Wir finden die richtige Cyberversicherung für Ihr Unternehmen

Was ist eine Cyberversicherung?

Warum eine Cyberversicherung abschließen? 

 

Nie waren Unternehmen, Verbände, Institutionen und Co. enger digital miteinander vernetzt als heute. Daneben erhält Digitalisierung in fast alle internen Geschäftsprozesse Einzug. Neben den großen Vorteilen, die das mit sich bringt, exponiert dies Ihr Organisationen einer Welt sich stetig entwickelnder Gefahren. “Entwickelnd” zum einen, da sich die Anzahl der Angriffe allein seit Beginn der Pandemie durch Covid-19 vervierfacht hat.³ Zum anderen, weil die Art der Angriffe ständig variiert, verfeinert und verstärkt werden.²

Cyberkriminalität bleibt eine abstrakte Bedrohung, bis sie die eigene Organisation trifft. 2021 musste sich in Deutschland jedes zweite Unternehmen unter die Opfer einer Cyberattacke zählen.

 

" In 2021 war jede zweite Organisation betroffen¹ "

 

Um bestmöglich vorbereitet zu sein lohnen sich Maßnahmen wie Web Security Checks und Mitarbeitendenschulungen. Sich als Unternehmen jedoch selbst im fortlaufenden Betrieb zu 100% vor Hackerangriffen zu schützen ist kein realistisches Ziel.

 

" 394.000 Varianten neuer Schadsoftware entstehen täglich² "

 

Wirtschaftliche Schäden von Ihrem Unternehmen abzuwenden hingegen schon! In 2021 belief sich die Schadenhöhe, die deutscher Unternehmen aufgrund von Cyberkriminalität traf, auf 223 Mrd €.³ Sie hat sich zum Vorjahr mehr als verdoppelt. Eine Cyberversicherung schützt Sie vor diesem wohl anhaltenden Trend.

 

" 223 Mrd. € Schäden in Deutschland im Jahr 2021³ "

 

1: Statista, Unternehmen die in den letzten 12 Monaten eine Cyber-Attacke erlebt haben, https://de.statista.com/statistik/daten/studie/1230157/umfrage/unternehmen-die-in-den-letzten-12-monaten-eine-cyber-attacke-erlebt-haben/, Zugriff, 01/22
2: BSI, Die Lage der IT-Sicherheit in Deutschland 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf?__blob=publicationFile&v=3, Zugriff: 01/22
3: Bitkom, Angriffsziel deutsche Wirtschaft, https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-220-Milliarden-Euro-Schaden-pro-Jahr, Zugriff: 01/22
 

Hackerangriffe

 

Cyberattacken bzw. Hackerangriffe werden in Versicherungsverträgen als “Informationssicherheitsverletzung” oder auch “Netzwerksicherheitsverletzung” bezeichnet. Einige Versicherer grenzen in den Bedingungswerken die verschiedenen Szenarien ein, deren Eintritt den Versicherungsfall auslösen können. Der Versicherungsschutz greift in der Regel, wenn eines der drei Schutzbedürfnisse der IT-Sicherheit beeinträchtigt ist. 

 

  • Vertraulichkeit
    Unberechtigtes Einsehen von Informationen bspw. durch eine Person, die eine Email-Kommunikation mit Kundendaten abfangen konnte

 

  • Integrität
    Unbemerkter Veränderung Daten bspw.  Vertragsinformationen, die in einer Cloud-Datenbank abgelegt sind

 

  • Verfügbarkeit
    Nichterreichbarkeit von IT-Systemen bspw resultierend aus einer gezielten Überlastung

 

Beschrieben wird dies meist als „unzulässige Nutzung“ oder „unberechtigter Eingriff“ in das versicherte IT-System. Einige Versicherer verwenden hierbei nicht abgeschlossene Aufzählungen, was für Sie als Versicherungsnehmer vorteilhaft ist.  Erst mal ist der Auslöser einer Cyberversicherung also sehr weit definiert und greift sehr früh.

 

Cyber-Betrug

 

Eine spezielle Variante von Cyber-Attacken sind sog. “Fake-President”-Angriffe. Hierbei geben sich Betrüger:innen zum Beispiel als Geschäftsführer:in aus und bitten Mitarbeitende auf verschiedensten Wegen darum eine kurzfristige Überweisung zu veranlassen. Mitarbeitende werden also getäuscht, was zu einem Abfluss von Vermögenswerten führt.



Dieser Fall ist in den meisten Tarifen der Cyber-Versicherung abgedeckt oder zumindest als optionaler Baustein hinzuwählbar. Der Versicherungsschutz ist oft jedoch sehr unterschiedlich ausgestaltet, sodass ein Vergleich der Tarifbedingungen in jedem Fall zu empfehlen ist:


 

  • Setzt die Versicherung voraus, dass eine Netzwerksicherheitsverletzung unmittelbar mit dem Fake-President Angriff in Verbindung stehen muss?
     
  • Umfasst der Versicherungsschutz ggfs. nur die Handlungen der “Versicherten” (z.B. Mitarbeitende des Unternehmens)?
     
  • Sind irrtümliche Zahlungen zu Lasten des Versicherungsnehmers oder die Lieferung von Waren und Dienstleistungen abgedeckt?
     
  • Auf welche Höhe beläuft sich die Entschädigungsgrenze, das sogenannte Sublimit?

 

Nicht abgedeckt sind in der Cyber-Versicherung die Handlungen sog. Repräsentanten (z.B. Geschäftsführende und Inhaber:innen). Teilweise werden auch leitende Angestellte in besagten Personenkreis einbezogen. Auch hier ist die Definition in den Bedingungen der jeweiligen Cyber-Versicherung ausschlaggebend.

