IT-Risiken abzuschätzen und bestmöglich abzusichern steht ganz oben auf den Agenden der IT- und Sicherheitsverantwortlichen vieler Unternehmen. Laut dem Allianz Risk Barometer 2021 zählen IT-bedingte Zwischenfälle gemeinsam mit Betriebsunterbrechungen zu den größten Geschäftsrisiken weltweit. Um dem entgegenzuwirken gilt es, durch geeignete Sicherheitsmaßnahmen die digitale Angriffsfläche zu verringern. Für die verbleibenden Restrisiken, bieten zahlreiche Versicherer Cyber-Policen an.
Fälle wie der laufende Rechtsstreit zwischen dem Lebensmittelkonzern Mondelez und der Zurich Insurance Group zeigen allerdings, dass Cyber-Versicherungen nicht zwangsläufig einspringen, wenn sie gebraucht werden. Der Süßwarenkonzern (Milka, Oreo, Toblerone) hatte sich bei einer US-Tochter von Zurich mit einer Deckungssumme von 100 Millionen Dollar gegen Schäden aus Ausfällen der IT-Systeme versichert, wobei Schadsoftware ausdrücklich mit eingeschlossen war.
2017 fiel Mondelez dem Krypto-Trojaner "NotPetya" zum Opfer und bezifferte den Schaden auf insgesamt 180 Millionen Dollar. Zurich zahlte einen ersten Teil der Versicherungssumme aus, weigerte sich dann aber, auch den Rest zu überweisen. Laut dem Versicherer sei "NotPetya" als "kriegsähnliche Handlung in Kriegs- oder Friedenszeiten" durch einen staatlichen Akteur anzusehen, da die Industrie Russland als Urheber hinter der Ransomware ausgemacht hatte. Solche Schäden sind üblicherweise von Versicherungspolicen ausgeschlossen. Zurich steht seither in der Pflicht, vor Gericht zu beweisen, dass es sich tatsächlich um so einen Ausnahmefall handelt und damit der Schaden nicht gedeckt ist. Das Verfahren läuft noch.
An diesem Beispiel wird deutlich, dass Unternehmen sehr genau prüfen müssen, welche Cyber-Versicherung für sie die richtige ist, wann der Schutz genau wirkt und unter welchen Bedingungen er erlischt. Zudem fordern Versicherer, dass ihre Klienten bestimmte Sicherheitsvorkehrungen treffen. Wie sich Unternehmen vorbereiten und welche Stolperfallen sie umgehen sollten, erfahren Sie im Folgenden.
Was soll versichert werden?
In einem ersten Schritt gilt es festzustellen, was genau versichert werden soll. Die Allianz für Cyber-Sicherheit (ACS) des BSI widmet in ihrem Vorstands-Handbuch "Management von Cyber-Risiken" (PDF) Teile des fünften Kapitels dieser Frage. Der Entscheidungsprozess geht mit einer detaillierten Risikoabwägung einher und wird anhand dieser Diskussionspunkte abgehandelt:
Bei welchen Daten und Informationen, Systemen und Geschäftsabläufen besteht Bereitschaft, ihren Verlust oder ihre Beschädigung zu akzeptieren?
Wie sollten Investitionen zur Cyber-Risikominderung auf grundlegende und fortgeschrittene Schutzmaßnahmen aufgeteilt werden?
Welche Optionen stehen zur Verfügung, um bei der Minderung bestimmter Cyber-Risiken zu unterstützen?
Welche Optionen stehen zur Verfügung, um bei der Übertragung bestimmter Cyber-Risiken zu unterstützen?
Wie sollten die Auswirkungen von Cyber-Sicherheitsvorfällen bewertet werden?
