Aktuelles, Branche, Gastbeiträge - geschrieben von am Donnerstag, Mai 30, 2019 11:35 - ein Kommentar

Fünf Tipps für Cyber-Versicherungs-Policen

Abschluss einer Police ist nicht unbedingt einfach

Von unserem Gastautor Detlev Weise, Managing Director DACH bei KnowBe4

[datensicherheit.de, 30.05.2019] Cyber-Versicherungen sind inzwischen etabliert und ein gerne gesehenes Instrument zur Absicherung von Cyber-Risiken. Inzwischen gibt es nach Angaben des Verbraucherportals des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) 38 Anbieter in Deutschland. Doch der Abschluss einer Police ist nicht unbedingt einfach. Das Problem beginnt bereits bei der Definition eines Cyber-Angriffs sowie der Bewertung der Folgekosten von Reputationsschäden.

Problem: Bewertung von Cyber-Risiken

Das Problem setzt sich bei den Versicherern fort, die bei jeder neuen Police prüfen müssen, wie sie Cyber-Risiken bewerten sollen. Um einige dieser Probleme zumindest für Unternehmen zu beheben, hat KnowBe4 eine Liste mit fünf Tipps für den Abschluss einer Cyberversicherung zusammengestellt:

  1. Cyber-Risiken bewerten
    Am Anfang sollte eine umfassende Bewertung der Cyber-Risiken erfolgen. Es ist wichtig, genau herauszufinden, wo die tatsächlichen Risiken beim Versicherten liegen, denn das wird bestimmen, welche Art von Cyberversicherung abgeschlossen werden muss. Werden beispielsweise personenbezogene Daten, Kreditkarteninformationen oder andere sensible Daten in der Cloud ausgelagert? Oder sind es nur Verkaufszahlen oder andere eher weniger sensible Daten? Werden regelmäßig Transaktionen durchgeführt? All dies sind wichtige Fragen, die beantwortet werden müssen, um das Cyberrisiko richtig einzuschätzen. Das grundsätzliche Problem ist, dass bei vielen Unternehmen, aber auch Versicherungen keine Schadenshistorien vorliegen, es gibt also kaum Vergleichswerte oder Vergleichsfälle, die zur Bewertung hinzugezogen werden können.
  2. Alle Bedingungen der Police sorgfältig durchlesen
    Unterschiedliche Definitionen von Begriffen sind nur ein Grund, warum man die Police sorgfältig durchlesen sollte. Ein weiterer Grund ist, sicherzustellen, dass sie gut zum Unternehmen und seinem Risikoniveau passt.
  3. Absicherung durch Schäden von IT-bedingten Betriebsunterbrechungen
    Eines der wichtigsten Elemente, die Cyber-Versicherungen abdecken müssen, sind IT-bedingte Betriebsunterbrechungen. Es gibt normalerweise eine Wartezeit, bevor die Schadensregulierung beginnt. Sobald die Schadensregulierung gestartet wird, werden finanzielle Verluste abgedeckt, die während der Ausfallzeit entstehen. Die IT-bedingte Betriebsunterbrechung bietet Schutz vor finanziellen Verlusten, wenn ein bestimmter Geschäftspartner einen vorab definierten Cyber-Ereignisfall bzw. Sicherheitsvorfall hat und nicht in der Lage ist, eine Dienstleistung für das betroffene Unternehmen zu erbringen oder aber Waren oder Materialien fristgerecht auszuliefern.
  4. Fachleute können unterstützen und werden von der Versicherung gestellt
    Oft deckt das aktuelle Versicherungsportfolio bereits bestimmte Cybersicherheitsvorfälle ab. Darüber hinaus ist in Cyberversicherungen zumeist ein Support in Form von spezialisierten Anwälten und forensischen Beratern inkludiert, die im Falle eines Sicherheitsvorfalls helfen können. Diese Fachleute bestehen aus vorab geprüften Teams, die in diesem Bereich Erfahrungen gesammelt und in der Regel bereits früher bei ähnlichen Fällen zusammengearbeitet haben. Das Team wird in der Regel von einem Anwalt unterstützt, der sich mit den Gesetzen und Vorschriften in den Bereichen Cybersicherheit und Datenschutz bestens auskennt. Gerade für kleine und mittlere Unternehmen, die sich oft fragen müssen, was sie tun sollen und welche Ressourcen sie bei einem Sicherheitsvorfall zusammenstellen müssen, kann der Zugang zu diesem Team sehr hilfreich sein.
  5. Verantwortlichkeiten im Vorfeld abklären
    Schließlich muss man verstehen, wofür man im Rahmen der Police verantwortlich ist. Wer muss beispielsweise benachrichtigt werden, wenn ein Sicherheitsverstoß auftritt? Oder was passiert, wenn ein Hacker seit Jahren in die Systeme eindringt, aber dies jetzt erst erkannt wurde? In diesem Fall wäre eine rückwirkende Cyber-Versicherung sinnvoll. Das genaue Verständnis dessen, was im Falle eines Sicherheitsvorfalls getan werden muss, kann den Unterschied ausmachen, ob die Versicherung den Schaden reguliert oder nicht.
Detlev Weise, „Managing Director“ bei KnowBe4

