Urteil - Cyberversicherung muss zahlen trotz veralteter Serversysteme, Symbolfoto: dokumol via Pixabay

Software-Updates versäumt, Cyber-Versicherung muss nach Hackerangriff trotzdem zahlen

Urteil zur Cyber-Versicherung: Leistungspflicht trotz veralteter Server-Betriebssysteme

Ein Unternehmen wird Opfer eines Hacker-Angriffs mit Ransomware. Die Betriebsunterbrechung verursacht Millionenschäden. Manche Server des Betriebs liefen mit längst veralteten Betriebssystem-Versionen. Trotzdem wurde die Cyber-Versicherung dazu verurteilt, den Schaden zu übernehmen.

Das Urteil gibt Versicherern noch mehr Anlass, auf die IT-Sicherheit ihrer Versicherungsnehmern zu achten. Unternehmen sollten den Abschluss einer Cyber-Versicherung und die Optimierung ihrer Sicherheitsmaßnahmen aufeinander abstimmen.

Cyber-Versicherung abgeschlossen – und gleich Opfer eines Cyber-Angriffs

Bei einem Unternehmen aus Baden-Württemberg hatten nur 10 von 21 Servern aktuelle Betriebssystem-Versionen. Andere liefen selbst 2020 noch mit „Windows Server 2003“. Für dieses Betriebssystem gab es seit 2015 keine Updates mehr.

Trotzdem konnte der Betrieb eine Cyber-Versicherung abschließen. Die kam zum richtigen Zeitpunkt: Zwei Monate später verschlüsselte ein Ransomware-Angriff die Daten im gesamten Firmennetzwerk. Eine fünfmonatige Betriebsunterbrechung war die Folge. Sie führte zu Ausfällen in Millionenhöhe.

Die Versicherungsgesellschaft weigerte sich, den Schaden zu übernehmen. Sie verwies auf die fehlenden Software-Updates und darauf, dass das Unternehmen weder Zwei-Faktor-Authentifizierung noch ein Monitoring-System installiert hatte. Außerdem habe es Kontrollfragen zur Unternehmens-IT falsch beantwortet, die ihm vor Vertragsabschluss vorgelegt wurden.

Keine „Kausalität“, keine „Arglist“: die Versicherung muss bezahlen.

Das Landgericht Tübingen verurteilte den Versicherer trotzdem zur Zahlung. Er musste Schäden von mehr als 2,8 Millionen Euro übernehmen. Allein die Betriebsunterbrechung schlug mit rund 2,5 Millionen Euro zu Buche.

Das Unternehmen hatte einem Vertreter der Versicherungsgesellschaft vor Vertragsunterzeichnung mitgeteilt, dass es noch „Windows Server 2003“ und „Windows Server 2008“ einsetzte. Selbst wenn die – unklar formulierten – Risikofragen falsch beantwortet wurden, lag für das Gericht somit keine Arglist vor.

Außerdem war der Trojaner durch eine Phishing-Mail auf das Notebook eines Administrators gelangt. Von dort verbreitete er sich als Pass-the-Hash-Angriff weiter. Die veraltete Server-Software war deshalb nach Ansicht des Gerichts nicht kausal für den erfolgreichen Ransomware-Angriff.

Wichtig für die Richter: die Unternehmensvertreter hatten den Eindruck gewonnen, der Versicherer stelle keine hohen Anforderungen an die IT-Sicherheit. Sein Repräsentant hatte erklärt, dass „jede Fritzbox“ als Firewall ausreichen würde (AZ: LG Tübingen, 26.05.2023 – 4 O 193/21).

Das Urteil macht es den Unternehmen nicht leichter: Sie sollten IT-Sicherheit und Versicherungsschutz klug kombinieren

Noch vor einigen Jahren verlangten Versicherer zum Abschluss einer Cyber-Versicherung kaum mehr als die symbolische Bestätigung, dass dem Betrieb die Cyber-Risiken bewusst waren. Das hat sich in wenigen Jahren grundlegend geändert. Die Zahl der Cyber-Angriffe und die Höhe der Schäden sind explodiert. Besonders Betriebsunterbrechungen und Schadenersatzforderungen verursachen hohe Kosten. Deshalb sind Cyberversicherungen inzwischen deutlich teurer – und wesentlich schwerer zu bekommen. Die Versicherer schauen mittlerweile genauer hin, wie es um die IT-Sicherheit bei Versicherungsnehmern bestellt ist.

