Cyber-Versicherungen Der nächste Hype oder ein Ladenhüter?

Eine elektronische Anzeigentafel der Bahn im Hauptbahnhof Leipzig zeigt am 13. Mai 2017 nur den Schriftzug «Bitte Aushangfahrplan beachten». Eine weltweite Welle von Cyber-Attacken hatte im Mai auch die Deutsche Bahn getroffen.
Eine elektronische Anzeigentafel der Bahn im Hauptbahnhof Leipzig zeigt am 13. Mai 2017 nur den Schriftzug «Bitte Aushangfahrplan beachten». Eine weltweite Welle von Cyber-Attacken hatte im Mai auch die Deutsche Bahn getroffen. © dpa/picture alliance

Derzeit vergeht kaum eine Woche, in der man nicht über Cyber-Attacken auf Unternehmen, Behörden, Krankenhäuser, Telekom-Anbieter & Co. liest. Und schon werden Stimmen laut, die meinen, die Cyber-Versicherung sei vor diesem Hintergrund das nächste große Ding am Markt. Ist das aber wirklich so? Versicherungsberater Christian Müller macht in seinem Gastbeitrag den Realitäts-Check.

14.06.2017 10:37  Drucken

Ein ganz wichtiger Punkt vorab: Cyber-Versicherungen sind keine All-Risk-Versicherungen. Sie ergänzen bestehende Konzepte wie Betriebshaftpflicht, Vertrauensschadenhaftpflicht sowie technische Versicherungen. Das wird deutlich, wenn man sich den Versicherungsfall ansieht und die Allgemeinen Versicherungsbedingungen der traditionellen Deckungskonzepte mit dem Bezug Cyber zu den echten Cyber-Policen betrachtet. Nachstehendes Schaubild zeigt die Deckungslücken bei traditionellen Konzepten auf den Fall Cyber bezogen.

Quelle: RWM Group

Deckungslücken alleine können nicht der Treiber für den Abschluss einer Cyber-Versicherung sein. In unseren Schulungen, die wir als RWM Group zum Thema Cyber-Versicherungen machen, haben wir festgestellt, dass viele Unternehmen ein unwohles Gefühl beim Thema Cyber haben, jedoch den Abschluss einer Cyber-Police abwartend gegenüber stehen. Die Gründe sind vielfältig. Zum einen fehlt häufig das methodische Wissen im Bereich Risikomanagement und dessen Quantifizierung. Andererseits ist diese Thematik auch bei den betreuenden Vermittlern großteils noch Neuland. Und last but not least hat sich die sich ändernde Gesetzeslage noch nicht durch kommuniziert.

Doch eins nach dem anderen.

In Großunternehmen ist der Begriff Compliance bekannt. Er bedeutet ganz platt: rechtskonforme Ausgestaltung des Unternehmens in der Aufbau- und Ablauforganisation. Solche Compliance-Abteilungen gibt es selten bei kleinen und mittelständischen Unternehmen (KMU), hier ist das meist noch Chefsache.

Ändert sich etwas, sodass Handlungsbedarf besteht?

Seit vergangenem Jahr ist das IT-Sicherheitsgesetz in Kraft. Dieses Gesetzt stärkt die Befugnisse des Bundeskriminalamtes und schreibt verbindliche Sicherheitsstandards für bestimmte Branchen vor. Im Detail auf den Seiten des Bundesministeriums für Sicherheit und Informationstechnologie nachzulesen. Diese Anforderungen sind technisch sehr anspruchsvoll und finden sich im sogenannten KRITIS-Katalog und den BSI-Richtlinien 100 bis 400. Sogar Vorgaben bis zum einfachen Router werden dort gemacht. Das kann man fast gar nicht vollumfänglich erfüllen.

Ebenfalls neu ist eine Verpflichtung zur Meldung von Cyber-Schäden an das Bundeskriminalamt (BKA). Im Bundesdatenschutzgesetz (BDSG) wird es nunmehr zur Pflicht. Und das erste, was man bekommt, ist ein Ordnungswidrigkeitsbescheid und auch Bearbeitungskosten in Höhe von 50 Euro pro Datensatz. Da kann ein gestohlener Laptop eines Außendienstmitarbeiters, der alle A-Kunden auf seiner Excel-Liste hatte, schon richtig teuer werden. Übrigens: Am Pariser Flughafen werden täglich über 50 Laptops geklaut.

Pfefferminzia HIGHNOON