Im Zeitalter der Cyber-Kriminalität muss sich jedes Unternehmen mit dem Risiko eines gezielten oder ungezielten Hacker-Angriffs auf IT-Systeme, Kundendaten, Zahlungskonten oder die Täuschung von Mitarbeitern auseinandersetzen – vor allem Online-Shops sind ein begehrtes Ziel von Cyberkriminellen (wir berichteten).

Fakt ist: Viele Unternehmen sind im Fall der Fälle nicht ausreichend abgesichert. Zudem herrscht bei Entscheidern oft Unklarheit, welche Risiken eine Cyber-Versicherung abdeckt. So gehen diese häufig irrtümlicherweise davon aus, dass die Risiken eines Cyber-Angriffs bereits durch klassische Versicherungspolicen wie eine Betriebsunterbrechungs-, Vertrauens- oder Haftpflichtversicherung abgedeckt sind.

In diesem Artikel soll es daher um einen Überblick über wesentlichen Leistungsbereiche einer Cyber-Versicherung, die Abgrenzung zu anderen Sparten und um praktische Hinweise für das Beratungsgespräch gehen.

Leistungsbereich Eigenschaden

Beim Abschluss einer Cyber-Versicherung geht es zum einen darum, den Eigenschaden zu versichern. Das umfasst diejenigen Vermögensschäden, die einem Unternehmen selbst durch einen Cyber- oder Datenschutzvorfall entstanden sind. Darunter fallen Kosten, die benötigt werden, um nach einem Angriff wieder zum normalen Geschäftsbetrieb zurückzukehren und beschädigte IT-Systeme und Daten wiederherzustellen.

Eine gute Cyber-Versicherung übernimmt auch die Zahlung von Lösegeld, wenn aufgrund der Schadensituation kein Weg daran vorbeiführt. Ein wichtiger Schutz ist die Erstattung des Ertragsausfalls, den der Händler im Zeitraum der Betriebsunterbrechung erleidet. Diese kann auch bereits durch eine DDoS-Attacke ausgelöst werden, wenn die Website eines Online-Shops über mehrere Tage nur eingeschränkt erreichbar ist.

Der Versicherer ersetzt dem Händler dabei die fortlaufenden Kosten und den entgangenen Betriebsgewinn, der während der Attacke nicht erwirtschaftet werden konnte. Darüber hinaus werden auch anfallende Mehrkosten wie notwendige Überstunden der Mitarbeiter oder zusätzlich gebuchte Server-Kapazitäten erstattet. Wird durch die Cyber-Attacke eine Datenschutzverletzung ausgelöst, übernimmt die Cyber-Versicherung den Aufwand für rechtsanwaltliche Beratung oder die Kosten zur Information der betroffenen Kunden.

Leistungsbereich Drittschaden

Schadensersatzansprüche infolge einer Cyber-Attacke stellen ein hohes finanzielles Risiko dar. Hierunter fallen Schäden, die einem Unternehmen aufgrund einer Regressforderung eines Dritten entstehen. Der Versicherungsschutz umfasst die Prüfung der Haftpflichtfrage, die Abwehr unberechtigter Schadenersatzansprüche und die Freistellung des Unternehmens von berechtigten Schadenersatzansprüchen. Dies können Ansprüche infolge eines weitergeleiteten Virus sein.

Für die Beratung: Die potenziellen Kosten für einen (Online-)Handel im Schadensfall

• IT-Forensik: 300 Euro/Stunde – Der Einsatz dieser Spezialisten kann mehrere Tage dauern -> bei 50 Stunden ergeben sich 15.000 Euro
• Wiederherstellung der IT-Systeme: Unterstützung durch externe IT-Dienstleister des Händlers -> rund 10.000 Euro
• Rechtsanwaltliche Beratung bei einem Datenschutzvorfall: 400 Euro/Stunde -> bei 50 Stunden ergeben sich 20.000 Euro
• Benachrichtigung betroffener Kunden: 2,50 Euro pro Datensatz -> bei 20.000 Kundendatensätzen ergeben sich 50.000 Euro
• Verletzung von PCI-Vertragspflichten (Kreditkartensicherheit): Rund 25.000 Euro und mehr
• Schadensersatzkosten: Haftpflichtanspruch von Kunden, deren Persönlichkeitsrechte verletzt wurden.
• Ertragsausfall: Bestellungen, die über den Online-Shop fünf Tage lang nicht angenommen werden können; Kassen, die im stationären Handel nicht funktionieren: 1 bis 2 Prozent des Jahresumsatzes.