Für die Unternehmen wird es wichtig, zwei Aufgaben aufeinander abzustimmen. Die eine besteht darin, ein professionelles IT-Sicherheitsniveau zu erreichen. Die andere Aufgabe ist es, das Risikomanagement durch eine belastbare Cyber-Police zu ergänzen. Die Geschäftsführung ist gefordert: Nur Investitionen in die IT-Sicherheit ermöglichen adäquaten Versicherungsschutz. Umgekehrt gilt es, die Cyberversicherung präzise auf die Bedrohungslage des Unternehmens auszurichten.

Entscheidend ist dafür die Unterstützung durch einen erfahrenen Fachmakler. Wir von acant haben 2013 als einer der ersten Versicherungsmakler in Deutschland die Vermittlung von Cyberpolicen begonnen. Inzwischen haben wir mehr als zehn Jahre Erfahrung damit. Wir kennen den Markt für Cyberversicherungs-Produkte, haben direkte Kontakte zu den einschlägigen Versicherern und wissen wie man auch in einem schwierigen Markt optimalen Cyber-Versicherungsschutz und individuelle Lösungen sicherstellt. Rufen Sie uns an oder schreiben Sie uns eine Nachricht!

Cloud-Ausfall versichern, Symbolfoto: ImaArtist via Pixabay

Versicherung gegen den Ausfall der Cloud

Hängt Ihr Betrieb davon ab, dass bei Dritten die Server laufen?

Nutzt Ihr Unternehmen Cloud-Speicher oder Hosted-Service-Angebote wie SaaS, PaaS oder Iaas („Software as a Service“, „Platform as a Service“, „Infrastructure as a Service“)? Wickeln Sie zum Beispiel Payment, Downloads, Logistiksteuerung oder andere Prozesse über die Server von Dritten ab?

Dann teilen sie das Downtime-Risiko Ihrer Dienstleister: Wenn deren Server ausfallen, schmieren Ihre Geschäftsprozesse ebenfalls ab. Fällt die gemietete Cloud aus, stockt Ihr Geschäftsablauf. Das ist ärgerlich

Und noch brisanter ist das Ausfallrisiko, wenn Sie Ihren eigenen Kunden Zugang zu Dateien, Software oder Service Levels zusagen, die vom Plattform- oder Cloud-Provider abhängen. Natürlich können Sie den Anbieter in Haftung nehmen, wenn es zu einer Downtime kommt. Aber das ist umständlich und langwierig. Zunächst sind immer einmal Sie selbst mit den unzufriedenen Kunden, mit Schadenersatzforderungen, Umsatzverlusten und Betriebsunterbrechungen konfrontiert.

Cloud-Ausfallversicherung zahlt pro Downtime-Stunde

Nun gibt es ein neues Versicherungsprodukt, das genau auf diese Art Risiko ausgerichtet ist. Die Cloud-Ausfallversicherung fängt den Schaden durch die Betriebsunterbrechung nach einem Ausfall beim Dienstleister auf.

Das Ganze funktioniert so: Der Versicherungskunde gibt an, welcher Cloud-Server bzw. welcher Dienst für ihn wichtig ist. Der Versicherer überwacht den Server mit einem eigenen Monitoring-Dienst. Kommt es zu einem Ausfall, wird die Länge der Downtime automatisch erfasst und für jede Stunde Nicht-Verfügbarkeit eine vorher festgelegte Summe ausgezahlt.

Zwei positive Aspekte der Cloud-Versicherung

Die Versicherungsleistung erfolgt unabhängig von der Ausfallursache. Das ist ein klarer Vorteil: Schließlich ist es dem Shop-Betreiber egal, warum Angreifer, fehlende Wartung, Sabotage oder schlichtes Pech zu der Havarie beim Fulfillment-Partner führten. Er muss sich damit herumschlagen, dass seine Bestellungen stocken oder die Kunden ihre Downloads nicht durchführen können.

Ein weiterer Vorteil: Der Kunde muss die Downtime bei seinem Dienstleister dem Versicherer gegenüber nicht nachweisen. Durch die feste Ausfallentschädigung ist auch kein aufwändiger Nachweis seines finanziellen Schadens notwendig.

Fazit

Alle Risiken sind mit der Cloud-Ausfallversicherung nicht vom Tisch. Eine pauschale Versicherungsleistung ist schwierig, wenn die Höhe des eigenen Schadens durch den Ausfall der Cloud stark variieren kann. In manchen Fällen wird es sinnvoller sein, die Service Levels aufzustocken und sich eine höhere Uptime zusichern zu lassen.


