Technisch machbar ist heute vieles. Mit dem immer weiterwachsenden Einfluss der IT wächst auch die Störanfälligkeit für unsere Gesellschaft.
Kaum ein Lebensbereich in unserer Gesellschaft und in unserer Arbeitswelt, der heute ohne eine funktionierende IT noch vorstellbar wäre. Ob Forschung und Entwicklung, ausgefeilte Office-Anwendungen in der Verwaltung, die Verknüpfung der Systeme in der Produktion im Rahmen von Industrie 4.0, die komplette weltweite Logistik, Lieferkettenmanagement – ohne funktionierende IT-Systeme steht heute alles still. Wer dann nach Feierabend in sein »Smart Home« kommt, hängt wieder an den IT-Funktionalitäten. Und die Entwicklung kennt kein Halten: So stehen das autonome Fahren sowie die künstliche Intelligenz (KI) heute ganz oben auf der Innovationsliste. Kein Wunder also, dass die IT-Branche boomt und diese Unternehmen offensichtlich weitgehend immun gegen Wirtschaftsschwankungen sind.
Doch neben der Begeisterung für das technisch Machbare entwickelt sich eine enorme gesellschaftspolitische Verantwortung der Branche für die Sicherheit der Produkte und Leistungen. Besonders dramatische Folgen könnte eine fehlerhafte Software insbesondere bei Unternehmen aus dem Bereich »Kritische Infrastrukturen« haben. Eine rasante Entwicklung der Cyberkriminalität führt zu ständig wechselnden Bedrohungssituationen, zugleich verschärft die Politik durch immer neue Reglementierungen und Strafnormen, Stichworte DSGVO und Geschäftsgeheimnisgesetz GeschGehG, die Haftungssituation der Unternehmen. Auch ein noch so aufwendiges IT-Sicherheitsmanagement bietet keinen hundertprozentigen Schutz.
Hinzu kommt, dass von Seiten der Rechtsabteilungen bei großen Industrieunternehmen die IT-Dienstleister durch allzu einseitige Haftungsvereinbarungen zusätzlich unter Druck gesetzt werden. Gerade im Zusammenhang mit den zitierten wachsenden Cybercrime-Bedrohungsszenarien setzt sich zunehmend die Einsicht durch, dass ein umfassendes Riskmanagement im Bereich der IT-Unternehmen zwingend erforderlich ist. Vergleichbar dem Brandschutz in der Industrie, sind auch bei IT-Dienstleistern technische, personelle, aber auch organisatorische Maßnahmen notwendig. In welchem Umfang IT-Unternehmen entsprechende Sicherheitsmaßnahmen umsetzen, liegt in deren eigenem Verantwortungsbereich, flankiert durch entsprechende gesetzliche Auflagen und Forderungen beziehungsweise wirtschaftliche und rechtliche Rahmenbedingungen.
Doch was tun, wenn alle IT-Sicherheitsmaßnahmen ins Leere laufen? Ein beträchtlicher oder gar existenzbedrohender Schaden für das Unternehmen wäre die Folge. Im schlimmsten Fall gepaart mit weitergehenden Schäden für den einzelnen Kunden oder ganzen Bevölkerungsgruppen. Auch hier liegt der Vergleich zum Brandschutz nahe, denn dafür steht der sogenannte Risikotransfer in Form von geeigneten Versicherungspolicen etwa gegen Haftungs- oder Cybercrime-Risiken. Allerdings begibt sich hierbei das Management auf unsicheres Gelände, da auf externe Dienstleistungen gesetzt wird, die in ihrer Vielfalt an Angeboten und Spezialprodukten kaum transparent und in der Qualität wenig verifizierbar sind.
Eine gute Nachricht für alle IT-Unternehmen vorweg: In nahezu keinem anderen Segment wie in der IT-Branche finden sich heute im Bereich der Vermögensschadenhaftpflicht so viele Deckungserweiterungen über die reine, üblicherweise versicherbare gesetzliche Haftung hinaus.
Doch gerade die Komplexität der Haftungsrisiken und die sich ständig immer schneller wandelnden Rahmenbedingungen durch neue Technologien treiben die Versicherer und Berater vor sich her. Objektive Versicherungsvergleiche gibt es nicht, einerseits weil die bunte Welt der Versicherungsklauseln Vergleiche nahezu unmöglich macht, andererseits weil es nur sehr wenige spezialisierte Anbieter gibt, welche wirklich das Verständnis für die Branchenrisiken haben und zugleich in der Lage sind, daraus einen individuellen, flexibel anpassbaren und trotzdem bezahlbaren Risikoschutz zu kreieren. So bleibt den allermeisten Versicherungsverantwortlichen in den Unternehmen als Entscheidungsgrundlage die Höhe der Prämie und ein subjektives Vertrauen in die Fähigkeiten des Beraters.
