Schutz vor Cyber-Risiken

Neue Technik – neue Risiken

Was soll mir denn schon groß passieren? Wie hoch kann ein Schaden schon sein? Nach wie vor unterschätzen Unternehmen die sogenannten Cyber-Risiken. Kommt es zu einem IT-Sicherheitsvorfall, können die wirtschaftlichen Folgen aber weiterhin schwerwiegend sein: Neben den Kosten für die Wiederherstellung von Daten und IT-Systemen sind es mögliche Vertragsstrafen, Haftungsfälle, Imageschäden, Kunden- und Umsatzverlust, die zu den finanziell spürbaren Konsequenzen gehören.

 

Werden gesetzliche Vorgaben verletzt, können Bußgelder und Strafverfahren hinzukommen. Sind personenbezogene Daten betroffen, kann es in naher Zukunft (EU-Datengrundschutzverordnung ab den 25.05.2018) sehr teuer werden.

Für mich als klein- und mittelständisches Unternehmen treffen doch Schadenszenarien wie „Verlust von 27.000 Datensätze der Barclays Bank“ oder „Hackerangriff bei Uber, Daten von über 50 Millionen Passagieren wurde geklaut“ gar nicht zu, außerdem habe ich doch Schutz über meine Haftpflicht-, Sach- oder Vertrauensschadenversicherungen! Immer wieder trifft man bei Gesprächen auf diese Aussagen der Kunden. Wer kann sich schon in so ein abstraktes Thema reinversetzen? Meist nur Unternehmen, die schon geschädigt worden oder in der der IT-Branche tätig sind.

Die Bedrohung aus dem Internet ist für Unternehmen aller Branchen und Größen präsent. Für Hacker und Datendiebe ist ein DAX-Unternehmen aus dem Telekommunikationsbereich ebenso ein Ziel wie ein Golfclub. Mit einem im Durchschnitt rund 41.000 Euro Kosten verursachenden Angriff können auch klein- und mittelständische Unternehmen in Deutschland schnell an den Rand ihrer Existenz geraten.

 

Für wen ist eine Cyber-Deckung interessant?

Auch wenn es sich um ein Thema handelt, mit dem wir uns alle ausein­andersetzen sollten, empfiehlt sich eine Cyber-Deckung vor allem Unternehmen, die:

  • Personenbezogene und vertrauliche Daten speichern, bearbeiten oder verwalten
  • von Computer-Netzwerken, digitalen Informationen oder dem Internet abhängig sind
  • Online-Geschäfte tätigen und über das Internet Waren oder Dienstleistungen verkaufen
  • Informationen elektronisch veröffentlichen

 

Besteht nicht bei vielen Einzelversicherungen bereits Deckung?

  • In der Betriebshaftpflicht sind Ansprüche eines geschädigten Dritten, wegen Datenverlust, Datenveränderung und Datenschutzverletzung, abgesichert. Einige Versicherer leisten auch, wenn der Versicherungsnehmer Persönlichkeits- und Namensrechte verletzt.
  • In der Sach- und technischen Versicherung werden meist die Kosten für Wiederherstellung der Daten und betriebsfertigen Programme erstattet.
  • D&O-Versicherung (Organ- oder Manager-Haftpflichtversicherung) ist eine Vermögensschadenhaftpflichtversicherung, die ein Unternehmen, ein Verein oder ein Verband für seine Organe und leitende Angestellten abschließt. Sie haften bei Beratungs- und Entscheidungsfehlern persönlich und unbeschränkt mit ihrem gesamten Privatvermögen.
  • Die Kidnap & Ransom (K&R)-Deckungen leisten bei Erpressung und Bedrohung. Belohnung für Hinweise zur Ergreifung der Erpresser ist auch Inhalt der Deckung.

 

Aber reicht das aus? Was ist mit den Eigenschäden infolge von Datenwiederherstellung und Ertragsausfall, sowie Kosten für Forensik, für die Sicherung der Reputation und der Krisenkommunikation?

 

Cyber-Policen schießen derzeit wie Pilze aus dem Boden und die nächsten Produktgeber stehen auch schon mit ihren Tarifen in den Startlöchern. Welche soll man nun abschließen? Was ist denn nun von essenzieller Bedeutung? Was muss eine Cyber-Deckung vorweisen? Die Komplexität von Cyberrisiken führt dazu, dass auch der Versicherungsschutz diesen Herausforderungen angepasst werden muss. Dabei kristallisieren sich zunehmend zwei grundsätzliche Bausteine der Absicherung heraus:

 

1. Haftpflicht

Folgende Pflichtverletzungen sind ­deckungsrelevant:

  • Datenangriff
    Schädigung von Drittsystemen oder unberechtigter Zugang zu einem Drittsystem durch eine Cyber-Attacke auf ein System des versicherten Unternehmens.
  • Rechtsverletzung
    Verletzung oder widerrechtliche Verwendung von geistigem Eigentum durch Versicherte aufgrund von Cyber-Aktivitäten dieser.
  • Ausspähung
    Unberechtigter Zugang zu sensiblen, personenbezogenen Daten Dritter über ein System eines versicherten Unternehmens.
  • Verhinderter Zugang
    Beeinträchtigung oder Verhinderung des berechtigten Zugangs von Kunden zu einem System eines versicherten Unternehmens als Folge einer Cyber-Attacke auf die Systeme des versicherten Unternehmens.
  • Rufschädigung
    Verleumdung, üble Nachrede oder jede andere Art der Diffamierung oder Verunglimpfung von Personen, Produkten oder Dienstleistungen oder Beeinträchtigung der Privatsphäre von Personen durch Cyber-Aktivitäten eines versicherten Unternehmens.