Für Unternehmen, die kritische Daten oder Dienste hosten lassen, ist die Cloud-Ausfallversicherung aber eine gute Zusatzabsicherung. Eine große Havarie kann schließlich die Existenz des Hosting-Anbieters gefährden. Oder es gibt Streit um Haftung und Schadenersatzpflicht. Dann ist es ein Segen, wenn der Versicherer davon unabhängig die Betriebsunterbrechung zuverlässig auffängt.

Versichern Sie Ihr Risiko durch IT-Ausfälle bei Dritten: Wir beraten Sie

IT-Ausfälle beim Dienstleister als eigenes Geschäftsrisiko: Als Spezial-Versicherungsmakler für sämtliche IT-Risiken kennen wir von acant dieses Problem. Mit uns können Sie besprechen, wie Versicherungen Sie vor Betriebsunterbrechungen, Schadenersatzforderungen oder Umsatzeinbrüchen schützen, die Ausfälle bei Dritten verursacht haben. Fragen Sie uns zu Ihren Möglichkeiten!

E-Autos und Ladestationen versichern - Symbolbild: andreas160578 via Pixabay

E-Autos, Wallboxen, Ladestationen: Sicherheitshinweise der Versicherer

Sicherheitsvorgaben für Ladeeinrichtungen in geschlossenen Gebäuden

Bei Elektroautos und bei Ladestationen gibt es ein paar Dinge zu beachten. Nur dann kann man im Fall von Sachschäden (einschließlich Brandschäden) darauf zählen, dass die Versicherung die oft recht beträchtliche Schadenssumme ersetzt. Welche Sicherungsvorkehrungen die Versicherer erwarten, hat der VdS in zwei kostenlosen PDF-Broschüren zusammengefasst.

  • Ladestationen für Elektrostraßenfahrzeuge: Diese Broschüre befasst sich mit dem sicheren Laden von E-Autos, E-Rollern oder Pedelecs, vom Laden mit Haushaltsstrom bis zu Ladeplätzen in Großgaragen.
  • Elektrofahrzeuge in geschlossenen Garagen – Sicherheitshinweise für die Wohnungswirtschaft: Die zweite Broschüre macht Vorgaben zum Einbau und Betrieb sicherer Ladestationen und ist für Immobilienverwalter, Eigentümer, Handwerksbetriebe und Dienstleister gedacht. Die Vorgaben reichen vom Laden mit 3 kW an der normalen Haushaltsteckdose bis zu „Normalladestationen“ mit 22 kW. Es gibt natürlich auch Schnellladesäulen mit bis zu 44 kW/50 kW und Hochleistungsladesäulen mit bis zu 450 kW. Diese sind aber nicht Thema.

Der VdS, eine Tochter des Versicherer-Verbandes, befasst sich als Institut mit Vorgaben und Fortbildungen zur Vermeidung von Sachschäden und Versicherungsfällen.

Ausführliche technische Informationen bietet auch der PDF-Leitfaden zur Ladeinfrastruktur Elektromobilität vom VDE.

Was gilt für die Gebäude- oder Hausratsversicherung?

Noch ist die Versicherungslage rund um Ladeeinrichtungen und Wallboxen unklar. Doch allmählich lichtet sich der Nebel etwas. Ganz klar: Für Ihre Ladestation brauchen Sie eine Sachversicherung etwa gegen Brandschäden am Gebäude. Entscheidend ist außerdem, dass Ihre Haftung für die Ladestation versichert ist, etwa bei Personenschäden oder bei Schäden an einem fremden Fahrzeug. Voraussetzung für die Deckung ist natürlich, dass die oben genannten technischen Anforderungen und Sicherheitsvorgaben erfüllt sind.

Eigentlich sollte Ihre Ladestation – zumindest im Bereich des Normalladens bis 22 kW – mit in Ihrer Gebäudeversicherung, Inhaltsversicherung, Hausratsversicherung und/oder Haftpflichtstation versicherbar sein. Falls Ihr Versicherer sich quer stellen sollte, kennen wir Versicherungsgesellschaften, die dieses Thema kulanter handhaben. Der Versicherungsschutz Ihrer Ladestation muss aber mit Ihrem Versicherer abgeklärt werden. Außerdem kann eine Mitteilung zur Gefahrerhöhung notwendig sein. Vielleicht müssen Sie auch den Versicherungsvertrag erweitern und die Ladestation darin ausdrücklich als mitversichert aufführen.

