Cyber-Versicherung - lohnt sich das?

Portrait von secnovum
Von secnovum

Es gibt heute eine grosse Auswahl an unterschiedlichen Cyberversicherungen, die in ihrem Kern die Standardelemente abdecken. Grösser sind die Unterschiede bei den Zusatzleistungen. Doch lohnt sich eine Cyber-Versicherung überhaupt?

Dieser Beitrag wurde von Carlos Rieder für secnovum verfasst.

Cyber-Versicherungen sind heute eine sinnvolle Ergänzung zu bereits getroffenen Sicherheitsmassnahmen. Die Palette der Angebote ist gross und sehr unterschiedlich. Neben den Standardelementen wie System- und Datenwiederherstellung sowie Betriebsunterbrüchen sollten auch Fremdschäden wie z. B. Schadenersatzforderungen von Kunden gedeckt sein. Grössere Unterschiede gibt es bei den Zusatzleistungen wie Unterstützung im Schadenfall durch spezialisierte IT-Forensiker, Rechtsanwälte oder Kommunikationsspezialisten. Wichtig ist, dass eine Cyberversicherung in keinem Fall die Mindestsicherheitsmassnahmen ersetzt.

Heute bieten die meisten Versicherungsgesellschaften eine Cyber-Versicherung an. Die früheren IT-Versicherungen waren von geringem Nutzen, da praktisch alle wahrscheinlichen Vorkommnisse (z. B Virenbefall) nicht versichert waren. Vor wenigen Jahren war die Deckung dieser damals neuen Cyber-Versicherungen noch deutlich besser, wenn nicht sogar grosszügig, und teilweise war auch die Lösegeldzahlung inkludiert. Aufgrund der massiven Zunahme der Schadenfälle wurden auch die Deckungslimits massiv nach unten angepasst. Die Variantenvielfalt ist gross, und somit empfiehlt sich, hier genau zu prüfen, was versichert ist und was nicht.

Cyberinsurance_blog

Was ist zu beachten?

Versicherungsumfang 

Grundsätzlich muss zwischen Eigen- und Fremdschäden unterschieden werden.
 
Eigenschäden sind:
 
  • Wirtschaftliche Schäden durch Betriebsunterbrüche
  • Kosten für die Datenwiederherstellung
  • Kosten für die Systemwiederherstellung
 
Fremdschäden sind:
 
  • Datenmissbrauch (Schadenersatzansprüche Dritter)
  • Lieferverzug
  • Serviceausfall und -verzug

Inkludierte Dienstleistungen


Grosse Unterschiede finden sich oft bei den inbegriffenen Dienstleistungen des Versicherungsanbieters. Dabei kann es sich um Folgendes handeln:
 
  • Verfügungstellung von IT-Forensikexperten zur schnellen Problemlösung
  • Rechtsschutz (spezialisierte Rechtsanwälte aus den Bereichen IT und Datenschutz)
  • Unterstützung durch Kommunikations- und PR-Spezialisten
  • Übernahme der Lösegeldzahlung bei Cyber-Erpressung

Zusätzliche Leistungen 

Verschiedene Versicherungen unterstützen Kunden auch bei der Umsetzung von Sicherheitsmassnahmen, zum Beispiel durch:
 
  • Zugang zu Online-Awareness-Programmen für Mitarbeitende
  • Präventive Cyber-Assistance in Form von Hotlines oder Checklisten

Voraussetzungen für eine Cyberversicherung 

Die Versicherungsanbieter verlangen oftmals einen genügenden Level der Informationssicherheit. Die Minimalanforderungen umfassen folgende Punkte:
 
  • Regelmässige Datensicherung auf externe Medien (idealerweise Offline-Backup). Besonders wichtig sind regelmässige Wiederherstellungs-Tests, um zu prüfen, ob die Daten zuverlässig wieder eingespielt werden können.
  • Zeitnahe Installation von verfügbaren Updates (regelmässiges Einspielen aller Sicherheits-Patches zur Verhinderung von Schwachstellen)
  • Virenschutz auf allen Systemen, Clients wie Server
  • Firewall zur Einschränkung des eingehenden und ausgehenden Datenverkehrs
  • Zugriffskonzept (Einschränkung der Berechtigungen auf die zur Erfüllung der Aufgaben nötigen Informationen)
  • Notfallplanung: Überlegungen, was zu tun ist, falls doch einmal etwas passiert, idealerweise szenarienbasiert, z. B. bei Ausfall der Server-Systeme resp. der Serviceprovider, Abfluss sensitiver Informationen (Geschäftsgeheimnisse, Kundendaten) und Cyber-Erpressung

Ergänzende Hinweise 

Weiter ist zu beachten, dass keine Überschneidungen mit Leistungen bestehender Versicherungen wie z. B. einer Betriebsausfall-Versicherung vorliegen.
 
Wie immer gilt es beim Versicherungsabschluss korrekte Angaben zu machen, um nicht im Schadensfall Leistungseinbussen hinnehmen zu müssen.
 
Ist ein Security Operation Center (SOC) Teil des Sicherheitskonzepts, muss bei einem Vorfall die Aufgabenteilung zwischen Versicherung und SOC klar definiert sein.
 
Eine Cyber-Versicherung ersetzt in keinem Fall die vorgängig beschriebenen Mindest-sicherheitsmassnahmen, sondern ergänzt diese im Schadensfall.