Wer braucht eine Cyberversicherung und warum?

Was unterscheidet die Cyberversicherung von anderen Betriebsversicherungen?

  • Eine Cyberversicherung ist eine Querschnittslösung für alle Schäden, die sich in einem bestimmten Bereich ergeben.
  • Sie versichert ein breites Spektrum an Schadensereignissen. Damit die Cyberversicherung leistet, muss man nur eine Informationssicherheitsverletzung nachweisen und belegen, dass das Unternehmen dadurch wirtschaftliche Schäden hatte. Dagegen zahlt eine Maschinen- oder Elektronikversicherung nur, wenn ein Sachschaden eintritt. Bei einer Erpressung durch Hacker oder einem Denial-of-Service-Angriff, der die Server tagelang überlastet, gibt es aber keine Sachschäden. Eine Vertrauensschadenversicherung wiederum zahlt nur, wenn eine Vertrauensperson kriminell handelt. Ein Laptop mit wichtigen Daten kann aber auch ganz ohne Pflichtverletzung des Mitarbeiters gestohlen werden. Eine Betriebshaftpflichtversicherung bezahlt nicht, wenn auf der Website fremde Fotos oder Markenzeichen in guter Absicht, aber ohne Genehmigung verwendet werden.
  • Sie gilt weltweit.
  • Sie versichert sowohl Eigenschäden (Sachschäden, Umsatzausfall) wie auch Drittschäden (Schadenersatzansprüche).  Dabei sind viele verschiedene Kosten mitversichert, die ein Cyberangriff oder eine IT-Panne verursacht: Das Unternehmen muss feststellen, wie es dazu kam. Es muss Daten wiederherstellen und das System wieder in Betrieb nehmen. Es muss Krisen-PR betreiben, braucht Rechtsberatung und dergleichen mehr. Auch solche Kosten sind eingeschlossen oder versicherbar.

Für welche Unternehmen ist eine Cyberversicherung notwendig und sinnvoll?

Notwendig ist sie für alle. Und zwar um so mehr, je …

  • größer die Abhängigkeit von funktionierender IT für den Geschäftsbetrieb ist
  • größer die Vernetzung ist
  • wichtiger die Vertraulichkeit von Kunden- und Geschäftsdaten, Verfahren, Produktionsgeheimnissen ist

Ja, es gibt ausgefeilte technische Schutzmaßnahmen wie Firewall und Virenscanner. Diese sind auch unverzichtbar. Aber das Restrisiko lässt sich technisch nie weit genug reduzieren, um sorglos zu sein. Die Cyber-Versicherung ist der zweite, technisch nicht angreifbare Verteidigungsring um das Unternehmen. (Dafür wird sie umso günstiger, je bessere technische Vorkehrungen nachgewiesen werden können.)

Sinnvoll ist die Cyberversicherung als Bilanzschutz. Versicherungsausgaben sind Betriebsausgaben, wer ein unversichertes Schadensereignis finanziell abfangen muss, bezahlt das aus den Erträgen. Außerdem senkt die Vorsorge durch die Versicherung das Haftungsrisiko des Managements – und zwar erheblich.

Wie sollte man die passende Cyberversicherung auswählen?

Ganz einfach: Man nimmt das billigste Angebot für die benötigte Deckung. Herauszufinden, welche Risiken wirklich abgedeckt werden müssen, ist weniger einfach. Dafür braucht man eine solide Risikoanalyse. Ein guter erster Schritt ist die Selbstanalyse mit dem Quick-Check des Verbands der Sachversicherer.

Größere Unternehmen können individuelle Policen aushandeln. Für KMU sind kompakte Standard-Cyberpolicen die sinnvollste Lösung. Die Versicherer bringen zunehmend auch Branchenlösungen auf den Markt. Auch bei Standardversicherungen lassen sich zumindest Selbstbehalte und sogenannte Sublimits sinnvoll anpassen oder auswählen.