Wenn das alles nicht geht, bleiben zwei Möglichkeiten: Sie können entweder für die Wallbox oder die Ladestation eine eigene Elektronikversicherung abschließen. Oder Ihre Wallbox wird per Zusatzbaustein über die Kfz-Versicherung mit abgedeckt. E-Auto-Tarife schließen diese Deckung zum Teil bereits ein.

Wir von acant kümmern uns gern darum und nehmen für Sie Kontakt zu Ihrem Versicherer auf: Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

E-Auto optimal versichern

Die Versicherung für Ihr Elektroauto sollte wie bereits gesagt auch Wallbox, Ladekabel und Adapter umfassen und Überspannungsschäden abdecken.

Das ist aber nicht alles. Andere Punkte: Bleibt der Schadenfreiheitsrabatt vom Benziner beim Umstieg auf das Elektroauto erhalten? Ist der Akku mit drin, wenn er z. B. bei einem Unfall oder nach einem Marder-Biss beschädigt wird? Übernimmt die Versicherung Abschleppkosten und Ersatzfahrzeug, wenn das E-Auto mit leerem Akku liegen bleibt? Was ist mit den Entsorgungskosten für eine defekte Batterie?

Übrigens gibt es inzwischen E-Auto-Versicherungen, die selbst Schäden durch Cyber-Angriffe auf das Fahrzeug einschließen. Auch bei der Kfz-Versicherung fürs E-Auto gilt: Wir beraten Sie gern!

DDoS-Risiko und Haftpflicht-Falle

In den letzten Wochen waren DDoS-Angriffe aus dem Internet der Dinge (Internet of Things, IoT) ein großes Thema. Über Versicherungen hat dabei keiner gesprochen. Dabei wird Versicherungsschutz vor dem Hintergrund immer wichtiger. Zum einen wird man selbst leicht zum Angriffsziel. Und wenn Mittelständler und IT-Unternehmen selbst mit internetfähigen Steuerungen und embedded systems arbeiten, liefern sie schnell ungewollt neue Robotersoldaten für solche Attacken.

Read more

Antrag auf Cyber-Versicherung: Direkt online!

Für Kurzentschlossene und Interessierte: Einen Antrag auf Cyber-Verscicherung können Sie hier jetzt auch direkt online stellen:

  • Für Kurzentschlossene: Wenn Sie eine günstige Allround-Versicherung für Ihr Unternehmen suchen, können Sie hier direkt online den Antrag auf eine Cyber-Police von Hiscox stellen, die ein günstiges Preis-Leistungsverhältnis offeriert und guten Allround-Schutz bietet.
  • Zum Testen: Sie können das Formular gern auch dazu nutzen, um herauszufinden, wie Jahresumsatz und Selbstbeteiligung sich auf die Höhe der Versicherungsprämie auswirkt. Nebenbei zeigen die Antragsfragen auch, worauf die Versicherer Wert legen.

Weitere Informationen darüber, was Cyber-Versicherungen sind und welche Schäden Sie abdecken, lesen Sie unter „Cyber-Versicherung: Fakten“. Oder rufen Sie einfach an: 030 863 926 990.

Hier klicken, um den Inhalt von www.cyberversicherungonline.de anzuzeigen

Medical Identity Fraud: Identitätsdiebstahl im Gesundheitswesen

Identitätsdiebstahl bei Patienten

Die Süddeutsche Zeitung schreibt heute über das Phänomen des „Medical Identity Fraud“, den äußerst lukrativen Diebstahl von Patientendaten.

Auch dieser Trend kommt wieder einmal aus den USA. Dort ist die digitale Gesundheitskarte längst Realität. Patientendaten werden zentral gespeichert. Bereits bei 2,3 Millionen Menschen wurden diese Datensätze gestohlen und von Fremden missbraucht. Diese Form des Identitätsdiebstahl wächst in den USA schneller als alle anderen, etwa der Klau von Bankdaten.

Denn im Gesundheitswesen ist Identitätsdiebstahl besonders lukrativ: Mit den Daten kann man sich Schmerz- oder Schlafmittel verschreiben lassen und verkaufen. Ganze Operationen oder umfangreiche Behandlungen werden in falschem Namen abgerechnet. Auch eine Krankenversicherung lässt sich abschließen. Der Schwarzmarktwert solcher Datensätze ist entsprechend hoch.

Den Schaden hat derjenige, dessen Daten gestohlen wurden — aber auch Versicherungen, Artzpraxen und Gesundheitseinrichtungen aller Art, die Opfer betrügerischer Abrechnungen werden. Gegen diese Form des Missbrauchs wurde deshalb ein eigener Branchenverband gegründet, die Medical Identity Fraud Alliance.