Gegenüber dem Manager Magazin betont IT-Fachanwalt Lutz Martin Keppeler, wie wichtig die IT-Abteilung in diesem Zusammenhang ist. Ihr fällt die Aufgabe zu, "genau zu analysieren, welche Systeme relevant sind und in welcher Zeit sie wiederhergestellt werden können." Außerdem müsse sie sicherstellen, dass das IT-System des Unternehmens den vorgegebenen Anforderungen an IT-Sicherheit der Versicherer entspricht.
Welche Sicherheitsstandards sollten Unternehmen im Vorfeld erfüllen?
Die Versicherer bieten Policen nach unterschiedlichen Kriterien an. Als Faustregel gilt: Je sensibler die gesammelten und verarbeiteten Daten sind, desto besser müssen sie geschützt werden.
Im Einzelnen rät der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) dazu, mindestens zehn allgemeine Sicherheitsstandards umzusetzen, die Versicherer in aller Regel voraussetzen:
Antivirenprogramme sind stets auf dem neuesten Stand zu halten.
Mindestens einmal wöchentlich muss eine Datensicherung erfolgen.
Updates und Sicherheits-Patches für Software und Plugins sind möglichst direkt nach dem Erscheinen einzuspielen.
Firmen-Server müssen durch eine Firewall sowie Security-Monitoring- und Intrusion-Prevention-Lösungen gesichert sein.
Firmen müssen IT-Administratorenzugänge einrichten und Zugriffsrechte strikt beschränken.
Individuelle Mitarbeiterzugänge sind mit eigenen Zugangsdaten einzurichten und Sammel-Accounts mit Standardpasswörtern zu vermeiden.
Anwender sollten dazu gezwungen werden, komplexe Passwörter zu benutzen (Mindestlänge, Ziffern, Groß/Kleinschreibung, Sonderzeichen, regelmäßige Änderung).
Mobilgeräte sowie Datenträger sind voll zu verschlüsseln und durch eigene Passwörter beziehungsweise Zwei-Faktor-Authentifizierung (2FA) zu sichern.
Manipulationen an der Sicherungskopie gilt es zu verhindern, indem sie physisch getrennt vom Server aufbewahrt wird. Bei kritischen Daten eigent sich die sogenannte 3-2-1-Regel: Drei Kopien sollten auf zwei unterschiedlichen Medien im Unternehmen und mindestens eine Kopie außerhalb des Unternehmens gespeichert sein.
Die Daten der Sicherungskopien sollten regelmäßig darauf gestest werden, ob sie tatsächlich wiederhergestellt werden können.
Um den Zustand der eigenen IT-Sicherheit zu ermitteln, bietet der Verband einen kostenlosen Cyber-Sicherheitscheck an. Umfang und Inhalt des Fragebogens passen sich den individuellen Risiken an. Am Ende jedes Abschnitts folgt eine Einschätzung, wie gut es um die IT-Sicherheit des Unternehmens bestellt ist und welche Verbesserungsmaßnahmen sich anbieten. Zudem zeigt der Test am Ende, wie andere Unternehmen abgeschnitten haben und in welchem Verhältnis das eigene Ergebnis zum Durchschnitt steht.
Weiterführende Maßnahmen für eine robuste IT-Sicherheit in Unternehmen bietet der IT-Grundschutz des BSI.
Welche ist die richtige Cyber-Versicherung?
Der GDV listet aktuell 42 Versicherer und deren Produktportfolios für spezielle Cyber-Versicherungen. Dementsprechend vielfältig und komplex sind die Angebote.
Als Orientierungshilfe haben die Versicherungsberater der Agentur Franke und Bornberg eine notenbasierte Bewertungsmatrix für Policen erarbeitet. Für den Mittelstand und kleine Betriebe schnitten Produkte von AIG, HDI, Hiscox und Markel mit "sehr gut" ab. Um eine gute oder sehr gute Bewertung zu erhalten, musste ein Tarif die folgenden Leistungen abdecken können:
Betriebsunterbrechung: Deckung von Ertragsausfällen;
Drittschäden: Deckung auch für immaterielle Schäden;
Mehrere Versicherungsverträge: keine Subsidiarität (durchgängiger Versicherungsschutz durch den Abschluss verschiedener Versicherungen bei unterschiedlichen Versicherungsgesellschaften) der Cyber-Deckung;
Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen);
Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als zwölf Monate nach Schadenfeststellung.