 

2. Eigenschäden

Versichert sind Eigenschäden im Zusammenhang mit einem Hacker-Angriff, DoS-Attacke, Computermissbrauch, Diebstahl von Datenträgern sowie einer sonstigen Datenrechtsverletzung. Dazu gehören z.B.:

  • Computer-Forensik-Spezialisten
    IT-Forensiker unterstützen Sie bei der kriminalistischen Beweissicherung. Sie führen eine forensische Computer- und Datenträgeruntersuchung durch. Mit modernster Hard- und Software kommen sie Tätern auf die Spur. Sie spüren auch eventuelle Sicherheitslecks auf und treffen Maßnahmen zur Datensicherheit.
  • Benachrichtigungskosten
    Wird ein Unternehmen ausgespäht, müssen die betroffenen Personen benachrichtigt werden. Kontodaten, Identifikationsdaten oder Sicherheitscodes geändert werden. Diese Kosten werden übernommen, meist sogar auch die Überwachungsdienstleistung von beispielsweise dem betroffenen Konto.
  • Kreditschutz- und Kredit­überwachungsservices
    Ob wegen eines Büro-Diebstahls oder eines Cyber-Raubzugs: Sind die Kreditkarten weg, zieht das auch Folgeschäden nach sich. Denn die Überwachung und der Schutz der verlorengegangenen Karten sind eine wichtige und auch kostspielige Begleiterscheinung.
  • Wiederherstellung von ­ Daten und Netzwerken
    Unter diesem Punkt verbergen sich Kosten, die im Zusammenhang mit der Wiederherstellung oder Reparatur der IT-Systeme stehen.
  • Reputationsschäden und Kosten für Krisenkommunikation
    „Ist der Ruf erst ruiniert, lebt es sich ganz kompliziert.“ So lautet zwar kein Sprichwort, aber so sieht die Wirklichkeit aus. Ist der gute Ruf eines Golfclubs ernsthaft bedroht, müssen Gegenmaßnahmen eingeleitet werden. Kosten für Werbemaßnahmen, um das Vertrauen der Kunden nach einem Schaden zu erhalten oder wiederzuerlangen werden übernommen. Ebenso gehört die Erstattung der Kosten für das Krisenmanagement dazu.
  • Cyber-Erpressung
    Erpressungen und Lösegeldforderungen waren immer schon wichtige Teile krimineller Aktivitäten. Mit der heutigen, globalen Internet-Wirtschaft haben die Kriminellen ihre Vorgehensweise angepasst und versuchen, mit so genannter „Ransomware“ Geld zu erpressen. Ransomware nennt man Schadprogramme, die von Cyber-Kriminellen genutzt werden, um Geld von ihren Opfern zu erpressen – entweder durch Verschlüsseln von Daten oder durch das Blockieren des Computers.
  • Cyber-Vandalismus
    Das Verändern, Beschädigen, Löschen oder Zerstören von Daten. Dies kann durch einen gezielten Angriff durchgeführt werden oder durch ein Trojaner-infiziertes Programm.
  • Betriebsunterbrechung und Folgeschaden
    Hacker blockieren die Homepage und weitere wichtige IT-Systeme; nichts geht mehr, d.h. kein Golfshop, kein Kassensystem, kein Telefon und keine Startzeiten-Buchung! Durch die Betriebsunterbrechung werden mehrere Tage lang alle Reservierungen, Zahlungsvorgänge und Kundenkontakte unterbunden. Die Folge sind spürbare Umsatzeinbrüche.

 

Es lohnt sich also, sich mit den Gefahren durch Cyber-Kriminalität auseinanderzusetzen; solange nichts passiert, scheint jede Versicherung überdenkenswert, erst im Schadenfall erkennt man die Vorteile – wenn es dann nicht schon zu spät ist und ein unter Umständen existenzbedrohender Schaden eingetreten ist.

 

Autor: Francisco Brites | golfmanager 06/2017

 

Anm. d. Red.: Der Leistungsumfang einer „Cyber-Risk-Versicherung“ erstreckt sich primär auf Kosten, die nach einer Attacke entstehen und auf Vermögensschäden, die durch „Ihren Beitrag“ Dritten zugefügt werden. Natürlich gibt es verschiedene Dienstleister, die Produkte dieser Art anbieten. Francisco Brites von der CREMER ASSEKURANZ stellte im Rahmen der Herbsttagungen des Bundesverbandes Golfanlagen (BVGA) die vorgenannte Versicherungslösung für Golfclubs vor. Unter den nachstehenden Kontaktdaten steht er für weitere Informationen gerne zur Verfügung: 

 

Cremer Assekuranzmakler GmbH, Reuterkaserne 28, 40213 Düsseldorf

Ansprechpartner: Francisco Brites, Tel. 0211-828980-15, E-Mail: f.brites (at) cremer-assekuranz.de

 

<< zurück