Auch in Deutschland steigt das Risiko

Noch ist das Phänomen in Deutschland nicht so weit verbreitet wie in den USA. Aber auch hier ist der Missbrauch von Patientendaten ein Risiko. Noch beschränkt sich die elektronische Gesundheitskarte — salopp gesagt — auf das Patientenfoto, das die Chipkarte ziert. Dabei wird es aber nicht bleiben. Im Dezember letzten Jahres wurde das E-Health-Gesetz beschlossen, damit kommt der Datenaustausch im Gesundheitswesen allmählich ins Rollen.

In den nächsten Jahren werden nach und nach immer weitere Funktionen eingeführt. Ziel ist die digital verfügbare Patientenakte. So soll es in der Arztpraxis einen Stammdatenabgleich mit Datensätzen auf einem zentralen Server geben. Daten zu Allergien oder Vorerkrankungen sollen ebenso auf der Karte gespeichert sein wie Medikationspläne – auf die dann auch die Apotheke zugreifen kann. Auch Behandlungsdaten von Chronikern beispielsweise nach einem Klinikaufenthalt werden auf diesem Weg für Anschlussbehandlungen verfügbar gemacht, und elektronische Arztbriefe weitergereicht.

Diese Funktionen können die medizinische Behandlung sehr erleichtern. Auch das Einsparpotenzial ist groß. Aber dass damit automatisch auch das Missbrauchsrisiko steigt, liegt auf der Hand. Berichte über Sicherheitsprobleme bei der elektronischen Gesundheitskarte gibt es mehr als genug. Dieses Risiko wird auch zum Problem für Praxen, Kliniken und anderen Gesundheitseinrichtungen und -versorgern. Und schon beim Streit um EC-Karten-Missbrauch hat sich gezeigt, dass die Verwender einer Chipkarte gern für Sicherheitslücken im System haftbar gemacht werden, wenn sie diese nicht technisch detailliert nachweisen können.

Zwar haftet der Krankenversicherer für Behandlungskosten, wenn die Karte missbräuchlich verwendet wurde, ohne dass dies erkennbar war. Arztpraxen, Kliniken oder Versorgungseinrichtungen haften jedoch gegenüber den Patienten (und allen anderen Geschädigten, etwa den Versicherern), wenn sie für ein Datenleck verantwortlich sind (oder gemacht werden), das zu Identitätsdiebstahl und anderem Missbrauch führt. Wie teuer so etwas werden kann, einschließlich aller Folgekosten, lässt sich leicht ausmalen.

Versicherer sammelt Fitness-Daten

Virulent wird das Datenschutz-Problem natürlich erst recht, wenn die Player im Gesundheitswesen nicht nur die vorgeschriebenen Formen des Datenaustausch betreiben, sondern die Infrastruktur für eigene Angebote nutzen. Ein Vorstoß in dieser Richtung war die Idee von TK-Chef  Jens Baas, seinen Versicherten kostenlos Fitness-Tracker in Form von Armbändern zur Verfügung zustellen. Die würden z. B. Trainingszeiten registrieren, Schritte zählen und die Pulsfrequenz messen – und diese Daten in der elektronischen Patientenakte mitpeichern.

Solche Angebote können für Kunden sehr attraktiv sein – aber auch sie öffnen zwangsläufig neue Ansatzpunkte für Datendiebstahl. Anbieter, die diese Möglichkeiten nutzen, sollten sich absichern.

Die finanziellen Folgen von Identitätsdiebstahl lassen sich versichern

Auch für Artzpraxen, Kliniken, Gesundheitseinrichtungen und Dienstleister im Gesundheitsbereich wie etwa Dentallabore lautet die Empfehlung deshalb: Dieses Risiko lässt sich versichern! Wenn es zum medizinischen Identitätsdiebstahl kommt, kann eine Versicherung die finanziellen Folgen abfangen und so für das Überleben der Einrichtung entscheidend sein.

Wenn Sie mehr über die Versicherungsmöglichkeiten erfahren wollen, beraten wir Sie gern.

Online-Erpressung: Eine Cyber-Versicherung hilft auch dann

Fälle von Online-Erpressung häufen sich: Ransomware macht sämtliche Dateien unbenutzbar und fordert Geld, um sie wieder freizugeben. Das kann den Geschäftsbetrieb schnell zum Erliegen bringen – und dann ist das Lösegeld oft noch der geringste Schaden. Aber die Kosten sind versicherbar.