Der GDV beschreibt weitere allgemeine Service-Leistungen, die Cyber-Versicherungen standardmäßig abdecken sollten. Die Themen Betriebsunterbrechung sowie Drittschäden nennt der Verein ebenfalls und definiert sie näher.
Entschädigung bei Betriebsunterbrechung: Tagessatz, der für den entgangenen Gewinn entschädigt und laufende Kosten deckt. Beispielformel zur Berechnung des Tagessatzes: Tagessatz = Jahresumsatz / 365 Tage * Umsatzrendite + Jahreskosten / 365 Tage
Übernahme von Drittschäden: Entschädigung für Kunden, die von Datendiebstahl betroffen sind, und Abwehr unberechtigter Forderungen an das Unternehmen. Auch wenn Kunden nicht beliefert werden können und deshalb Schäden erleiden, springt die Versicherung ein.
Erstattung der Kosten für Datenwiederherstellung: Rekonstruktion und Wiederherstellung der Computersysteme.
Bezahlung der IT-Forensik: Analyse der Ursachen und Folgeschäden des Ausfalls sowie Sicherung von gerichtsfesten Beweisen.
Angebot einer Rechtsberatung für Datenschutzverletzung: Werden sensible Daten gestohlen, stellt die Versicherung Fachanwälte für die Korrespondenz mit Datenschutzbehörden und Betroffenen. Sie trägt auch die Kosten für die Beratung, ob der Datenschutz verletzt wurde.
Bezahlung eines Krisenkommunikators und von Call-Center-Kosten: Bei Bedarf vermittelt der Versicherer einen Krisenkommunikator, um Imageschäden zu minimieren. Nach Vereinbarung übernimmt er auch die Kosten für zeitweisen Call-Center-Einsatz zur Kundenberatung.
Was wollen Versicherer von Unternehmen wissen?
Ist eine passende Versicherung gefunden, wird diese beim Kunden die Risiken erfassen, anhand derer die Leistungen und Kosten definiert werden. Dies geschieht meist anhand eines Fragebogens, der je nach Versicherer und Unternehmensgröße unterschiedlich umfang- und detailreich ausfällt. Zum Vergleich: Der Fragebogen von Markel (PDF) für deren KMU-Produkt umfasst insgesamt vier Seiten, das Pendant der Gothaer (PDF) für Unternehmen zählt elf Seiten.
Einen guten Überblick, worauf es den meisten Versicherungen ankommt, bietet der unverbindliche Musterfragenbogen des GDV (PDF). Er umfasst allgemeine Fragen zum Geschäfts- und Risikofeld, die bestimmen, in welche von drei verschiedenen Risikokategorien das Unternehmen fällt. Dabei wird beispielsweise abgefragt, ob Daten Dritter verarbeitet, Dienstleister beauftragt oder automatisierte Produktionssysteme verwendet werden. Die Abschnitte zu den Kategorien vertiefen die Fragestellungen zu den jeweiligen Themen. Abschließend folgt ein Block mit Zusatzfragen zu bestimmten Aspekten, wie der Verwendung privater Geräte oder Details zum E-Commerce-Bereich.
Neben der Risikoeinschätzung dienen solche Fragebögen auch dazu, die "Sorgfaltspflichten" auf Seiten der Versicherungsnehmer festzulegen. Darunter fällt etwa die Einhaltung der oben genannten allgemeinen Sicherheitsstandards. Kommt es zum Schadensfall prüft der Versicherer, ob sein Klient die Compliance mit den Vorgaben eingehalten hat. Ist das nicht der Fall, kann die Regulierung ausbleiben. Um dem vorzubeugen, bietet es sich an, entweder regelmäßig manuell den Compliance-Status zu überprüfen, oder automatisierte Tools wie Netzwerk-Scanner einzusetzen, die beispielsweise laufend analysieren, ob alle Patches aktuell sind.