Abschließen sollte man nicht in Eigenregie. Dafür gibt es Versicherungsmakler. Die Maklergebühren zahlt die Versicherungsgesellschaft, trotzdem ist der Makler – schon gemäß gesetzlicher Verpflichtung – dem Interesse des Kunden verpflichtet.

Wie teuer sind die Versicherungsbeiträge für eine Cyberversicherung?

Das hängt natürlich von der konkreten Police, dem Deckungsumfang und Eigenbehalten ab. Bei Unternehmen mit Jahresumsätzen über 100.000 Euro liegen die Kosten jedoch im Promillebereich des Umsatzes.

Was ist im Schadensfall tun?

Rufen Sie bei Ihrem Versicherungsmakler an, der sich um das Weitere kümmert. Natürlich muss man auch Administratoren oder IT-Dienstleister informieren, wenn das noch nicht geschehen ist, und beim Verdacht auf Straftaten auch die Polizei (LKA).

Wo bekomme ich konkrete Auskünfte zum Thema Cyberversicherung?

Bei uns – wir sind einer der wenigen Fachmakler für Cyber- und IT-Risiken in Deutschland und kennen sowohl den Versicherungsmarkt wie die Risikolandschaft sehr gut. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Typisch: Cyber-Attacke auf Dieter Hallervorden

Cyber-Attacke auf Theater

Schlagzeile im Tagesspiegel: „Ärger für Dieter Hallervorden in Berlin  – Datendieb erpresst Schlossparktheater”. Mehrere tausend Datensätze seien bei der Cyber-Attacke aus dem Online-Zahlungssystem gestohlen worden: „Kundennamen, Adressen, Passwörter, Telefon-, Konto- und Kreditkartennummern.“ Dann wurde das  Theater am Steglitzer Kreisel erpresst. Sechs Bitcoins, also einen Gegenwert von knapp 1.3oo Euro, soll der Datendieb gefordert haben, damit er die persönlichen Daten nicht veröffentlicht.

Nicht viel, das stimmt. Das Geld wurde auch gar nicht bezahlt. Aber alle Betroffenen mussten informiert werden. Das kostet bestimmt nicht viel weniger. Wenn es doch noch zu Schädigungen kommt, folgen bestimmt Schadenersatzforderungen. Und dann ist da noch der Vertrauensverlust – der sich direkt auf die Zahl der online verkauften Tickets niederschlagen kann. Das ist der Schaden. Ob Didi, Geschäftsführer des Theaters, eine Cyber-Versicherung abgeschlossen hat? Dann sind solche Schäden nämlich gedeckt.

Typisch!

Das Außergewöhnliche an dem Vorgang ist jedenfalls nicht, dass eine Cyber-Attacke mit Erpressungsversuch auch ein kleines Theater treffen kann  – sondern dass jeder davon weiß. Solche Vorfälle sind in Deutschland nämlich längst an der Tagesordnung. Man hört nur selten davon.

Nachtrag (2. 10.): Dass man heute nun wieder von 15 Mio. bei T-Mobile gestohlenen Datensätzen  liest, rundet das Bild ab: Cyber-Risiken betreffen heutzutage zumindest in der ersten Welt einfach jedes Unternehmen – Punkt.

Fragen zur Cyber-Versicherung?

Bei uns gibt es Antworten:  030 863 926 990

Cyber-Attacken in den Medien – und in der Realität

„Erst die ganzen NSA-Geschichten, dann der Sony-Hack aus Nordkorea, dann  werden Millionen Datensätze von US-Regierungsangestellten geklaut und jetzt ist das komplette IT-Netz des Bundestags im Eimer. Ständig Cyber-Attacken in den Nachrichten, eine unglaublicher als die andere – beste Werbung für Sie, stimmt’s?“

Das glauben viele. Stimmt aber nicht.