Doch wie kann ein Unternehmen hier für »Mehrwerte« in Form von optimal auf die Bedürfnisse abgestimmten Versicherungsprodukten schaffen? Hier empfiehlt es sich, einen qualifizierten Spezialmakler in Anspruch zu nehmen, der über langjährige Erfahrung im Umgang mit Risiken der Informationstechnologie verfügt. Unternehmen sollten sich die Zeit nehmen und sich eine umfassende Risikoanalyse anfertigen lassen, welche eine detaillierte Schwachstellenanalyse in Verbindung mit Optimierungsansätzen verbindet.
Versicherungsverantwortliche in IT-Unternehmen können davon ausgehen, dass die überwiegende Zahl ihrer Haftpflicht- und Cyberpolicen mehr oder weniger gravierende Mängel aufweisen. Dargestellt sei dies an zwei wichtigen Themen, welche für viele Unternehmen der Branche von Relevanz sind.
Themenschwerpunkt: Haftungsvereinbarungen. Als Dienstleistungsbranche ist die IT häufig Lieferant von Softwareprodukten oder Services. Abnehmer sind meist große, internationale Unternehmen, die über eine entsprechende Marktmacht verfügen und diese über deren Anwälte auch ausnutzen.
So werden in der täglichen Praxis Verträge geschlossen, welche mit Pönalen belegt werden, sofern zum Beispiel die Leistung nicht fristgerecht erbracht wird. Doch führt dieser Verzug beim Abnehmer denn auch zu einem echten Schaden? Versicherungsschutz bieten die Haftpflichtversicherer lediglich für »Schadensersatzansprüche«, welche auf einer gesetzlichen Haftung, also insbesondere auf Verschulden, basieren. Das geht in der Regel komplett am Versicherungsbedarf eines IT-Dienstleisters vorbei, da dieser häufig auch verschuldensunabhängig in die Haftung genommen werden kann. Diesen fatalen Fehler haben zwischenzeitlich viele IT-Haftpflichtversicherer korrigiert und die »verschuldensunabhängige Haftung insbesondere bei SLAs und Dauerschuldverhältnissen« in die Deckung mit aufgenommen.
Doch läuft auch diese Klausel ins Leere, sofern nach einem unverschuldeten Ereignis der IT-Dienstleister etwa seine SLAs nicht einhalten kann, in Verzug gerät und vertraglich dafür Pönalen zu leisten hat. Denn Pönalen sind unverändert in der Branche ein Ausschlusskriterium und damit ein Damoklesschwert über einem IT-Unternehmen. Dieses Problem zu lösen, bedarf es einer deckungstechnischen Überprüfung der Haftungsvereinbarungen sowie gegebenenfalls einer individuellen Klausellösung unter Einbeziehung von Strafzahlungen, wie sie bereits heute von einigen spezialisierten Versicherungsmaklern angeboten werden.
Themenschwerpunkt: Cybercrime. Über kaum ein anderes Thema wurde in den letzten Jahren so viel geschrieben, wie über die immer weiter ausufernden Risiken von Cyberattacken. Ein funktionierendes Riskmanagement ist heute unverzichtbarer Bestandteil eines jeden verantwortungsvollen unternehmerischen Handelns.
Doch ein Bereich wird trotz aller negativen Schlagzeilen immer noch geradezu stiefmütterlich behandelt, der Risikotransfer im Rahmen einer umfassenden Cyberversicherung. Zugegeben, es gibt spannendere Themen, als sich mit Versicherungsbedingungen herumzuschlagen. Und noch dazu bei der Absicherung eines so komplexen Themas wie Cyberrisiken, wo bis heute die Mehrzahl der Versicherungsmakler nur über rudimentäres Wissen verfügt. Über einen Mangel an Anbietern für Cyberpolicen brauchen wir heute nicht mehr zu klagen, doch wer versteht wirklich, was diese im Zweifelsfall decken? Und wer kann mir als Unternehmer die Deckungsunterschiede der einzelnen Anbieter erklären?
Wie im Bereich der IT-Haftpflicht zeigt sich die Qualität des jeweiligen Versicherungsprodukts an den Grenzen der Versicherbarkeit. Inwieweit werden »vertragliche« Haftungsvereinbarungen im Falle eines cyberbedingten Haftpflichtschadensanspruchs gedeckt? In welchen Fällen werden auch Vertragsstrafen übernommen? Wird eine 24-Stunden-Krisenhotline zu einem im Vorfeld fix vereinbarten Provider geboten? Wie ist die Qualität des Risk Consultant? Wer zahlt, wenn sich ein Verdacht auf einen Cybervorfall nicht bestätigt und Kosten für den Cyberconsultant anfallen? Kommt der Dienstleister schon im Verdachtsfall zum versicherten Unternehmen? Was ist, wenn das Unternehmen eine cyberbedingte Betriebsunterbrechung erleidet und die Ursache außerhalb des Unternehmens zu suchen ist, beispielsweise bei einem Cloud-Service-Provider? Werden auch Fälle von Cyberspionage abgesichert? Und, und, und.
