Ist eine Cyber-Versicherung sinnvoll oder überflüssig?
Um Risiken zu begegnen, kann eine Cyber-Versicherung eine Lösung sein. Denn ganz gleich, ob Datenschutz oder Informationssicherheit, es geht immer um Risiken.
Zunächst müssen Sie Risiken erkennen, um sie dann zu bewerten. Sobald Ihnen klar ist, welche Risiken möglich sind, und wie hoch die Wahrscheinlichkeit eines solchen Risikos ist, überlegen Sie sich, wie Sie damit umgehen.
Dabei gibt es vier Möglichkeiten zum Umgang mit Risiken:
- akzeptieren (hinnehmen),
- reduzieren (durch Maßnahmen),
- übertragen (an jemand anderen),
- vermeiden (nicht eingehen).
Eine Cyber-Versicherung ist ein klassisches Werkzeug der Risikoübertragung. Im Leistungsfall fängt die Versicherung das finanzielle Risiko auf.
Je nach Art und Umfang der jeweiligen Versicherung kann die Cyber-Versicherung auch ein Instrument zur Risikoreduktion sein. Das ist immer dann der Fall, wenn Leistungen zur Absicherung und Bewältigung von Cyberangriffen inbegriffen sind. Denn dann werden Sie als Unternehmen und Versicherungsnehmer bei der Schadensbegrenzung unterstützt. Die Leistungen der Versicherungsgesellschaft können Sie vor, während und/oder nach einem Angriff in Anspruch nehmen.
Eine Cyber-Versicherung ist einerseits eine Absicherung gegen finanzielle Risiken, aber auch ein Teil einer Strategie (Notfallmanagement) in und nach einer Notfallsituation um das Unternehmen am Laufen zu halten.
Die durchschnittliche Schadenshöhe bei Cyberangriffen lag bei deutschen Unternehmen bei 21.818 Euro, dies geht aus dem Cyber Readiness Report 2021 von Hiscox hervor.
Ist eine Cyber-Versicherung sinnvoll?
Bevor Sie sich Gedanken über den Abschluss einer Cyber-Versicherung machen, prüfen sie zunächst immer erst die bestehenden Versicherungen auf deren Leistungen. Sehr oft sind einzelne Bestandteile rechtlicher Risiken und Schäden durch Cyberkriminalität bereits durch diese abgedeckt. Natürlich kann es auch vorkommen, dass bestimmte Schäden nicht übernommen werden, bzw. ausgeschlossen sind.
Sinnvoll sind die Maßnahmen einer Cyber-Versicherung für Unternehmen, die
- (vertrauliche) Daten verarbeiten (z.B. personenbezogene),
- IT-lastige Prozesse haben, also kaum noch analog arbeiten (können),
- und die, die von der Verfügbarkeit von Daten und Systemen abhängig sind.
Die Argumente für eine Cyber-Versicherung sind besonders die Abwehr, Bewältigung und Nachbearbeitung von Cyberangriffen. Aber natürlich auch die Rettung von Daten. Sie übertragen vor allem das finanzielle Risiko.
In einer Notsituation können Sie mit der richtigen Versicherung auf zusätzliche professionelle Ressourcen zurückgreifen. Damit nutzt das Unternehmen dann wiederum Maßnahmen zur Risikoreduktion mit denen das Ausmaß der Krise begrenzt wird.
Die Angebote von Cyber-Versicherungen richten sich dabei meist an Unternehmen mit bis zu 250 Mitarbeiter.
Was deckt die Versicherung ab?
Standardmäßig sind folgende Leistungen bei einer Cyber-Versicherung dabei:
- Entschädigung bei Betriebsunterbrechung,
- Erstattung der Kosten für Datenwiederherstellung (z.B. nach Cyberangriffen oder Ransomware-Attaken),
- Übernahme von Drittschäden,
- Bezahlung der IT-Forensik,
- Angebot einer Rechtsberatung für Datenschutzverletzungen,
- und Bezahlung eines Krisenkommunikators und von Callcenter-Kosten.
Weitere mögliche Leistungen einer Versicherung sind:
- Wiederherstellung und Reparatur der IT-Systeme,
- strafrechtliche Verteidigung,
- Absicherung von Eigenschäden, die durch kriminelle Handlungen Dritter im Internet entstanden sind, z.B. Schäden durch Online-Banking oder Online-Shopping,
- Ausgleich der Haftpflichtansprüche von Dritten, wegen rufschädigender Inhalte,
- zusätzlicher Schutz durch Sicherheitssoftware,
- telefonische psychologische Beratung bei Cybermobbing,
- rechtliche Beratung bei vermeintlichen Urheberrechtsverletzungen,
- Kostenerstattung für die Entfernung rufschädigender Inhalte in sozialen Netzwerken,
- Krisenhotline, technischer Support durch Incident-Response- und IT-Forensik-Dienstleister.
Entscheidung treffen
Wenn Sie bereits eine Cyber-Versicherung abgeschlossen haben, prüfen Sie, ob Ihr Unternehmen die erforderlichen Maßnahmen für den Leistungsfall einhält. Ist das nicht der Fall,, kann die Versicherung die Leistung verweigern.
Gleichen Sie die getroffenen technischen und organisatorischen Maßnahmen mit den Anforderungen der Versicherung ab. Die Vorgaben hierfür finden Sie in den Versicherungs-Bedingungen.
Hat Ihr Unternehmen schon eine Cyber-Versicherung, machen Sie sich Gedanken, ob Sie diese benötigen, und wie Sie die Leistungen sinnvoll nutzen.
Ein konkretes Beispiel: könnten Sie ein Kriseninterventionsteam überhaupt nutzen, das bedeutet z.b. diesem die notwendigen Informationen ad hoc zur Verfügung stellen, und mit den Anforderungen, Antworten, usw. überhaupt etwas anfangen?
Versicherbar sind Unternehmen nur dann, wenn das Risiko für die Versicherung kalkulierbar ist. Also wenn Ihr Unternehmen bereits Maßnahmen getroffen hat. Hieraus ergeben sich die benötigten Leistungen der Versicherung und es können vielleicht auch Beiträge gespart werden.
Im Rahmen unserer Beratung unterstützen wir Sie gerne bei der Einschätzung, ob die datenschutzrechtlichen Voraussetzungen erfüllt werden.
Wir verwenden zur transparenten Bewertung den Risikofragebogen der Versicherer und können so schon vor dem Abschluss eine Einschätzung über die Schwachstellen der firmeneigenen IT geben. Beheben Sie diese möglichen Schwachpunkte fällt das Risiko, demnach auch Ihr Beitrag und – vielleicht brauchen Sie die Versicherung dann wirklich nur noch für den absoluten Notfall.
Sprechen Sie uns an, wir Helfen Ihnen!