Solche Meldungen bestärken den Irrglauben, dass Cyber-Attacken vor allem Regierungsstellen und internationale Multis gefährden. IT-Sicherheitsverletzungen sind auch für KMU ein großes und wachsendes Problem. Aber es steht halt nicht in der Zeitung, wenn beim Mittelständler nebenan ein Notebook mit Kundendaten oder vertraulichen Projektbeschreibungen verloren geht.

Dass hinter IT-Sicherheitsverletzungen  meist hochspezialisierte Geheimdienstprofis stecken, ist ebenfalls ein Mythos. In Wirklichkeit sind es meist schlampige Mitarbeiter, kleine Kriminelle, technische Pannen und dumme Zufälle, die für Schaden sorgen. Der ist dann trotzdem oft enorm. Aber man kann sich ja Gott sei Dank dagegen versichern, für relativ geringe Kosten.

Wenn Sie mehr wissen wollen oder auch einfach nur Fragen haben, freue ich mich über Ihren Anruf – 030 863 926 990 oder Ihre Nachricht.

Warum Ihr Unternehmen eine Cyber-Police braucht

Ganz einfach: Ihr Unternehmen braucht eine Cyber-Police, damit bei einem Cyber-Angriff oder IT-Zwischenfall …

  1. Ihre Datenbestände versichert sind.
    Kunden-, Buchhaltungs- und Produktdaten sind, anders als Maschinen und Inventar, nicht in den klassischen betrieblichen Versicherungen enthalten.
  2. … Ansprüche Dritter an Sie versichert sind
    Ansprüche, die Kunden im Fall verlorener Kundendaten gegen Sie stellen, sind im Regelfall ohne Cyber-Police nicht abgedeckt. Schadenersatzforderungen aufgrund von im Internet verletzter Urheber- und Persönlichkeitsrechte auch nicht.
  3. … sämtliche Folgeschäden versichert sind
    Betriebsunterbrechung als Teil der Deckung klassischern Unternehmensversicherungen. Aber ohne Zusatz- und Folgekosten wie entgangener Umsatz, Datenrettungskosten, Aufwand für Krisen-PR, anwaltliche Beratung, Information aller Betroffener, Reputationsverlust, Rechtsstreitigkeiten etc.
  4. … Spezialisten für den Ernstfall bereitstehen, die Ihrem Unternehmen schnell helfen.
    Weil auch den Versicherungsgesellschaften daran gelegen ist, den Schaden gering zu halten, vermittelt man Ihnen im Schadensfall schnell Hilfe, z. B.  IT-Sicherheits- und Datenrettungsexperten, Anwälte und PR-Berater.

Übrigens: Der Zusatzgewinn an Unternehmens- und Planungssicherheit durch eine Cyber-Police kostet Ihr Unternehmen im Normalfall kaum ein Zehntel vom Jahresumsatz. Natürlich sind die konkreten Kosten abhängig vom Einzelfall. Aber selbst kleine Unternehmen mit weniger als einer Mio. Euro Jahresumsatz zahlen für die Cyber-Police nur sehr selten mehr als ein halbes Prozent davon.

Fragen?

Gerne – bitte an fs@acant-makler.de oder 030 863 926 990 oder per Kontaktformular

Das IT-Sicherheitsgesetz wird teuer – Versichern senkt das Kostenrisiko

Es wird mit großer Sicherheit teuer …

Im Sommer dürfte das IT-Sicherheitsgesetz in Kraft treten. Im Moment liegt der Gesetzesentwurf beim Bundestag. Es bringt dem „Bundesamt für Sicherheit in der Informationstechnik“ (BSI) mehr Bedeutung und für so genannte „Betreiber kritischer Infrastrukturen“ neue Pflichten und Kosten – aber auch für jeden geschäftlichen Website-Betreiber.

Unklar: Betreiber einer kritischen Infrastruktur

Noch ist völlig unklar, wer dazu zählt. Genaue Festlegungen soll es erst später per Rechtsverordnung geben.

