In den letzten Jahren haben sich verschiedene Versicherungsanbieter darum bemüht, ihre Cyberversicherungen auf dem Markt bekannt zu machen. Der Vorteil und Nutzen solcher Angebote ist vieldiskutiert, weshalb dieser Artikel einen Überblick verschaffen soll, ob und inwiefern von solchen Versicherungen profitiert werden kann.

Private und geschäftliche Angebote

Grundsätzlich muss zwischen Angeboten für Privatpersonen und solche für Unternehmen unterschieden werden. Die Versicherungen für Privatpersonen konzentrieren sich auf Datenmissbrauch, der im alltäglichen Umgang mit dem Internet geschehen kann. Dazu gehört zum Beispiel der Missbrauch von Kreditkarteninformationen oder das Infizieren von Systemen mit Malware. Zusätzlich bieten einige Anbieter die Deckung von Cyber-Mobbing oder Fehllieferungen bei Online-Bestellungen.

Die für Unternehmen beworbenen Angebote zielen in erster Linie auf Organisationen kleinerer und mittlerer Grösse (KMU) ab. Auch da wird in erster Linie Datenmissbrauch, dies kann auch Finanzdaten beinhalten, sowie die Infektion mit Malware abgedeckt. Hinzu kommen oftmals der Ausgleich von Vermögensschäden, Haftpflichtansprüchen und die Kosten in Folge von Datenschutzverletzungen. Darüber hinaus wird Datenwiederherstellung, Forensik, Ertragsausfall (z.B. auch bei DoS) sowie Krisen- und Reputationsmanagement angeboten. Die Cyberversicherungen für Unternehmen führen also meist auch den Aspekt von Business Continuity Management (BCM) weiter. Die Gewährung von Erpressungsgeldern, dies dürfte zum Beispiel Blackmail bezüglich DDoS und auch Ransomware betreffen, wird von den meisten Anbietern ausbedingt.

Angebote vergleichen

Das Vergleichen der unterschiedlichen Angebote der verschiedenen Versicherungen ist sehr schwierig. Die wichtigsten Punkte einer Cyberversicherung können wie folgt zusammengefasst werden:

• Gegenstand und Deckung: Gegenstand der Versicherung, gedeckte Informationssicherheitsverletzung, Begriff elektronische Daten, Auslöser für Ereignisse
• Zeitraum: Versicherter Zeitraum, Rückwärtsdeckung, Fälligkeit der Entschädigungsleistung
• Geltung: Versicherungsnehmer und Mitversicherte, Geltungsbereich, Vorrangige Versicherung
• Ausschlüsse: Abtretung des Entschädigungsanspruches, Selbstbeteiligung und Selbstbehalt, allgemeine und besondere Ausschlüsse

Dabei wird je nachdem aus den unterschiedlichen fachlichen Begriffsdefinitionen nicht klar ableitbar, welche Aspekte nun genau gedeckt sind. Andererseits ist die effektive Deckung in einem Schadenfall von vielen verschiedenen Faktoren abhängig, die bei Vertragsabschluss höchstens in einer theoretischen Diskussion tangiert werden könnten.

Grundsätzlich lässt sich zwar vergleichen, ob eine Malware-Infektion gedeckt ist. Ebenso, inwiefern ein Selbstbehalt gegeben sein wird. Es ist aber nicht ohne weiteres nachvollziehbar, ob und inwiefern Selbstverschulden nachgewiesen werden kann und einen Einfluss auf die Auszahlung haben wird. Die meisten Anbieter halten fest, dass eine absichtliche Herbeiführung des Schadenfalls nicht in der Deckung enthalten ist. Absicht, Fahrlässigkeit und Unwissenheit können nahe beeinander liegen. In diesem Belang wird es in Zukunft zu einer Vielzahl an versuchtem Versicherungsbetrug kommen, dessen Aufklärung sehr viel technisches Fingerspitzengefühl von den Versicherungsanbietern verlangen wird. Die Anbieter werden in diesem Belang ihren Standpunkt auch zuerst noch finden müssen.

Damit die Vergleichbarkeit zwischen den Angeboten erreicht werden kann, hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) sogenannte Musterbedingungen für Cyberversicherung vorgestellt. In diesen werden unterschiedlichen Risiken nach Kategorien sortiert, wodurch diese durch Versicherungsnehmer und Versicherungsanbieter bewertet werden können. Dadurch können der gegenwärtige Stand der Sicherheit und die zu erwartende Deckung der Versicherung bestimmt werden. Die Versicherungsnehmer werden dabei in drei unterschiedliche Risikokategorien eingeteilt, die in erster Linie vom Jahresumsatz abhängig ist. Dadurch lassen sich die Anforderungen an eine Cyberversicherung ableiten.

