Die Versicherung von Cyberrisiken

Der Begriff „Cyberrisiken“ ist nicht konkret definiert und daher sehr komplex. Im Kern geht es um zielgerichtete und nicht zielgerichtete Angriffe auf Daten oder auf die IT-Infrastruktur mit Hilfe von Informations- und Kommunikationstechnik. Unter Cyberrisiken versteht man insbesondere:

• Betriebsunterbrechungen durch IT-Ausfälle
  
• Hackerangriffe 
  
• Datenverluste
  
• Verletzung geistiger Eigentumsrechte
  
• Datenschutzverletzungen
  
• Diebstahl von Geschäftsgeheimnissen
  
• Lösegelderpressungen von Hackern
  

Cyberrisiken verursachen in der Regel Vermögensschäden. Aktuellen Studien zufolge ist bereits jedes fünfte mittelständische Unternehmen von Cyberangriffen betroffen. Allerdings kann mehr als die Hälfte der Betroffenen (58%) nicht genau angeben, welche Bereiche und Daten angegriffen wurden und welche Folgen dies hatte. Es ist daher davon auszugehen, dass eine Vielzahl von Attacken gar nicht registriert wurde und wird, weil die entsprechenden Kontrollverfahren fehlen. Inzwischen gibt es mehr als 15 Versicherer am Markt, die eine Versicherungslösung anbieten. In der Regel sind diese Policen als Bausteinkonzept aufgebaut. Die Bedingungswerke sind sehr komplex und nur Experten sind in der Lage, diese zu vergleichen. Meist werden die folgenden Deckungsbausteine angeboten:

1. Eigenschadendeckung 
2. Drittschadendeckung (Haftpflichtversicherung)
3. Weitere Komponenten (Service, Beratung, Kosten)

1.  Eigenschadendeckung

Im Rahmen dieser Komponente ist der Schaden am eigenen Unternehmen versichert. Beispiel: Ein Hacker legt unter Einsatz von Trojanern die komplette ITInfrastruktur lahm. Der Versicherer ersetzt dann z. B. Aufwendungen für:

• Wiederherstellung der kompletten IT-Systeme
  
• IT-Experten und Forensiker, welche den Sachverhalt gerichtsverwertbar aufklären
  
• Ersatzleistung für die Betriebsunterbrechung 
  
• Krisenmanagement und PR-Maßnahmen
  
• Ggf. Lösegeldzahlungen an Hacker bei Erpressung mit Datenverlust
  

Mit diesem Schaden an der IT-Infrastruktur entsteht fast in jedem Fall ein Betriebsunterbrechungsschaden mit erheblicher Relevanz. Hierbei handelt es sich in der Regel um den größten Anteil des entstandenen Schadens.

Sehr schnell existenzbedrohend wird ein solcher Unterbrechungsschaden bei onlinebasierten Unternehmen. Doch auch bei anderen Betriebsarten kann ein Betriebsausfall kritisch werden: Vollautomatisierung ist z. B. in Hochregallagern und in der Serienproduktion lange Standard.

Eine weitere, aber nicht zu unterschätzende Deckungskomponente im Rahmen der Eigenschadendeckung ist der Ausgleich sog. Informationskosten. Nach § 42a Bundesdatenschutzgesetz sind Unternehmen bei Verlust von Personendaten verpflichtet, die Behörden sowie jede einzelne betroffene Person über den Datenverlust zu informieren. Je nach Umfang des Datenverlustes können die Informationskosten entsprechend hoch ausfallen. 

2.  Drittschadendeckung (Haftpflichtversicherung) 

Die Haftpflichtversicherung stellt den zweiten wesentlichen Leistungsbestandteil von Cyberdeckungen dar. Bei dieser Drittschadendeckung gleicht die Cyberversicherung den Vermögensschaden bei einem Dritten aus. Auch hier ein Beispiel: Ein Unternehmen wird Opfer eines Hackerangriffs. Die dort gestohlenen Personendaten werden in missbräuchlicher Weise genutzt, um kriminelle Transaktionen durchzuführen oder Bargeld abzuheben. Der hier entstandene Vermögensschaden kann in der Folge beim Verursacher – sprich dem Unternehmen mit dem Datenverlust – geltend gemacht werden.

3. Weitere Komponenten  (Service, Beratung, Kosten)

Insbesondere auch der Verlust personenbezogener Kundendaten stellt für Unternehmen ein nicht unerhebliches Reputationsschadenrisiko dar. Der Versicherer übernimmt u. a. die Kosten für das erforderliche Krisenmanagement, z. B. die Kosten für PR-Experten, Rechtsanwälte sowie IT-Forensiker, welche u. a. feststellen, wie es zu dem Datenverlust gekommen ist.