Die neuen Cyber-Policen

Virtuelles Unheil zu vermeiden ist in diesen Tagen kaum möglich. Die jüngsten Hackerangriffe zeigen die Machtlosigkeit von Unternehmen in dramatischer Weise auf: Neben Vodafone, ­Sony und Sky gelangen dabei auch immer wieder Online-Shops und mittelständische Unternehmen ins Visier der Internet-Kriminellen. Gegen Feuer, Sturm und Wasserschäden sind die meisten versichert, die Gefahr durch Datenrisiken und Cyber-Kriminalität wird aber noch unterschätzt.

Mehr als 20 Mio. Mail-Adres­sen inklusive Passwörtern wurden seit Anfang des Jahres gehackt. Bei einem solchen Identitätsdiebstahl liegt der Schaden nicht nur aufseiten der bestohlenen Nutzer, gleichzeitig ist immer auch der Ruf der jeweiligen Unternehmen in Gefahr, die personenbezogene Daten wie Kreditkartennummern, Passwörter, medizinische oder Bankinformationen verarbeiten. Sobald es einen Datenvorfall gegeben hat, beginnt für die Geschäftsleitung gewöhnlich eine Odyssee des Krisen-Managements: Wer Personendaten verliert, ist laut Datenschutzgesetz verpflichtet, den Schaden genau zu untersuchen, die Betroffenen zu informieren und eventuelle Strafzahlungen zu leisten. Für viele mittelständische Unternehmen ist das bereits aus finanzieller Sicht kaum umsetzbar. Und die Schadensummen können nach einem Angriff schnell ruinöse Höhen im siebenstelligen Bereich erlangen.

Eine 2013 veröffentlichte Studie eines britischen Versicherers zeigt auf, wie schlecht kleinere und mittlere Unternehmen in Deutschland auf Hackerangriffe und Datenverluste vor­bereitet sind: 22 % etwa fehlt das Backup-System, 41 % mailen sensible Daten noch immer unverschlüsselt und ganze 94 % besitzen noch keine Versicherung gegen Online-Kriminalität. In den USA gibt es Cyber-Versicherungen bereits seit mehr als zehn Jahren. Auch wenn es sich um ein relativ neues Risiko handelt und jeder Schaden individuell zu sehen ist, die Ansprüche im Schadenfall sind nicht zu unterschätzen: Nicht nur das Unternehmen selbst, auch Aktionäre, die Kunden sowie Vertragspartner sind betroffen und verlangen nach einer geregelten Absicherung.

Die Geschäftsleitung ist verpflichtet, ein angemessenes Risikomanagement-System einzu­richten, immerhin kann es bei einer IT-Panne zur persönlichen Haftung des Managements kommen. Zur Erfüllung dieser Verantwortung gehört die Identifizierung aktueller und potenzieller Risiken, eine Analyse der Ursachen, die Bewertung der Risiken und eine passende Stra­tegie zur Risikovermeidung und -minderung. Die wichtigste Maßnahme zur optimalen Risikoabwälzung ist ein leistungsstarker Versicherungsschutz.

Eine ganz sichere IT gibt es nicht

Diesen Schutz bieten Cyber-Versicherungen. Nach einer Handvoll Versicherern aus dem angelsächsischen Raum ziehen nun auch deutsche Anbieter nach. Noch ist der Markt hierzulande für die Unternehmensmanager relativ intransparent. Unabhängige Experten können nach einer Prüfung der spezifischen Risiken bei der Gestaltung von Verträgen helfen. Spezialmakler wie die contego GmbH in München bieten dazu fachkundige Beratung sowie weitreichende Deckungskonzepte an. Geschäftsführer Jan Fries hat in den vergangenen Monaten bereits eine Sensibilisierung für das Thema bemerkt: „Bei unseren Kundengesprächen stellen wir immer seltener fest, dass von einem absolut sicheren IT-System und damit unmöglichen Schadenfall ausgegangen wird. Die zahlreichen Datenvorfälle bei großen Unternehmen wie etwa Beate Uhse oder Neckermann, die trotz hoher Sicherheitsmaßnahmen Schäden erlitten, haben das Krisenbewusstsein der Verantwortlichen geschärft. Wir teilen die Meinung von IT-Experten, dass es 100 %ig sichere IT-Systeme nie geben wird. Das verbleibende Restrisiko kann aber durch das passende Versicherungskonzept abgefangen werden.“

Der Aufwand lohnt sich: Das Spektrum der versicherten Gefahren reicht nämlich von
Betriebsunterbrechungsschäden durch Hackerangriffe, Cloud-Ausfall und Cyber-Erpressung über die Kosten für behördliche Ermittlungen bis zu den Reputationsschäden nach einem Imageverlust.

Dabei sind die Versicherungskosten längst nicht so hoch, wie zuweilen angenommen wurde: Die ersten Cyber-Policen kamen im Jahr 2012 auf den deutschsprachigen Markt. Neben unübersichtlichen Versicherungsbedingungen war die Zeichnungspolitik der Versicherer restriktiv, verbunden mit geringen Versicherungssummen. „Das hat sich zwischenzeitlich verändert“, erläutert Fries. Summen von mehr als 50 Mio. Euro pro Schadenfall sind nun verfügbar, gleichzeitig haben sich aber die Beiträge reduziert, da die Versicherer erste Erfahrungen sammeln konnten.