Die Liste der Qualitätsmerkmale ist mindestens so lang, wie der Unterschied in der Produktqualität groß ist. Auch hier empfiehlt es sich, den Rat eines auf Cyberrisiken spezialisierten, unabhängigen Versicherungsmaklers einzuholen. Das muss nicht gleichzeitig eine Abkehr vom bisherigen Versicherungspartner bedeuten, da Spezialmakler in der Regel auch eine Beratung und Betreuung in dieser Spezialsparte anbieten.
Fazit. Die IT verändert unser aller Leben. Damit wachsen auch die Risiken für die IT-Unternehmen, welche als Teil dieses Veränderungsprozesses Dienstleistungen erbringen. Doch genau so komplex wie die Anwendungen oder Services der IT-Branche sind auch die Risiken, die es im Vorfeld abzuwägen und einzugrenzen gilt. Dem »Risikotransfer« als festem Bestandteil eines umfassenden Riskmanagements wird heute oft noch zu wenig Bedeutung beigemessen. Doch so, wie die IT-Branche bei der Entwicklung neuer Technologien oder Dienstleistungen auf Spezialisten setzt, sollten IT-Unternehmen auch die Qualität ihres Risikotransfers von Branchenspezialisten überprüfen lassen.
Peter Janson,
Versicherungsspezialist für die IT-Branche,
Prokurist der Dr. Hörtkorn München GmbH
www.hoertkorn-muenchen.de
Illustration: © dimitriip /shutterstock.com
60 Artikel zu „Cyberversicherung“
NEWS | SICHERHEIT MADE IN GERMANY | AUSGABE 5-6-2019 | SECURITY SPEZIAL 5-6-2019
Cyberversicherung – Cyberdeckung als Selbstverständlichkeit
NEWS | BUSINESS | IT-SECURITY | LÖSUNGEN | SERVICES | SICHERHEIT MADE IN GERMANY | AUSGABE 5-6-2018
Cyberversicherungen – Absicherung existenzbedrohender Risiken
NEWS | BUSINESS | IT-SECURITY | SERVICES | TIPPS
Wie sinnvoll ist eine Cyberversicherung?
Die Absicherung durch eine Cyberversicherung gilt nur für den Schadensfall aus der Police – Cyberattacken vorbeugen und IT-Infrastruktur absichern müssen Unternehmen dennoch. Dramatische Angriffe auf die Cybersicherheit bedrohten in den vergangenen Jahren Großkonzerne genauso wie kleine und mittlere Unternehmen (KMU). Betroffene Betriebe stehen vor immensen finanziellen Schäden – vom angekratzten Ruf ganz zu schweigen.…
NEWS | BUSINESS | LÖSUNGEN | AUSGABE 9-10-2019
Neues Wording bei Cyberversicherungen für mehr Transparenz – Feuerversicherung des 21. Jahrhunderts
NEWS | BUSINESS | IT-SECURITY | SERVICES
Cyberversicherung: »Die finanziellen Folgen von Angriffen auf IT-Systeme lassen sich mit Versicherungen in den Griff bekommen«
»Vorstände, Geschäftsführer und Firmeninhaber, die ihre Unternehmen nicht gegen Gefahren aus dem Internet absichern, handeln grob fahrlässig«, sagt Johannes Sczepan, Geschäftsführer der Finanzberatungsgruppe Plansecur. »Allerdings ist es angesichts der Vielzahl der möglichen Angriffsszenarien schwierig, die passende Versicherungskombination zu finden«, räumt der Finanzfachmann ein. Er verweist auf die aktuelle Studie »IT-Sicherheit 2019« des eco – Verband…
NEWS | TRENDS WIRTSCHAFT | BUSINESS | TRENDS SERVICES | GESCHÄFTSPROZESSE | TRENDS 2018 | IT-SECURITY | STRATEGIEN
Industrie setzt zunehmend auf Cyberversicherungen
14 Prozent haben Policen gegen digitale Angriffe abgeschlossen. Vor allem Großunternehmen setzen auf Cyberversicherungen. In der deutschen Industrie wächst der Markt für Cyberversicherungen: Jedes siebte Industrieunternehmen (14 Prozent) hat bereits eine Versicherung gegen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl abgeschlossen. Vor zwei Jahren waren es erst 11 Prozent. Das ist das Ergebnis einer…
NEWS | BUSINESS | IT-SECURITY | ONLINE-ARTIKEL
Wachsende Bedeutung der Cyberversicherungen
Anforderungen der Versicherungen könnten Schutzlevel allgemein fördern. »Zyniker würden behaupten, die Cyberversicherung ist eine kostengünstige Form des Risikomanagements. Viele Experten jedoch sehen die Cyberversicherungswirtschaft als potenziell neuen Treiber guter IT-Sicherheitspraktiken«, erklärt Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. Im Laufe der letzten zehn Jahre konnten wir die Anwendung…