 

Datenschutzverletzung

 

In zahlreichen Fällen ist die Verletzung des Datenschutzes eine unmittelbare Folge der bereits oben beschriebenen Informationssicherheitsverletzung.

Die Cyber-Versicherung erkennt eine Datenschutzverletzung jedoch auch als alleinigen Auslöser des Schadensfalls an. Die verwendeten Begriffe unterscheiden sich dabei in den verschiedenen Tarifen: ”Datenschutzverletzung”, “Datenrechtsverletzung”, “Verletzung von Datenschutzbestimmungen” meinen jedoch den gleichen Tatbestand.



Grundlage für die Datenschutzverletzung ist der Verlust, die Erstellung von unautorisierten Kopien, eine Veröffentlichung, Veränderung oder Löschung von Datensätzen sowie ein Verstoß gegen jegliche gesetzliche oder vertragliche Datenschutzbestimmungen.


Eine interessante Neuerung vieler Cyber-Versicherungen liegt in der Erweiterung der Begriffsdefinition “Daten”. Hierbei werden oft sowohl elektronische als auch physische Daten (z.B. Papierakten) eingeschlossen. Eine Cyber-Versicherung deckt in diesem Fall auch das Risiko einer Datenschutzverletzung ab, welches z.B. auf Verlust, Diebstahl oder sonstigen unbefugten Zugriff auf physische Daten zurückzuführen ist. Beispiele hierfür können der Diebstahl eines elektronischen Geräts (Laptop / Firmenhandy) oder einer Aktentasche sein. 

 

Cyber-Erpressung

 

Eine Cyber-Erpressung liegt vor, wenn einem Versicherten rechtswidrig mit einer Netzwerksicherheitsverletzung, Informationssicherheitsverletzung oder mit einer Datenrechtsverletzung gedroht wird und für dessen Abwendung ein Lösegeld (meistens in Kryptowährungen) verlangt wird. 

Als Lösegeld ist dabei jede Form einer Gegenleistung anzusehen, zum Beispiel in Form von Geld, Waren und Handlungen, die die Erpressenden von einem Versicherten oder einer mitversicherten natürlichen Person verlangen.

Ein praktisches Beispiel wäre ein Fall, in dem die Praxis-Software einer Ärztin oder eines Arztes durch Hacker verschlüsselt wird und dessen Freigabe samt sensibler Patient:innendaten nur gegen Zahlung eines Lösegeldes erfolgt. Was nach Stoff für einen Krimi klingt, schreibt, wie so oft, das Leben.

Egal ob im jeweiligen Cyberversicherungstarif die Erstattung von Lösegeld ausgeschlossen oder explizit versichert ist leisten die Versicherer im Schadenfall in jedem Fall das Krisenmanagement und die Wiederherstellung der Daten und Systeme soweit dies möglich ist. Die Zahlung von Lösegeld sollte unabhängig in der Kostenerstattung durch den Versicherer möglichst vermieden und immer nur Ultima Ratio sein.

 

Bedienfehler und weitere Cyber Risiken

 

Unter einem Bedienfehler versteht man in der Cyber-Versicherung die unsachgemäße Bedienung eines IT-Systems (d.h. Hard- und Software) durch fahrlässiges, auch grob fahrlässiges, Handeln oder Unterlassen von Mitarbeitenden. 

Wenn diese Fehlbedienung die Veränderung, Beschädigung, Löschung, Verschlüsselung oder das Abhandenkommen von Daten zur Folge hat, ist der daraus entstehende Schaden in der Cyber-Versicherung versichert. Dabei zählen nicht nur Angestellte zu den Versicherten, sondern auch vom Unternehmen beauftragte freie Mitarbeitende oder Mitglieder der Geschäftsführung. 

Ein klassisches Beispiel für einen Bedienfehler ist das versehentlich Löschen einer Datei oder großen Menge von Kundendaten. Auch das unbeabsichtigte Mitwirken eines Nutzenden bei der Aktivierung oder dem Herunterladen von Schadsoftware kann unter den Tatbestand der Fehlbedienung fallen.

 

Einige Cyberversicherungstarife bieten einen Zusatzbaustein für den Ausfall eines Cloud-Anbieters an. Erleidet das versicherte Unternehmen durch die Nichterreichbarkeit des Cloud-Services einen Ertragsausfall ist dieser über den Zusatzbaustein miteingeschlossen.

Der Zusatzbaustein für Betriebsunterbrechungen durch technische Probleme funktioniert ähnlich wie der Cloud-Ausfall. Nur ist hier der Auslöser nicht extern, sondern intern zum Beispiel in einem selbstverschuldeten Hardware-; Software oder Systemfehler begründet. Kommt es hierdurch zu einem Ertragsausfallschaden zahlt der Versicherer die festgestellte Summe.

 

 

Welche Voraussetzungen müssen Sie mindestens erfüllen?

  • Virenschutz Fortlaufender Virenschutz, der sich stets auf dem aktuellsten Stand befindet.
  • Firewall Betreiben einer Firewall, die unerwünschte eingehende und ausgehende Kommunikationsverbindungen unterbindet.
  • Zugriffsrechte Existenz eines Konzepts mit fest definierten, abgestuften Zugriffsrechten.
  • Backup Durchführung regelmäßiger Datensicherungen auf externen Systemen.

Unsere Kooperationspartner

Bei der Auswahl unserer Kooperationspartner werden wir auf der Grundlage der  Produktqualität und der Benutzerfreundlichkeit als auch auf einem guten Preis-Leistungsverhältnis.