Eine Cyberversicherung soll finanzielle Folgen eines Hackerangriffs verhindern und bietet Unternehmen obendrein Serviceleistungen im Notfall, so die Botschaft vielzähliger Versicherungsgesellschaften. Ist die Versicherung von Schäden in IT-Umgebungen die Lösung? Wir klären über die größten Herausforderungen auf und geben Tipps worauf Sie achten sollten.

Jede Versicherung funktioniert nach einem ähnlichen Solidarprinzip. Viele unterschiedliche Mitglieder bezahlen beispielsweise monatliche Beträge, aus diesen das Versicherungsunternehmen wiederum einen Schadensfall bezahlt. Der Schadensfall kann also nur gedeckt werden, wenn die Einzahlung der Beträge aller Mitglieder um ein Vielfaches höher ist, als die Häufigkeit und Schadenshöhe der Vorfälle. Neben der eigentlichen Versicherungsprämie, also dem Risikobeitrag, Puffer, Kosten, und Gewinnzuschlag, versucht jeder Versicherer die Eintrittswahrscheinlichkeit von Schadensfällen und deren Umfang möglichst exakt festzustellen. Je komplexer das zu versichernde Umfeld ist, desto höher muss die Versicherungsprämie sein. Um das im IT-Bereich sicherzustellen, fehlen vielen Versicherern die statistischen Daten zu IT-Vorfällen, die die Verläufe, Schadensverhältnisse und die Häufigkeiten abbilden. Hinzu kommen die Abhängigkeiten, die in den heutigen komplexen Umfeldern der IT vorhanden sind und wie sich einzelne Bedingungen auf diese Parameter auswirken. Dennoch möchten sich nur wenige Versicherungsunternehmen das Geschäft entgehen lassen, da viele potenzielle Kunden mit der IT-Unsicherheit kämpfen.

Wählt man zur Beurteilung der IT- und Informationssicherheit einen risikobasierten Ansatz, lässt sich die Sinnhaftigkeit von Versicherungen leicht erklären. Mittelständische deutsche Unternehmen suchen Lösungen, ihre Risikofaktoren möglichst kosten-/nutzengerecht zu managen. Gehen wir davon aus, dass ein Unternehmen im Fokus seinen Umsatz schützen will. Daher sind die wertschöpfenden Bereiche bevorzugt abzusichern. Das bedeutet, Risiken, die nah an den Kernprozessen (z.B. der Produktion und dem Vertrieb) angelagert sind, werden identifiziert und analysiert. Die klassifizierten Risiken lassen sich nun steuern und das Unternehmen kann sich auf den Eintritt vorbereiten. Der schein-plausible Ansatz, einen Deckmantel über alle „Cyberrisiken“ zu legen, kann die Sicht auf ihre Auswirkungen versperren. Wieso?

Cyberrisiken sind nur ein kleiner Teil der IT-Risiken. Dabei geht es insbesondere um Gefahren, die aus Betrugsversuchen mit äußerer Einwirkung, also „über das Internet“ eingehen. Doch was ist mit fehlerhaften Updates, die die Produktion für zwei Tage stoppen, da Mitarbeiter sie nicht testen? Oder was ist mit dem Mitarbeiter, der im E-Mail-Verteiler personenbezogene Infos herumsendet? Oder dem Stromausfall, wegen dem die Daten einer Woche verloren gehen?

Eines der Hauptprobleme ist, dass die Entscheider ihre IT-Risiken mit einer Cyberversicherung abgedeckt sehen und daher in präventive Maßnahmen erst recht nicht mehr investieren möchten. So öffnet man Hackern und Betrugsversuchen die Tür, was dann auch keine Versicherung mehr abdeckt. Wie geht man am besten damit um?

Wenn man Risiken nach dem Schadensmaß und der Eintrittswahrscheinlichkeit beurteilt, ist die Kombination aus hohem Schaden und hoher Eintrittswahrscheinlichkeit bzw. hoher Häufigkeit für Unternehmen am gefährlichsten. Sollten sich Risiken aus dieser Kategorie nicht akzeptieren oder mindern lassen, bleibt nur die Übertragung an eine Versicherung. Dabei ist immer zu beachten, dass die Versicherung für diesen Fall überhaupt aufkommt und die Bedingungen für die Bezahlung akzeptabel und erfüllt sind. Beispielweise ist der Abschluss einer Gebäudeversicherung sinnlos, wenn keine Rauchmelder installiert sind. Versicherungen erwarten, dass das mögliche Schadensmaß gering gehalten wird – oder sie leisten nicht. Da Versicherungen aktuell die oben beschriebene Erfahrung mit IT-Policen (noch) nicht haben, versuchen Sie zudem ihre Leistungshäufigkeit besonders gering zu halten. vimopro hat mögliche Herausforderungen und Probleme bei Versicherungen zusammengestellt:

 

Mögliche Herausforderungen und Probleme von Versicherungen:

  • Fehlbedienung (Abstufungen von Unwissenheit, Missverständnis, Fahrlässigkeit eines Versicherten) ist häufig nicht mitversichert
  • Risiken, die nicht durch „Cyberkriminalität“ verursacht werden sind nicht abgesichert
  • Bei Eintritt eines Schadenfalls besteht möglicherweise eine Wartefrist oder „Selbstbeteiligung“ (bspw. von 12 Stunden) bis die Versicherung aktiv wird, in dieser Zeit ist die Schadenshöhe jedoch am Größten
  • Funktionierende Informationssicherheitsmaßnahmen und IT Sicherheitsprozesse werden als gegeben vorausgesetzt
  • Die Selbstauskunft erhalten Sie häufig erst nachdem Sie die Police abgeschlossen haben
  • Abweichungen zwischen Selbstauskunft und Realität lassen die Police erlöschen
  • Es gibt Klauseln für z. B. maximal einen Schadensfall pro Jahr
  • Verletzungen von Geheimhaltungsvereinbarungen, Schadensersatzforderungen oder Bußgelder im Datenschutz sind in der Regel nicht abgedeckt oder liegen weit über der versicherten Summe
  • Der versicherte Betrag (z.B. 500.000,- Euro) liegt häufig weit unter dem möglichen Schaden
  • Ein Imageschaden und seine Folgen können nicht in Geld bemessen und daher auch nicht durch den Versicherer getragen werden

 

Wenn ein Unternehmen seine IT-Risiken nicht kennt, kann es diese auch nicht effektiv steuern. Das hat bereits bei vielen Unternehmen ein plötzliches Aufwachen und bedrohliche Schadenssummen verursacht. Durch ein systematisches Vorgehen, bekommt jedes Unternehmen schnell und einfach den Überblick und kann verhältnismäßig mit Risiken umgehen.

 

Zusammenfassung eines möglichen Vorgehens:

  1. Risikoanalyse durchführen, um alle Risiken und potenzielle Schäden zu identifizieren
  2. Aufbau einer objektiven Strategie, wie mit Risiken verfahren werden soll
  3. Umsatz und Fixkosten gegenüberstellen, sowie maximale Verlustgrenze ermitteln
  4. Abwägung darüber, welchen Risiken mit welcher Investition vorzubeugen wäre
  5. Bewertung der identifizierten Risiken anhand der Strategie
  6. Bilden von Maßnahmen zur Reduzierung von Risiken