Bild: KnowBe4

Detlev Weise, Managing Director DACH bei KnowBe4

Fazit

Das Wichtigste jedoch ist, dass keine Cyber-Versicherung in der Hoffnung abgeschlossen werden sollte, dass sie eh niemals zum Einsatz kommt. Die Anforderungen der Police sollten berücksichtigen, wie die Meldung eines Schadensfalls vorgenommen wird und wann die Zustimmung des Versicherers eingeholt werden muss, bevor man auf einen Sicherheitsvorfall reagiert. All das muss in den allgemeinen Krisenreaktionsplan des Unternehmens einfließen. Wenn alle diese Punkte berücksichtigt werden, sollte ein Kauf der richtigen Cyberversicherung für das Unternehmen etwas einfacher werden. Unabhängig vom Abschluss einer solchen Versicherung sollten Unternehmen dennoch in Security Awareness-Trainings ihrer Mitarbeiter und Führungskräfte investieren, um sich mit „menschlichen Firewalls“ gegen Cyberangriffe zu wappnen.

Weitere Informationen zum Thema:

datensicherheit.de, 29.04.2019
Plansecur empfiehlt Cyberversicherungen gegen Hacker

datensicherheit.de, 26.06.2018
Cyber-Risiken: BIGS über die Grenzen der Versicherbarkeit

datensicherheit.de, 19.11.2017
Viele offene Fragen und wenige Antworten: EU-DSGVO und Cyber-Versicherung

datensicherheit.de, 22.10.2016
Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken

datensicherheit.de, 09.09.2015
Unternehmen müssen sich für eine neue Dimension von Cyberrisiken wappnen

datensicherheit.de, 15.05.2014
AppRiver-Umfrage: Versicherung von Cyber-Risiken



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Leonard Wolf
Mai 31, 2019 10:01

Die Hinweise des Herrn Weise sind absolut wichtig. Lediglich eine Kleinigkeit muss ich klarstellen:

Der Versicherungsschutz für IT-bedingte Betriebsunterbrechungen deckt regelmäßig den eigenen Ertragsausfall (fortlaufende Kosten + Gewinn) des versicherten Unternehmens durch Schäden bei diesem Unternehmen selbst.

Der letzte Satz unter Nr. 3. erweckt den Eindruck, Schäden durch eine Störung in der Zulieferer- oder Abnehmerkette, also fremden Unternehmen, seien ebenfalls gedeckt, das ist regelmäßig NICHT der Fall.

Wenige Versicherer bieten jedoch auf Nachfrage eine Deckung von Vertragsstrafen gegen den Versicherten, weil dieser aufgrund einer IT-bedingten Betriebsunterbrechung selbst(!) nicht liefern oder abnehmen kann.

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung