten wirklich nutzen und in Unternehmenswert transformieren können. Eine neue Studie des Beratungsunternehmens Accenture und des Data-Analytics-Spezialisten Qlik mit dem Titel »The Human Impact of Data Literacy« untersucht das Verhältnis von Daten und Mitarbeiterbefinden in Unternehmen [1]. Laut der im Auftrag von The Data Literacy…

Keine Mails sind auch keine Lösung

In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit…

Nichts geht ohne Privileged Access Management

Privileged Access Management (PAM) ist für die IT- und Datensicherheit und somit für die erfolgreiche Anwendung von Cloud Computing und künstlicher Intelligenz (KI) unerlässlich. Dies ist das Ergebnis von Paul Fisher, Senior Analyst bei Kuppinger Cole und Autor des White Papers »Grundlagen des Privileged Access Managements«. Dieser Bericht wurde von dem Analystenunternehmen im Auftrag der…

Vielfalt in der Cybersicherheit: ein strategisches Muss

In einer Zeit, in der sich der IT-Markt in einem tiefgreifenden Wandel befindet (Aufkauf europäischer Technologien durch amerikanische Unternehmen, Angst vor der Entstehung von Monopolen, insbesondere in den Bereichen Cloud und Daten usw.), ist Umsicht wichtiger denn je. Diese Marktentwicklung kann insofern problematisch sein, als Monopole die Freiheit der Nutzer einschränken, indem sie deren Wahlmöglichkeiten…

Die unbekannte Unbekannte – Neue Risiken erfordern innovative Versicherungsmodelle

In einer Zeit fortschreitender technologischer Entwicklung, soziopolitischer Instabilität sowie des Klimawandels ist es für Versicherer äußerst schwierig, neue Risiken adäquat zu zeichnen. In den meisten Policen sind neue Risikobereiche gar nicht oder nur unzureichend abgedeckt. Wie kann ein Versicherer die Unmenge an unterschiedlichen möglichen Katastrophenszenarien in die Tarifierung neuer Policen einbeziehen? Fünf Makrotrends und Interkonnektivität…