Cyber -ein vielfach unterschätztes Risiko?

Häufig hören wir im persönlichen Gespräch, dass die IT des Unternehmens an einen Dienstleister ausgelagert wurde. Und dieser Unternehmer hafte ja schließlich, wenn er seine Dienstleistung nicht vertragsgemäß erbringe und die IT im Unternehmen ausfalle. Aber ist das wirklich auch so?

 

 Nun, hier können wir nur antworten: "es kommt darauf an!"

 Aber auf was kommt es an? Zunächst gilt es hier einmal alle Dienstleistungsverträge auf entsprechende Haftungsregelungen zu überprüfen. Und: der Dienstleister haftet nur bei Vorliegen eines Verschuldenstatbestand. Ein Verschulden wird jedoch häufig nicht vorliegen, bzw. ein entsprechender Nachweis wird schwierig werden. Aber bevor hier ggf. dann ein langwieriger Rechtstreit geführt werden muss – dessen Ausgang dann noch ungewiss ist – lohnt sich die Absicherung derartiger Risiken über eine sog. Cyber-Police. Und gerade die Wiederherstellung der IT-Leistungsfähigkeit hat heute eine immer wichtigere Bedeutung für ein Unternehmen.

 

Und: verloren gegangene Daten, Betriebsunterbrechungen, Schadenersatzforderungen durch Kunden – eine Cyberattacke hat i.d.R. für die allermeisten Firmen ganz gravierende Folgen.

 

Eine Cyber-Police bietet darüber hinaus auch noch deutlich mehr: sie verhilft den Unternehmen auch durch zusätzliche Leistungen, die vorhandenen IT-Probleme schnell zu lösen und damit langwierige Folgeschäden zu vermeiden.

 

Was wird dabei versichert?

 

Eine Cyberversicherung bietet Schutz, wenn die Sicherheit des IT-Systems oder elektronisch gespeicherter Daten beim Unternehmen verletzt wurde – wenn z.B. Daten gestohlen, gelöscht, verschlüsselt, verändert, missbraucht oder unrechtmäßig veröffentlicht wurden. In einem derartigen Fall kann eine Cyberversicherung z.B. folgenden Schäden und Kosten ersetzen:

 

1. Cyber- und Daten-Eigenschaden

Das bedeutet Versicherungsschutz für die Beschädigung, Zerstörung, Veränderung, Blockierung oder den Missbrauch der IT-Systeme, Programme oder elektronischen Daten infolge eines Hacker-Einbruchs, einer Denial of Service (DoS) Attacke oder einer Infektion des IT-Systems durch Schadsoftware (Viren, Trojaner). Ein derartiger Versicherungsschutz versichert dabei auch die Kosten für die IT-Forensik und die Wiederherstellung von Systemen.

 

2. Cyber-Betriebsunterbrechung

Über diesen Baustein wird Versicherungsschutz für die Unterbrechung des Geschäftsbetriebes durch Ausfall der IT-Systeme in Folge von Viren und Schadsoftware, Hacker-Angriffen und Eingriffen Dritter in die Systeme des Versicherungsnehmers mit einem zeitlicher Selbstbehalt (z.B. 12 Stunden) geboten.

 

3. Cyber-Erpressung

Das ist der Versicherungsschutz für die Erpressung im Zusammenhang mit angedrohter oder bereits erfolgter Beschädi­gung, Zerstörung, Veränderung, Blockierung oder den Missbrauch der IT-Systeme, der Programme oder der elektronischen Daten.

 

4. Cyber-Vertrauensschaden

Versicherungsschutz bei Vermögenseigenschäden durch vorsätzliche Verwirklichung von Vermögensdelikten wie Betrug, Unterschlagung oder Diebstahl von Firmengeldern sowie Sachbeschädigung an den IT-Systemen.

 

5. Cyber-Haftpflicht

Auch dieser Baustein ist unverzichtbar: hierüber wird Versicherungsschutz für die Folgen aufgrund von Verstößen gegen die Cyber-Sicherheit, den Datenschutz sowie gegen Geheimhaltungspflichten und Datenvertraulichkeitserklärungen gewährt.

 

Wenn ein Unternehmen bereits einmal einer Cyberattacke ausgesetzt war, hat sich sehr schnell herauskristallisiert, dass die Folgen dieser Cyberattacke häufig sehr drastisch waren:

 

  • Informationspflichten gegenüber den Behörden und betroffenen Kunden mussten erfüllt werden. Hier leistet z.B. die Cyber-Police eine Hilfestellung!
  • Kundenaufträge gehen z.B. verloren oder können nur mit erheblicher zeitlicher Verzögerung bearbeitet werden. Hier leistet z.B. die Cyber-BU-Versicherung eine wertvolle Hilfestellung!
  • Die Buchhaltung kann nicht fortgeführt werden, so dass Rechnungen nicht geschrieben werden können. Hier leistet z.B. die Cyber-BU-Versicherung eine wertvolle Hilfestellung!
  • Bei einer Cyber-Erpressung hilft es vielfach, wenn der Versicherer eine aktive Unterstützung bei der Verhandlung mit den Erpressern übernimmt. Eine "Lösegeldzahlung" würde dann  unter den Versicherungsschutz fallen.
  • ….

 

Und noch ein weiteres Risiko besteht:

 

Eine nicht abgeschlossene Cyber-Deckung kann u.U. dazu führen, dass dies Managern ihren Job kosten kann. Denn ein Manager haftet dafür, wenn das Cyber-Risikomanagement im Unternehmen nicht stimmt. Erweisen sich die getroffenen Risikomaßnahmen (und dazu zählt auch der Abschluss einer Versicherungsdeckung) z.B. als lückenhaft, droht einem Unternehmensleiter schnell der Vorwurf des sog. Organisationsverschuldens. Und dies wiederum kann Schadenersatzansprüche des Unternehmens gegen seinen Manager auslösen.

 

Wir sind deshalb der Auffassung dass Cyber-Risiken zwischenzeitlich ein vielfach unterschätztes Risiko im Unternehmen darstellen. Deshalb sehen wir den Abschluss einer solchen Cyber-Police als unbedingt erforderlich an. Wenn Sie Fragen zu diesem Thema haben, zögern Sie bitte nicht, uns darauf anzusprechen.