Wenn Cyber-Gangster zuschlagen – und Opfer nicht versichert sind

Bechtle, der übrigens seine Master-Arbeit zum Thema Cyberschutz geschrieben hat, achtet sehr darauf, wie ein Versicherer den Schadenfall definiert. „Cybergefahren verändern sich ständig, deshalb sollte die Definition möglichst offen sein“, meint er und nennt als positive Beispiele die Versicherer Cogitanda und Hiscox. Letzterer nennt in den Bedingungen für den Tarif Cyberclear folgende Schäden: Netzwerksicherheitsverletzung, Bedien- und Programmierfehler, Datenrechtsverletzung und Cybererpressung. In diesen Katalog lassen sich offenbar bekannte und künftige Angriffsarten gut einsortieren. Außerdem achtet Bechtle darauf, dass auch private Geräte („Bring your own device“, BYOD) und Bedienfehler von Mitarbeitern mitversichert sind. Anbieter, die er immer wieder in die nähere Wahl zieht, sind die erwähnten Cogitanda und Hiscox, aber auch Markel, HDI und AIG. Wobei jeder Anbieter Stärken und Schwächen hat, die man auf die Kunden abstimmen muss. „Aber insgesamt gehen die Bedingungen in die richtige Richtung“, so der Makler.

„Versicherungen erhöhen Cyberreifegrad“

Und was müssen die Versicherten beisteuern? Im Detail hängt das vom Versicherer ab. Gemein haben sie allerdings, dass sie vor Vertragsabschluss Risikofragen stellen. Das kann man etwa mit den Gesundheitsfragen bei einer Lebensversicherung vergleichen. Allerdings mit zwei Unterschieden: Bei der Lebensversicherung wird anschließend nicht mehr nachgefragt, der Gesundheitszustand ist also für den gesamten Vertrag eingefroren. Bei der Cyberversicherung hingegen prüft der Versicherer immer mal wieder nach. Und zweitens, kann man Gesundheitszustand und -historie nur schwer oder gar nicht ändern, den Zustand der eigenen IT hingegen sehr wohl. Und das wertet Ole Sieverding als dickes Plus: „Cyberversicherungen bringen Unternehmen dazu, ihre Systeme auf Vordermann zu bringen. Sie erhöhen sozusagen den Cyberreifegrad in Deutschland.“ Allerdings, so ein Tipp von ihm, sollte man beim Tarif darauf achten, dass es nicht allzu viele, dafür aber klare und deutliche Risikofragen sind. Dann ist das alles problemlos machbar.

Ein Beispiel für so etwas nennt Kollege Bechtle: So verlangt Cogitanda, dass Sicherheits-Updates stets unverzüglich zu installieren seien. Konkurrent Hiscox hingegen räumt dafür eine Frist von 30 Tagen ein. Laufen parallel dazu allerdings auch noch alte Systeme, für die es keine Updates mehr gibt, sind sie vom Hauptsystem zu trennen. Wobei ein Urteil des Landgerichts Tübingen jetzt einiges relativiert hat. Demnach soll Cogitanda einem Kunden einen Schaden bezahlen, obwohl der veraltete Server ohne Sicherheitsupdates genutzt hatte. In den Risikofragen war das nicht aufgetaucht. Doch das Gericht meinte: Der Schaden wäre auch auf aktuellen Servern eingetreten, und Arglist sei nicht zu erkennen, und damit greife der Versicherungsschutz. Sollte das Urteil auch durch die nächsten Instanzen kommen, könnte es die Branche noch ordentlich durchschütteln.

Am Ende muss man sich die Details im Vertrag ansehen und vergleichen und sich dann entscheiden, was am besten passt. Immerhin sind in Deutschland inzwischen schon 70 bis 80 Anbieter auf dem Gebiet aktiv, schätzt Sieverding. Für relevant hält er etwa 20 – Tendenz aber steigend: „Cyberschutz ist inzwischen keine Nische mehr.“

Ein Umstand, der an dem gehackten sächsischen Händler irgendwie vorbeigerauscht sein muss. Dort hielten es die Verantwortlichen trotz des sechsstelligen Schadens nicht für nötig, sich gegen solche Angriffe zu versichern. Und Robert Radicke hat das notiert. Für alle Fälle.

• <
• 1
• 2
• 3
• 4
• zur Startseite
• >