Online-Erpressung liegt im Trend

Gegen Erpressung, Entführung und Lösegeldforderungen können Unternehmen sich schon lange versichern. Inzwischen werden immer häufiger die Datenbestände oder die IT-Systeme zum Entführungsopfer. Aber auch dafür gibt es Versicherungslösungen.

  • Online-Erpressung existiert in verschiedenen Formen. Es gibt die Variante, in der ein Hacker sich Zugang zu Mitarbeiter- oder Kundendaten verschafft. Personenbezogene Daten sind viel Geld wert, zumal wenn sie Zahlungsinformationen umfassen. Sie an das Unternehmen zurückverkaufen ist oft einfacher, als andere Käufer zu suchen (die die Datensätzen dann für Identitätsdiebstahl oder zum gezielten Verbreiten von Trojanern nutzen). Oder man kassiert doppelt.
  • Eine andere Methode ist Ransomware. Das ist Schadsoftware, die durch getarnte Downloads oder E-Mail-Anhänge ins Firmennetz gerät. Nach dem Befall verschlüsselt sie alle Dateien, derer sie habhaft wird. Buchhaltungsdokumente, Projektberichte oder Textvorlagen können nicht mehr geöffnet werden. Für die Entschlüsselung muss das Unternehmen einen Schlüssel kaufen – ohne jede Garantie, dass er funktioniert.

Während Ransomware-Verbreiter oft nur einige hundert Euro (oder Dollars) fordern, sind die Summen bei gezielter Online-Erpressung viel höher. Schlagzeilen machte gerade eine Klinik in Los Angeles, die umgerechnet mehr als drei Millionen Euro für die Entschlüsselung ihrer Daten zahlen sollte. Dort mussten Operationen verschoben und Notfälle an andere Krankenhäuser weitergeschickt werden. Am Ende sollen rund 15.00o Euro geflossen sein.

Opfer von Ransomware wurden in letzter Zeit aber auch sechs Krankenhäuser in Deutschland. Dazu kam eine Infektionswelle durch den Trojaner Locky, der bundesweit allein an einem Tag 17.000 Rechner infiziert hat.

Cyber-Versicherungen decken auch diese Schäden ab

Ransomware wie auch direkte Online-Erpressung fallen mit unter den Breitband-Schutz einer Cyber-Versicherung gegen digitale Unternehmensrisiken. Viele Versicherer bieten einen optionalen Baustein zum Schutz vor Cyber-Erpressung an. Dann übernimmt der Versicherer im Ernstfall die Zahlung des Lösegelds, aber auch von Belohnungen.

Wichtiger ist in den meisten Fällen jedoch, dass die weiteren Eigenschäden des Unternehmens auch bei einem solchen Cyber-Angriff gedeckt sind (Umsatzverluste durch Ausfallzeiten etc.) . Auch mögliche Schadenersatzansprüche Dritter (z. B. Vertragsstrafen oder Schadenersatzforderungen) werden von der Versicherung abgewehrt oder beglichen.

Außerdem sorgen viele Versicherungsgesellschaften zusätzlich für schnelle Beratung durch IT-Spezialisten, aber auch Rechts- oder PR-Experten. Der Versicherer hat ja selbst Interesse an der Begrenzung der Schäden.

Wo gibt es Details zum Versicherungsschutz, zu Kosten und Bedingungen?

Ganz einfach: Fragen Sie uns. Die acant service GmbH ist ein auf Cyber-Risiken spezialisierter Fach-Versicherungsmakler. Wir loten mit Ihnen gemeinsam die individuelle Risikosituation Ihres Unternehmens aus, überprüfen, welche Risiken bereits versichert sind und suchen für noch unversicherte Risiken die beste auf dem Markt verfügbare Deckung. Rufen Sie uns an: 030 863 926 990.

Wer braucht eine Cyberversicherung und warum?

Was unterscheidet die Cyberversicherung von anderen Betriebsversicherungen?

