Sind spezielle Cyberdeckungen tatsächlich notwendig und welche Unternehmen sollten über eine solche verfügen?

Von Natalie Kress

In unserem ersten Blogbeitrag zum Thema Cyberrisiken ging es um Mitarbeiterinnen und Mitarbeiter als Gefahrenquelle in Unternehmen und um die Frage: Wie und bis zu welchem Grad kann das firmeneigene Netzwerk geschützt werden? In der Regel gehen die IT-Abteilungen davon aus, dass das Firmennetzwerk durch die genutzte Technik gut genug geschützt ist und auch keine zusätzliche Absicherung notwendig ist. Dass es aber bei IT-Risiken nicht nur um die rein technische Ausstattung geht, sondern dass weitergehende Aspekte betrachtet werden müssen, ist oftmals der fehlenden oder mangelhaften Schnittstelle zwischen Management und IT-Abteilung – in der Regel schon rein räumlich betrachtet – geschuldet.

Diese Erfahrung machen auch Sachverständige, mit denen wir uns austauschen und zusammenarbeiten. Gerade der fehlende Austausch zwischen IT und Management führt häufig dazu, dass Risiken falsch eingeschätzt werden. Die realistische Antwort auf die Frage bis zu welchem Grad Unternehmen das eigene Netzwerk schützen können, lautet: Eine 100-prozentige Sicherheit der Informations- und Kommunikationstechnologie kann – trotz aller vorbeugender Schutzmaßnahmen – auch die beste IT-Abteilung nicht gewährleisten.

Konventionell ist der Ausfall der IT nur dann abgesichert, wenn ein Hardwareschaden vorliegt. Bei einem Cyberangriff oder bei menschlichem Versagen kommen jedoch weitaus mehr Probleme auf die Unternehmen zu: Datenverlust und daraus resultierende Betriebsunterbrechungen, die Wiederherstellung der Daten sowie Experten- und Beschleunigungskosten. Bei Verstößen gegen den Datenschutz entstehen zusätzliche Kosten durch die Benachrichtigungspflicht an die Betroffenen, Forensik, Verhandlungskosten und gegebenenfalls die Ansprüche Dritter. Eine Cyberdeckung ist sachschadenunabhängig und deckt genau diese Kosten ab. Für Unternehmen ist es daher essenziell, bestehende Deckungen genau zu analysieren und Deckungslücken zu ermitteln, um das tatsächliche Risiko einschätzen zu können.

Denn immer noch wähnen sich Firmen teils in trügerischer Sicherheit: Haben wir nicht eine Softwaredeckung in der Elektronikversicherung? Ist der vorsätzliche Computermissbrauch durch einen Mitarbeiter nicht in der Vertrauensschadenhaftpflicht abgedeckt? Und sichert die Betriebshaftpflicht nicht die Bausteine Internethaftpflicht und Datenschutz ab?

Beim detaillierten Blick in die Versicherungspolice kommt für viele Unternehmen oftmals die Überraschung: Die Sublimits für die Wiederherstellung der Daten sind beispielsweise zu gering, die aus dem Schaden resultierende Betriebsunterbrechung ist gar nicht versichert. Die Cyberversicherung hingegen ist ein ganzheitliches Konzept. Dazu gehört auch, den Versicherungsnehmer bei der Risikoanalyse zu unterstützen, Deckungslücken genau zu untersuchen und Mehrfach-Deckungen zu vermeiden.

Für welche Firmen sind Cyberdeckungen sinnvoll?

Ob die Daten der eigenen Mitarbeiter oder vertrauliche Datensätze Dritter – so gut wie jedes Unternehmen verarbeitet heute sensible Daten und unterliegt damit dem Bundesdatenschutzgesetz. Gehen Daten verloren oder werden manipuliert, kann solch ein Vorfall für das Unternehmen leicht in die Millionenhöhe gehen. Denn Firmen müssen im Schadensfall nicht nur die Benachrichtigungskosten für betroffene Kunden tragen, sondern können sich zudem mit etwaigen Schadensersatzforderungen Dritter konfrontiert sehen.

Wird ein Unternehmen also beispielsweise Opfer eines Hackangriffs, im Zuge dessen die firmeneigene Website manipuliert und etwa mit Verunglimpfungen Dritter versehen wird, kann dieses dafür in Haftung genommen werden. Angesichts dessen dass die meisten Firmen mittlerweile über eine Website verfügen, ist die Gefährdung entsprechend hoch.

In diesem Zusammenhang sind bei einem Datenschutzverstoß natürlich ebenfalls Ansprüche durch die eigenen Mitarbeiter möglich. Als ernstzunehmender Faktor erweisen sich zudem potentielle Reputationsschäden, die oftmals mit einem Cybervorfall einhergehen: Kommt es zu einer Datenpanne, kann sich der damit verbundene Imageverlust sogar langfristig auf die Geschäftstätigkeit des Unternehmens auswirken und diese nachhaltig negativ beeinflussen.

Das Gefahrenpotenzial von Cyberrisiken ist für Firmen also groß, speziell natürlich für jene mit einer hohen IT-Integration, die aufgrund dessen in ihrem Geschäftsbetrieb hochgradig technikabhängig sind. Da jedoch generell Unternehmen jeder Branche und auch jeder Größe zunehmend anfällig für das neue Risiko werden – sowohl für interne IT-Fehler als auch externe Netzangriffe –, kann ein zusätzlicher Schutz durch eine maßgeschneiderte Versicherung für jeden sinnvoll sein.

In diesem Zusammenhang gilt es sich folgende Frage zu stellen: Können auch bei einem Systemausfall beziehungsweise Datenverlust weiterhin Umsätze generiert werden? Sollte die Antwort dabei „Nein“ lauten, ist die Frage nach der Notwendigkeit einer Cyber Risk Police für das eigene Unternehmen meist bereits beantwortet.

Lesen Sie im dritten Teil unserer Serie: Welche Gefahren hinsichtlich Cyberrisiken sollten Unternehmen wirklich fürchten? Welchen Schutz bietet eine entsprechende Cyberpolice?


Über die Autorin

ACE_Group_Natalie_Kress_UW_CyberrisksNatalie Kress ist seit Mai 2013 Underwriter für Cyberrisiken bei der ACE Group (ACE) in Frankfurt. Sie studierte Betriebswirtschaft an der FHWT Vechta und untersuchte für ihre Diplomarbeit die ökonomischen Auswirkungen des Erneuerbaren Energien Gesetzes (EEG) auf die technische Versicherungswirtschaft. Zusätzlich erwarb die Diplom-Kauffrau (FH) die Qualifikation „Kauffrau für Versicherungen und Finanzen“ der IHK.

In ihrer vorherigen Tätigkeit bei einer deutschen Versicherungsgruppe war Kress im Bereich Technische Versicherungen für Underwriting, Bestandspflege und Schadensachbearbeitung verantwortlich. Bei ACE ist Natalie Kress für das Underwriting von Cyberrisiken, die Produktimplementierung und -entwicklung auf dem deutschen Markt verantwortlich.

In Kooperation mit der <br>INTER Versicherungsgruppe