Bislang ist die Zielgruppe nur über zwei Merkmale eingegrenzt: Zugehörigkeit zu „den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und „hohe Bedeutung für das Funktionieren des Gemeinwesens“ (§ 2 Abs. 10 BSIG n. F.) – ziemlicher Gummi also.

Immerhin: Kleinst- und Kleinunternehmen sind ausgenommen. Andere Betreiber müssen …

  • innerhalb von zwei Jahren verbindliche IT-Sicherheitsstandards einführen. (Welche? Auch noch nicht klar …).
  • deren Einhaltung alle zwei Jahre zertifizieren lassen
  • eine permanent erreichbare „Kontaktstelle“ zum BSI einrichten
  • Cyber-Zwischenfälle sowie Störungen und Bedrohungen der IT-Sicherheit unverzüglich an das BSI melden – auch solche, die nicht zu Ausfällen oder Störungen führten. (Immerhin darf dann die Meldung anonym erfolgen)

Neue Sicherheitspflicht für jeden geschäftlichen Website-Betreiber

Eine Änderung im Telemediengesetz verpflichtet zudem Diensteanbieter (d. h. Website- und Webservice-Betreiber) dazu, alles an Cyber- und Datenschutzmaßnahmen zu installieren, was „technisch möglich und wirtschaftlich zumutbar“ (§ 13 TMG n. F.) ist.

Eine Cyber-Versicherung hilft

Meldepflichten, Zertifizierungspflichten, verpflichtende IT-Sicherheitsstandards – all das ist nicht nur in der Umsetzung teuer. Zusätzlich drohen bei Verstößen Bußgelder und Schadenersatzansprüche Dritter.

Genau hier hilft eine Cyber-Versicherung, die Kostenrisiken im Griff zu halten:

  • Bei einem erfolgreichen Cyberangriff, einem technischen Zwischenfall oder menschlichem Versagen im Cyberbereich sind ihr Eigenschaden sowie Ausfall– und Folgekosten versichert (Produktionsausfälle, zerstörte Hardware, Datenwiederherstellung etc.)
  • Wichtiger noch: die Schadenersatzansprüche, die andere in diesem Fall an Sie stellen, sind ebenfalls versichert (denken Sie an Kunden, deren Daten geklaut wurden)
  • Die Versicherer halten Dienstleister für den Krisenfall bereit, die schnelle Hilfe bieten (Datenrettung, Krisen-PR, Rechtsberatung etc.)
  • Und, aktuell im Zusammenhang mit dem IT-Sicherheitsgesetz wichtig: Wenn gegen Ihr Unternehmen ein Bußgeldverfahren aufgrund von IT-Sicherheitsverletzung läuft, sind Ihre Rechtsanwalts- und Gerichtskosten mitversichert.

 

Britischer Minister für mehr Cyber-Versicherungsschutz

Ein Regierungsbericht aus Großbritannien beklagt den eklatanten Mangel an Cyber-Versicherungsschutz, meldet die BBC. Obwohl 81 Prozent der britischen Unternehmen in den zurückliegenden zwölf Monaten Opfer einer Sicherheitsverletzung wurden, seien nur zwei Prozent angemessen gegen Cyber-Risiken versichert, so der Minister für Kabinettsangelegenheiten, Francis Meade.

Die Hälfte der befragten Firmenchefs wusste nicht einmal von der Möglichkeit, sich gegen Cyber-Risiken zu versichern.

Als Konsequenz will die Regierung in London die Unternehmen nun verstärkt zum Abschluss von Cyber-Versicherungen motivieren. Bleibt aus deutscher Sicht hinzuzufügen: Die Cyber-Versicherungslücke ist bei uns kaum weniger groß und die Cyber-Risiken sowieso nicht. Der Unterschied ist, dass hier die Politik bislang noch nicht so recht verstanden hat, wie sinnvoll Cyber-Versicherungsschutz als Mittel gegen dieses Risiko ist.