Die Anbieter bieten oftmals selber solche Risikodokumente an, in denen sich der Kunde selber bewerten kann. Zum Beispiel wird dort abgefragt, ob und inwiefern ein Sicherheitsgewinn durch die installierte Antiviren-Lösung erwartet wird.

Welchen Einfluss die unterschiedlichen Antworten auf die effektive Versicherung haben können, ist schwierig abzuschätzen. Ein Mehr an Massnahmen dürfte zu geringeren Gebühren führen. Zeitgleich wird die Versicherung bei etwaigen Schäden nachvollziehen können wollen, warum bestehende Massnahmen nicht schützen konnten. Aus Sicht des Kunden gilt es hier also eine wirtschaftliche Gratwanderung zu vollziehen.

Für wen eignen sich Cyberversicherungen

Das Beantworten des Fragenkatalogs ist für Nicht-Spezialisten, sowohl bei Kunden als auch bei Anbietern, sehr schwierig. Bei Risikokalkulationen gehen selbst bei Experten die Meinungen bezüglich Eintrittswahrscheinlichkeiten und Auswirkungen stark auseinander. Es ist deshalb angeraten, dass vor Abschluss einer Cyberversicherung mit Cybersecurity-Experten diskutiert wird, ob und inwiefern eine solche wirklich von Nutzen ist.

Diese bieten sich in erster Linie für kleinere und mittlere Unternehmen an, die sich nicht aktiv und ständig mit Cybersecurity auseinandersetzen können oder wollen. Also überall dort, wo entweder keine entsprechenden Stellen, wie zum Beispiel ein CISO (Chief Information Security Officer), vorhanden sind oder diese nur teilweise besetzt werden. Das Einsparen entsprechender firmeninterner Ausgaben muss also in diesem Fall mit einer Cyberversicherung kompensiert werden. Eine Versicherung überträgt ein Risiko lediglich. Es wird durch diese weder vermieden noch vermindert.

Ob sich die eine oder andere Strategie lohnt (selber investieren oder Risiken übertragen), ist von verschiedenen Faktoren abhängig. Dazu gehören unter anderem die Exponiertheit des Unternehmens und die Risikobereitschaft der Gesellschafter. Ein konservatives Finanzinstitut wird sich anders ausrichten wollen, als ein junges Startup, das kleine Webapplikationen entwickelt.

Ein vollumfängliches Verzichten auf Sicherheitsmassnahmen wird zu sehr hohen Kosten in der Versicherungsdeckung führen. Man wird also nicht darum herum kommen, doch auch noch selber etwas in Personal, Prozesse und Produkte zur aktiven Erhöhung der Unternehmenssicherheit investieren zu müssen. Das Ziel sollte jedoch sein, den risikotechnischen und damit auch finanziell goldenen Mittelweg zu finden.

Fazit

Cyberversicherungen werden zukünftig nicht mehr aus unserer Gesellschaft wegzudenken sein. Die Popularität im deutschsprachigen Raum hat zwar noch nicht die Dimensionen erreicht, wie sie in den USA zu beobachten sind. Aber auch hierzulande nimmt die Anzahl der Angebote stark zu. Cyberversicherungen sind ein valables Mittel, um mit Risiken umgehen zu können. Dabei ist es wichtig den Kontext verstehen, um dieses Mittel richtig einsetzen zu können. Ob eine Cyberversicherung notwendig und vorteilhaft ist, kann nur durch eine individuelle Risikoanalyse und den Vergleich mit den Versicherungsangeboten bestimmt werden.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://www.gdv.de/2017/04/gdv-stellt-musterbedingungen-fuer-cyber-versicherung-vor/
• http://www.gdv.de/wp-content/uploads/2017/04/AVB_Cyber_April_2017.pdf
• http://www.handelszeitung.ch/unternehmen/cyber-gefahr-aus-dem-netz-versicherer-bieten-schutz-1370702
• http://www.wiwo.de/cyberversicherung-angriff-auf-das-herz-der-wirtschaft/20522440.html
• https://www.srf.ch/news/wirtschaft/eine-cyberversicherung-wird-bald-standard-fuer-firmen