  • Eine Cyberversicherung ist eine Querschnittslösung für alle Schäden, die sich in einem bestimmten Bereich ergeben.
  • Sie versichert ein breites Spektrum an Schadensereignissen. Damit die Cyberversicherung leistet, muss man nur eine Informationssicherheitsverletzung nachweisen und belegen, dass das Unternehmen dadurch wirtschaftliche Schäden hatte. Dagegen zahlt eine Maschinen- oder Elektronikversicherung nur, wenn ein Sachschaden eintritt. Bei einer Erpressung durch Hacker oder einem Denial-of-Service-Angriff, der die Server tagelang überlastet, gibt es aber keine Sachschäden. Eine Vertrauensschadenversicherung wiederum zahlt nur, wenn eine Vertrauensperson kriminell handelt. Ein Laptop mit wichtigen Daten kann aber auch ganz ohne Pflichtverletzung des Mitarbeiters gestohlen werden. Eine Betriebshaftpflichtversicherung bezahlt nicht, wenn auf der Website fremde Fotos oder Markenzeichen in guter Absicht, aber ohne Genehmigung verwendet werden.
  • Sie gilt weltweit.
  • Sie versichert sowohl Eigenschäden (Sachschäden, Umsatzausfall) wie auch Drittschäden (Schadenersatzansprüche).  Dabei sind viele verschiedene Kosten mitversichert, die ein Cyberangriff oder eine IT-Panne verursacht: Das Unternehmen muss feststellen, wie es dazu kam. Es muss Daten wiederherstellen und das System wieder in Betrieb nehmen. Es muss Krisen-PR betreiben, braucht Rechtsberatung und dergleichen mehr. Auch solche Kosten sind eingeschlossen oder versicherbar.

Für welche Unternehmen ist eine Cyberversicherung notwendig und sinnvoll?

Notwendig ist sie für alle. Und zwar um so mehr, je …

  • größer die Abhängigkeit von funktionierender IT für den Geschäftsbetrieb ist
  • größer die Vernetzung ist
  • wichtiger die Vertraulichkeit von Kunden- und Geschäftsdaten, Verfahren, Produktionsgeheimnissen ist

Ja, es gibt ausgefeilte technische Schutzmaßnahmen wie Firewall und Virenscanner. Diese sind auch unverzichtbar. Aber das Restrisiko lässt sich technisch nie weit genug reduzieren, um sorglos zu sein. Die Cyber-Versicherung ist der zweite, technisch nicht angreifbare Verteidigungsring um das Unternehmen. (Dafür wird sie umso günstiger, je bessere technische Vorkehrungen nachgewiesen werden können.)

Sinnvoll ist die Cyberversicherung als Bilanzschutz. Versicherungsausgaben sind Betriebsausgaben, wer ein unversichertes Schadensereignis finanziell abfangen muss, bezahlt das aus den Erträgen. Außerdem senkt die Vorsorge durch die Versicherung das Haftungsrisiko des Managements – und zwar erheblich.

Wie sollte man die passende Cyberversicherung auswählen?

Ganz einfach: Man nimmt das billigste Angebot für die benötigte Deckung. Herauszufinden, welche Risiken wirklich abgedeckt werden müssen, ist weniger einfach. Dafür braucht man eine solide Risikoanalyse. Ein guter erster Schritt ist die Selbstanalyse mit dem Quick-Check des Verbands der Sachversicherer.

Größere Unternehmen können individuelle Policen aushandeln. Für KMU sind kompakte Standard-Cyberpolicen die sinnvollste Lösung. Die Versicherer bringen zunehmend auch Branchenlösungen auf den Markt. Auch bei Standardversicherungen lassen sich zumindest Selbstbehalte und sogenannte Sublimits sinnvoll anpassen oder auswählen.

Abschließen sollte man nicht in Eigenregie. Dafür gibt es Versicherungsmakler. Die Maklergebühren zahlt die Versicherungsgesellschaft, trotzdem ist der Makler – schon gemäß gesetzlicher Verpflichtung – dem Interesse des Kunden verpflichtet.

Wie teuer sind die Versicherungsbeiträge für eine Cyberversicherung?

Das hängt natürlich von der konkreten Police, dem Deckungsumfang und Eigenbehalten ab. Bei Unternehmen mit Jahresumsätzen über 100.000 Euro liegen die Kosten jedoch im Promillebereich des Umsatzes.

Was ist im Schadensfall tun?

Rufen Sie bei Ihrem Versicherungsmakler an, der sich um das Weitere kümmert. Natürlich muss man auch Administratoren oder IT-Dienstleister informieren, wenn das noch nicht geschehen ist, und beim Verdacht auf Straftaten auch die Polizei (LKA).

Wo bekomme ich konkrete Auskünfte zum Thema Cyberversicherung?

Bei uns – wir sind einer der wenigen Fachmakler für Cyber- und IT-Risiken in Deutschland und kennen sowohl den Versicherungsmarkt wie die Risikolandschaft sehr gut. Rufen Sie uns an (030 863 926 990) oder schreiben Sie uns eine Nachricht.