Auf welche Fallstricke müssen Unternehmen achten?
Der eingangs beschriebene Rechtsstreit zwischen Mondelez und Zurich macht deutlich, dass es bei Cyber-Versicherungen auf das Kleingedruckte ankommt.
Vor allem der standardmäßige Ausschluss von "kriegerischen Handlungen" aus den meisten Policen wird in der IT zunehmend problematisch. Malware, selbst wenn sie ursprünglich staatlich initiiert wurde, gelangt früher oder später auf die Marktplätze im Darknet und steht gewöhnlichen Kriminellen zur Verfügung. Es ist schwierig, staatliche Angriffe von denen der Trittbrettfahrer zu unterscheiden. Zwar liegt es an den Versicherern, im Zweifelsfall den Nachweis dafür zu erbringen, der Prozess kostet jedoch Zeit und Geld. Beides sind Ressourcen, die Unternehmen nach einem Zwischenfall oft nicht haben.
Die Betriebe sollten im Vorfeld mit dem Versicherer klären, wie in unklaren Fällen verfahren wird und welche Verzögerungen oder eventuelle Mehrkosten das mit sich bringt.
Weitere Fallstricke nennt die Agentur Franke und Bornberg in ihrem oben erwähnten Policen-Ranking.
Wirbt eine Versicherung damit, Cloud-Ausfälle und damit die dynamisch an den Bedarf angepassten IT-Dienstleistungen eines Unternehmens abzusichern, gilt es, die Details zu prüfen. Einige Angebote schließen beispielsweise SaaS-Dienste von der Deckung aus oder versichern nur Denial-of-Service (DoS)-Angriffe auf den Cloud-Anbieter. Zudem schränken einige Policen die Deckungssummen bei Angriffen auf Cloud-Betreiber und daraus resultierenden Unterbrechungen beim Versicherungsnehmer stark ein oder schließen solche Szenarien ganz aus.
Soll die Versicherung gegen vorsätzliche IT-Zwischenfälle schützen, die beispielsweise durch Innentäter passieren können, ist auch Vorsicht geboten. Der Cyber-Schutz der Allianz schützt in diesem Bereich zwar dagegen, wenn Mitarbeiter dem Unternehmen willentlich schaden (Daten löschen oder veröffentlichen), schließt aber Repräsentanten wie Geschäftsführer, Inhaber oder Vorstände aus. Bei Hiscox besteht ebenfalls Versicherungsschutz bei vorsätzlichen IT-Zwischenfällen durch Mitarbeiter. Laut Angaben des Versicherers sollen dabei auch Leiter der IT-Abteilung, die Rechtsabteilung oder das Risikomanagement mit eingeschlossen sein, obwohl diese von Hiscox als Repräsentanten definiert werden.
Die Prämienkosten orientieren sich an der Größe und dem Risikofaktor des Unternehmens sowie den jeweils vereinbarten Leistungen. Laut einem Bericht von Haufe ist hier ein Spanne von 500 bis über 100.000 Euro pro Jahr möglich. Einige Versicherer bieten Optionen, diese Kosten zu senken, wenn ein Unternehmen nachweisen kann, dass es alle geforderten Schutzmaßnahmen vor Vertragsabschluss umgesetzt hat. Auch Zertifizierungen gemäß anerkannter Standards wie beispielsweise der Richtlinie VdS 3473 zum Schutz von Cyber-Angriffen der VdS Schadenverhütung GmbH, können mitunter zu geringeren Prämien führen.
Je nach Branche kann der Versicherer sich auch weigern, eine Police abzuschließen, weil das Risiko zu hoch ist. Finanzdienstleister fallen meist in diese Kategorie.