Um eine Absicherung gegen Gefahren, die mit der Nutzung des Internets einhergehen, kommt heute kein Unternehmen mehr herum. Die Schäden, die durch Hacker oder Phishing entstehen, können Millionenbeträge erreichen und den Bestand von Unternehmen gefährden. Oft dauert es mehrere Monate, bis der normale Betriebsalltag wiederhergestellt werden kann.
Welche Gefahren drohen Firmen durch Cyberkriminalität?
Der „Faktor Mensch“ ist auch im beruflichen Umfeld ein nicht zu unterschätzendes Risiko. Zahlreiche Unternehmen haben bereits hohe Schäden erlitten, weil Mitarbeiter auf Kontaktlinks in E-Mails geklickt haben oder auf gefälschte E-Mails hereingefallen sind, die ihnen vorgegaukelt haben, dass ihr Vorgesetzter von ihnen verlangt, eine große Geldsumme zu transferieren.
Eine weitere Gefahr geht von Hackern aus. Sie dringen in das Firmennetzwerk ein und stehlen z. B. Kunden- oder Bankdaten, die sie dann weiterverkaufen. Auch das Lahmlegen von Servern ist hier ein großes Problem, das Firmen große Schäden zufügt. Die Sorge der Unternehmen, Opfer von Industriespionage zu werden, ist ebenfalls nicht unbegründet.
Diese Komponenten enthalten alle gewerblichen Cyberversicherungen
Kunden kommen nicht daran vorbei, die einzelnen Versicherungsangebote miteinander zu vergleichen. Sie unterscheiden sich nicht nur hinsichtlich der Versicherungssummen und Beiträge, sondern auch in ihren Begrifflichkeiten. Leider hat sich hier noch kein einheitlicher Standard herausgebildet, sodass Kunden jeden einzelnen Begriff, der ihnen als Worthülse erscheint, hinterfragen müssen. Zu diesen unklar definierten Floskeln gehören zum Beispiel Begriffe wie „Hacker-Angriff“, Cyber-Attacke“, „IT-Sicherheitsverletzung“ oder „Cyber-Rechtsverletzung“. Die Wortwahl für ein gleichartig erscheinendes Problem ist unter den Assekuranzen ebenso unterschiedlich wie die jeweilige Definition. Das liegt nicht unbedingt daran, dass die Versicherer hier Verwirrung stiften wollen, sondern ergibt sich aus der bei ihnen noch bestehenden Unsicherheit und mangelnden Erfahrung bei der Entwicklung geeigneter Policen.
Einig sind sich die Versicherungsunternehmen jedoch darin, dass diese Kosten übernommen werden:
- Schäden, die einem Unternehmen durch Cyberkriminalität entstanden sind,
- Haftpflichtansprüche von Dritten nach einem fehlerhaften Vorgehen,
- die Bereitstellung von Sicherheitssoftware,
- die Kosten, die aufgrund der Wiederherstellung von gelöschten oder verlorengegangenen Daten entstehen,
- Kosten, um zerstörte Software wiederherzustellen,
- Kosten für das Krisenmanagement,
- die Bezahlung von Computer-Forensik-Analysten,
- die telefonische Rechtsberatung und
- die Kosten für die Entfernung von Inhalten aus dem Internet, die dem Ruf der Firma schaden.
Firmen, und hier vor allem Internet-Shops und Unternehmen, die ihre Zielgruppe über das Internet erreichen, sollten darauf achten, dass ihre Police die Kosten für eine Betriebsunterbrechung aufgrund eines Hacker-Angriffs oder durch den Einfluss von Schadsoftware enthält.
Gewerbliche Cyberversicherungen enthalten in der Regel auch einen Schutz gegen Fehler, die durch die Fahrlässigkeit der Mitarbeiter entstehen. Dabei kann es sich um Datenlöschungen oder auch Manipulationen handeln. Nur wenige Assekuranzen leisten jedoch, wenn Mitarbeiter Softwarelücken ausnutzen und durch die Weitergabe von Betriebsgeheimnissen ein Schaden entsteht.
In vielen Versicherungsverträgen sind auch die Schäden durch Erpressungen, die über das Internet verübt werden, enthalten. Hier unterscheidet sich der Versicherungsumfang jedoch in einigen wesentlichen Merkmalen: Manche Versicherer übernehmen die Zahlung des Lösegeldes, andere auch die Kosten für die Schäden, die dann entstehen, wenn der Betrieb dem Aufruf des Erpressers nicht folgt und dieser eine Schadsoftware in das Firmennetzwerk einschleust. Bei Erpressungen geht es nur selten um kleinere Beträge. Versicherungsleistungen von 100.000 Euro reichen hierfür im Regelfall nicht aus.
Fachleute kritisieren bei zahlreichen Cyberversicherungen den Umgang von Schäden, die in einer Cloud entstehen können. In einer Police kann zwar das Merkmal „Cloud-Ausfall“ genannt sein, dieser Baustein gibt jedoch keine Auskunft über den tatsächlichen Versicherungsumfang. In manchen Fällen werden nur DoS-Angriffe (Nichtverfügbarkeit → „Denial of Service“) versichert, andere schließen SaaS-Dienste („Software as a Service“ → Kunden nutzen Software und IT-Infrastruktur als Dienstleitung, die bei einem externen Dienstleister betrieben wird) ausdrücklich aus.
Eine gute Cyberversicherung muss zum Geschäftsmodell eines Unternehmens passen und im Hinblick auf die technischen und organisatorischen Rahmenbedingungen das tatsächliche Risiko abdecken. Eine einfache Begrenzung auf die Betriebsart (z. B. „Einzelhandel - Lebensmittel“) hilft hier nicht weiter.