Cookie-Monster und die Rechtsunsicherheit

In einer idealen Welt würde das Online-Recht klar umsetzbare Vorgaben für Website-Betreiber liefern. Die Wirklichkeit ist weit davon entfernt.

Ein Beispiel von vielen: Ob deutschen Seitenbetreiber jedes Mal vorher um Erlaubnis fragen müssen, bevor sie Cookies setzen, ist höchst umstritten. Die Konferenz der Datenschutzbeauftragten von Bund und Ländern neigt natürlich zur restriktiven Sicht. Ob der BGH zustimmen würde, weiß keiner, jedenfalls bis jetzt. Die Folge ist wieder einmal Rechtsunsicherheit.

Versicherungen sind kein Allheilmittel dagegen – aber sie können das Risiko durchaus begrenzen, auch wenn das nicht allgemein bekannt ist. Die Versicherer bieten entsprechende Produkte unter ganz unterschiedlichen Namen an (Cyber-Versicherung, Media-Police, IT-Safe Care – um ein paar Beispiel zu nennen.) Die genauen Deckungsvereinbarungen muss man sich im Einzelfall anschauen. Aber grundsätzlich lässt sich der Schaden versichern, der entsteht, wenn Ihnen jemand aus den  Cookies Ihrer Unternehmenswebsite einen Strick drehen bzw. einen Verstoß gegen Datenschutzrecht konstruieren will. Zumindest solange, wie die Cookie-Zustimmung noch nicht allgemeiner Standard in Deutschland ist und die fehlende Abfrage nicht als grob fahrlässig ausgelegt werden kann.

Man könnte fast sagen: Auch Rechtsunsicherheit ist ein Stück weit versicherbar.

Cyber-Risiken und Haftungsansprüche in den USA versichern

Gregg Steinhafel, Ex-CEO des US-Einzelhandelsriesen Target, ist ein besonders prominentes Beispiel dafür, wie drastisch die persönlichen Folgen von IT-Sicherheitsmängeln für Manager ausfallen können: Erst verdarben Hacker ihm  die Weihnachtsfeiertage 2013 – mit dem Diebstahl von Kundendaten in großem Stil. Ein halbes Jahr später kostete ihn der Vorfall dann auch noch den Vorstandsposten. Oder wie das  Handelsblatt schrieb: „Daten weg, Kunden weg, Chef weg“.

Und was, wenn ein deutsches Unternehmen Geschäfte in den USA macht und dort für Cyber-Schäden haftbar gemacht werden soll? In Amerika sind Schadenersatzsummen bekanntlich oft (alp-)traumhaft hoch. Sind solche Ansprüche durch die Cyber-Versicherung mit abgedeckt?

Hier muss man ein wenig ins Detail gehen: Grundsätzlich sind Auslandsrisiken durch Haftungsansprüche Dritter im Normalfall mitversichert. Eine Cyber-Versicherung bzw. Haftpflicht-Police bietet Deckung also auch im Ausland.

Es gibt aber Länder, die ausgeschlossen sind – zum Beispiel solche, die nur die Regulierung durch vor Ort registrierte Versicherungen zulassen. Und praktisch alle großen Versicherer schließen Ansprüche in den USA und Kanada durch Standardklauseln aus – das „litigation law“ dort ist einfach zu hemmungslos für eine pauschale Deckung. Trotzdem ist es oft möglich,  Haftpflichtansprüche in den USA auch ohne teure Zusatzdeckungen mitversichert zu bekommen, vor allem bei auf weltweiten Schutz spezialisierte Gesellschaften wie z. B. ACE. Die Versicherer wollen das Risiko aber vorher einzelfallbezogen in Augenschein nehmen.

Deutsche Unternehmen, die ihr USA-Geschäft mit in ihre Cyber-Versicherung einschließen wollen, sollten also dafür sorgen, dass die Deckung ihrer Police entsprechend erweitert wird, möglichst ohne Kosten. Und auf zwei weitere Dinge gilt es aufzupassen:

  • Die Mitarbeiter sollten mitversichert sein. Denn auch in den USA kann schnell eine persönliche Haftung entstehen.
  • Und zweitens: Manche Versicherer verfügen über ein eigenes Data Breach Team in den USA, das im Schadensfall als schnelle Eingreiftruppe fungiert – ein entscheidender Vorteil.

Übrigens: Auf solche Details zu achten, ist Teil meiner Aufgabe als Versicherungsmakler. Haben Sie Fragen dazu? Rufen Sie mich an: 030 863926 990.