Nicht nur aufgrund der finanziellen Unterstützung. Wenn der Schadensfall eintritt, ist die ebenfalls in der Police enthaltene, schnelle Unterstützung durch Berater und Spezialisten genau so wichtig, wie der Regierungsbericht unterstreicht.

 

Acant ist Mitglied im Cyber-Sicherheitsrat

Cyber-Sicherheitsrat Deutschland e. V.Der Cyber-Sicherheitsrat Deutschland e. V. ist ein politisch neutraler Verein, sein Vereinsziel besteht darin, das Thema Cyber-Sicherheit in die Öffentlichkeit zu bringen, das Bewusstsein für Cyber-Risiken zu schärfen und Unternehmen, Behörden sowie die Politik zu beraten.

Eine gute Sache, finde ich. Deshalb bin ich seit letztem Monat Mitglied.

Das schmutzige kleine Geheimnis der Cyber-Security

„Here’s the dirty little secret of cyber security, though: nothing is 100 per cent secure.“

„Hier ist das schmutzige kleine Geheimnis der Cyber-Sicherheit: Nichts ist zu 100 Prozent sicher.“ Das ist die zentrale Aussage in einem Beitrag der britischen IT-News-Website The Register.

Eigentlich will der Artikel erklären, dass ein Viren- und Malware-Scanner zwar unverzichtbar ist, aber keineswegs ausreicht, um die Rechner im Firmennetzwerk gegen Angriffe zu sichern. Man braucht vielmehr „layered security“, d.h. mehrere Schichten von Sicherheitsmaßnahmen. Es geht darum, weitere Löcher stopfen, durch Zugangsfilter für zwielichtige Websites, durch Viren- und Spamfilter auf dem Mailserver und durch pflichtbewusstes Installieren von  Updates und Patches.

Das ist alles richtig. Ansonsten ist der Artikel sicher nicht der beste Ratgeber zur Cyber-Security, den es je gab. Von Firewalls und mobilen Datenträgern zum Beispiel spricht er  gar nicht erst. Und das Konzept der „layered security“ ist ja nicht gerade neu. ABER: Der Satz oben ist entscheidend. Es gibt keine hundertprozentige IT-Sicherheit.

Ich füge hinzu: Dafür gibt es Cyber-Versicherungen. Denn das ist eine Sicherheitsmaßnahme, die auch der hinterhältigste Hacker der Welt nicht löschen, deaktivieren, zum Absturz bringen oder überschreiben kann.

 

Cyber-Schwachstelle Heimcomputer – selbst im Kanzleramt

„Regin”, ein NSA-/GCHQ-Trojaner, wurde auf einem Laptop im Bundeskanzleramt entdeckt. Er kam von einem infizierten Heimcomputer  per USB-Stick. Eine hochrangige Mitarbeiterin hatte sich Arbeit mit nach Hause genommen. „Die Benutzung eines privaten USB-Sticks für solche Dateitransfers sei verboten, hieß es weiter.” Tja.

„Spear fishing” heißt es, gezielt einer bestimmten Person durch eine auf sie zugeschnittene Fake-Nachricht „Malware” unterzujubeln. Hat immer wieder Erfolg. Aber eine Cyber-Risk-Versicherung hilft auch dann.

Quellen: „Bild” und z. B. auch Golem.de.

AKW-Bauplan im Netz – schon denkt man über Cyber-Abwehr nach

In Südkorea wurden Baupläne und Betriebsanleitungen eines Kernkraftwerks durch einen Cyber-Angreifer gestohlen und veröffentlicht. Die Betreibergesellschaft sieht kein großes Risiko, hat aber immerhin Übungen zur Cyber-Abwehr anberaumt (nach der Attacke, wohlgemerkt). Persönliche Daten von rund 10 000 Angestellten sollen dabei auch erbeutet worden sein.

Quellen: Greenpeace, Deutsche Welle.