Weitere Leistungsbereiche für umfassenden Schutz

Ein weiterer wichtiger Aspekt ist der Baustein E-Payment. Bietet ein Händler Kreditkartenzahlungen an, können im Rahmen eines Cyber-Vorfalls teilweise hohe Vertragsstrafen gegenüber des Kreditkartenunternehmens drohen, die bis in den Millionenbereich gehen können. Auch bei diesem Leistungsmerkmal kann eine Unterversicherung gegeben sein, die es zu beachten gilt.

Zudem sollte geprüft werden, ob das Thema Cloud-Ausfall für das zu beratende Unternehmen relevant ist. Kommt es aufgrund des Ausfalls eines externen Dienstleisters zu einer Betriebsunterbrechung, ist das in den meisten Verträgen nicht standardmäßig abgedeckt, sondern muss optional hinzugebucht werden. Ebenfalls gilt es darauf zu achten, bis in welcher Höhe derartige Schäden im jeweiligen Tarif abgesichert sind.

Vertrauensschaden- oder Haftpflichtpolicen haben Deckungslücken

Eine Vertrauensschadenversicherung bietet Schutz gegen Wirtschaftskriminalität und ist primär zur Deckung von Eigenschäden gedacht. Versichert sind etwa Diebstahl und Schäden am Vermögen sowohl durch Innentäter, als auch externe Angriffe. Dazu zählen zum Beispiel Fake-President-Attacken, die durch eine gezielte Täuschung von Mitarbeitern einen erheblichen Vermögensschaden zur Folge haben können.

Eine Erpressung des Unternehmens mittels Verschlüsselung von Daten ist jedoch in einer klassischen Vertrauensschadenversicherung nicht versichert. Darüber hinaus sind damit im Zusammenhang stehende mittelbare Schäden wie Umsatzausfall ausgeschlossen. Grundsätzlich sind nur gezielte Angriffe versichert. Daraus folgt, dass das Risiko einer Cyber-Attacke durch millionenfach versendete Phishing E-Mails nicht abgedeckt ist.

Zugang zu IT-Experten

Eine Vermögensschadenhaftpflichtversicherung kann eine erste Basis zur Absicherung von Drittschäden darstellen, welche von einer Cyber-Attacke verursacht wurden. Im Rahmen der gesetzlichen Haftpflicht sind zum Beispiel Datenschutzverletzungen abgedeckt. Allerdings sollten Vermittler darauf hinweisen, dass damit einhergehende Kosten etwa für die Benachrichtigung der Betroffenen nach Artikel 34 DSGVO nicht Teil der Haftpflichtdeckung sind. Außerdem sind in jedem Fall die besonderen Ausschlüsse zu prüfen.

Eine Cyber-Versicherung bietet hingegen einen ganzheitlichen Lösungsansatz zur Absicherung digitaler Risiken und beinhaltet weitergehende Leistungen. Im Rahmen eines Cyber-Vorfalls werden nicht nur entstehende Kosten, sondern auch der unmittelbare Zugang zu Experten im Bereich IT-Forensik, Rechtsberatung und PR ermöglicht. So kann der Versicherte bei einem etwaigen Vorfall rund um die Uhr über eine Hotline mit IT-Experten in Kontakt treten, um die Lage zu analysieren und direkte Gegenmaßnahmen einzuleiten. Auch Benachrichtigungskosten, PCI-Vertragsstrafen und Aufwendungen zur Abwehr von Bußgeldverfahren sind Bestandteile einer leistungsstarken Cyber-Versicherung.

Über den Autoren

Hanno Pingsmann ist Geschäftsführer des Versicherungsmaklers Cyber-Direkt.