NEWS | KÜNSTLICHE INTELLIGENZ | SICHERHEIT MADE IN GERMANY
Auf dem Weg zur transparenten KI
Im Schach, Poker und Go hat künstliche Intelligenz (KI) die Menschheit längst überflügelt. Auch Röntgenbilder oder Aktienkurse analysiert sie bereits ähnlich gut – und teilweise sogar besser – als ein Experte aus Fleisch und Blut. Doch auch die präzisesten KI-basierten Analysen haben einen Makel: Bis jetzt ist es für einen Menschen oft kaum nachvollziehbar,…
NEWS | TRENDS 2020 | TRENDS WIRTSCHAFT | BUSINESS | TRENDS INFRASTRUKTUR | GESCHÄFTSPROZESSE | IT-SECURITY
Cybervorfälle sind erstmals das wichtigste Geschäftsrisiko für Unternehmen weltweit
Neunte Umfrage der Allianz Global Corporate & Specialty zu den wichtigsten Unternehmensrisiken unter mehr als 2.700 Risikoexperten aus über 100 Ländern. Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf. Betriebsunterbrechungen bleiben eine zentrale Herausforderung für Unternehmen: weltweit auf Platz zwei und in Deutschland weiterhin an der Spitze. Risiken aus dem Klimawandel sind der größte Aufsteiger…
NEWS | TRENDS 2020 | TRENDS WIRTSCHAFT | BUSINESS | BUSINESS INTELLIGENCE | BUSINESS PROCESS MANAGEMENT | GESCHÄFTSPROZESSE
Mangelnde Datenkompetenz kostet Milliarden an Produktivität
Global kämpfen Organisationen immer noch damit, Teams zu bilden, die Daten wirklich nutzen und in Unternehmenswert transformieren können. Eine neue Studie des Beratungsunternehmens Accenture und des Data-Analytics-Spezialisten Qlik mit dem Titel »The Human Impact of Data Literacy« untersucht das Verhältnis von Daten und Mitarbeiterbefinden in Unternehmen [1]. Laut der im Auftrag von The Data Literacy…
NEWS | IT-SECURITY | KOMMENTAR
Keine Mails sind auch keine Lösung
In Behörden und Verwaltungen finden sich in hohem Umfang vertrauliche Daten von Bürgerinnen und Bürgern. Zudem können sie eigentlich weder den Empfang von E-Mail-Anhängen noch den Zugriff auf Webseiten strikt reglementieren, da sie berechtigte Anliegen enthalten können. Jedenfalls war das der bisherige Ansatz: Niedersachsens Finanzbehörden blockieren nun Mails mit Linkadressen oder Office-Anhängen und gehen damit…
NEWS | IT-SECURITY | WHITEPAPER
Nichts geht ohne Privileged Access Management
Privileged Access Management (PAM) ist für die IT- und Datensicherheit und somit für die erfolgreiche Anwendung von Cloud Computing und künstlicher Intelligenz (KI) unerlässlich. Dies ist das Ergebnis von Paul Fisher, Senior Analyst bei Kuppinger Cole und Autor des White Papers »Grundlagen des Privileged Access Managements«. Dieser Bericht wurde von dem Analystenunternehmen im Auftrag der…
NEWS | IT-SECURITY
Vielfalt in der Cybersicherheit: ein strategisches Muss
In einer Zeit, in der sich der IT-Markt in einem tiefgreifenden Wandel befindet (Aufkauf europäischer Technologien durch amerikanische Unternehmen, Angst vor der Entstehung von Monopolen, insbesondere in den Bereichen Cloud und Daten usw.), ist Umsicht wichtiger denn je. Diese Marktentwicklung kann insofern problematisch sein, als Monopole die Freiheit der Nutzer einschränken, indem sie deren Wahlmöglichkeiten…
NEWS | BUSINESS | KÜNSTLICHE INTELLIGENZ
Die unbekannte Unbekannte – Neue Risiken erfordern innovative Versicherungsmodelle
In einer Zeit fortschreitender technologischer Entwicklung, soziopolitischer Instabilität sowie des Klimawandels ist es für Versicherer äußerst schwierig, neue Risiken adäquat zu zeichnen. In den meisten Policen sind neue Risikobereiche gar nicht oder nur unzureichend abgedeckt. Wie kann ein Versicherer die Unmenge an unterschiedlichen möglichen Katastrophenszenarien in die Tarifierung neuer Policen einbeziehen? Fünf Makrotrends und Interkonnektivität…