84% aller befragten Unternehmen haben 2022 einen Cybervorfall erlebt, so das Ergebnis einer Umfrage der Bitkom, die unser Gastredner Thomas Clemens von RVM Versicherungsmakler GmbH den Teilnehmern im Rahmen seiner Präsentation beim Trachtendienstag Ende Januar vorstellte. Sicherlich ein Indikator dafür, dass das Thema IT-Sicherheit in vielen Unternehmen noch immer nicht ausreichend gewürdigt wird.
So wundert es auch nicht, dass die Cyber-Versicherung in den letzten Jahren an Bedeutung gewonnen hat und immer mehr Unternehmen, wie auch KMUs, sich mit dem Gedanken tragen, eine derartige Absicherung zu vereinbaren.
Clemens spricht gleich zu Beginn seines informativen Vortrags über die Bedeutung eines „Dreigestirns“ zur Schadenabwehr: Damit meint er das Zusammenspiel von Kunde, IT-Dienstleister und Cyber-Forensiker als Krisendienstleister des Versicherers, die bei einem Cybervorfall als Team zusammenarbeiten sollten. Die Cyber-Versicherung und die damit verbundene Unterstützungsleistung im Krisenfall stellen daher auch die IT-Verantwortlichen im Unternehmen nicht in Frage, sondern ergänzen das notwendige Know-how zur Schadenabwehr.
Steigende Risikofaktoren
Denn die Aufgaben an die Verantwortlichen wachsen mit der zunehmenden Digitalisierung, der steigenden Anzahl von Daten auf mobilen Geräten und der Arbeit vom Homeoffice aus. All diese Faktoren bieten Einfallsmöglichkeiten für Ransomware & Co.
Voraussetzungen für den Abschluss
Clemens erklärt weiter, dass Unternehmen, die am Abschluss einer Police interessiert sind, einen Fragenkatalog beantworten und bestimmte Kriterien erfüllen müssen. Hierzu gehörten z.B. die Multifaktorauthentifizierung von Geräten, regelmäßige Awareness-Schulungen von Mitarbeitern oder die Erstellung von regelmäßigen offline Backups, z.B. auf Tapes. Auch dürften im Unternehmen keine Alt-Systeme, wie z.B. Windows 7, verwendet werden, für die keine regelmäßigen Security Patches mehr bereitgestellt werden könnten.
Was deckt eine Cyber-Versicherung ab?
Der Versicherungsexperte erläutert, dass jede Cyber-Versicherung generell drei Komponenten beinhaltet:
- Eigenschäden: Dazu zählen Wiederherstellungskosten von Daten bzw. Netzwerk von eigenen Mitarbeitern oder Fremdfirmen, Ertragsausfall und ggf. bezahltes Lösegeld.
- Kostenposition: Beinhaltet sind die Kosten für IT-Forensik, Benachrichtigung Betroffener (nach DSGVO) sowie ggf. Rechtsberatung.
- Haftpflicht: Deckt Drittschäden, wie Schadenersatzansprüche, Anwaltskosten oder Abwehrkosten bei behördlichen Verfahren ab.
Je nach Versicherer und Produkt können dabei auch Erweiterungen aus dem Bereich der Vertrauensschaden-Versicherung inkludiert sein.
Wie ermittelt man die Versicherungssumme?
Clemens erläutert dies anhand eines Praxisbeispiels. Als Faustregel könne ein Unternehmen jedoch zumindest ein Viertel seines Jahresrohertrages als Versicherungssumme ansetzen – ggf. abhängig vom Digitalisierungsgrad, der Branche, u.v.m.
Prämienindikation
Wie hoch die Versicherungsprämie für ein Unternehmen ausfällt, hänge u.a. vom Umsatz, den individuellen Risikofaktoren, vor allem aber dem Grad der IT-Sicherheit ab, erläutert Clemens. Alles Komponenten, die sich aus dem Risikofragebogen sowie einem ggf. notwendigen Risikodialog mit dem jeweiligen Versicherer ergeben.
Marktsituation der Versicherer
Abschließend lässt sich feststellen, dass das Versicherungsumfeld im Bereich der Cyber-Versicherung insbesondere aufgrund des anhaltend angespannten Schadenverlaufs insgesamt schwieriger geworden ist. So sind die Versicherungsbedingungen mittlerweile restriktiver geworden: Die Mindestanforderungen an die IT-Sicherheit sind gestiegen, die Versicherer reduzieren die Kapazitäten und das Prämienniveau hat sich weiter erhöht. Das sollte jedoch letztlich keinen Entscheider daran hindern, über den Mehrwert einer Cyber-Versicherung nachzudenken – insbesondere, um damit ein etwaig existenzielles Risiko für das eigene Unternehmen abzusichern.
Für Thomas Clemens jedenfalls ist die Cyber-Versicherung mehr denn je so etwas wie eine „Feuer-Versicherung 4.0“.