Cyber-Risiken versichern? Wir haben nachgefragt
Was ist eine Cyber-Versicherung und für wen macht eine solche Versicherung überhaupt Sinn? Genau diese Fragen haben wir uns vor Kurzem im Team gestellt. Und was bietet sich besser an, als bei den Experten und Expertinnen aus der Nachbarschaft nachzufragen. Die exali AG, die 2008 gegründet wurde und den Sitz wie wir in Augsburg hat, bietet Berufshaftpflichtversicherungen für Selbstständige, Freiberufler und Freiberuflerinnen sowie Unternehmen in den Bereichen IT, Ransomware E-Commerce, Medien und Beratung an.
Im Interview hat uns Ralph Günther, Gründer & CEO von exali, Antworten auf unsere Fragen bezüglich der Absicherung gegen Cyber-Risiken gegeben. Als einer der Vorreiter im Online-Versicherungsbusiness hat der Experte aktiv an der Verbesserung des Versicherungsschutzes für Selbstständige, Freiberufler und Freiberuflerinnen mitgewirkt und neue Leistungserweiterungen am Markt eingeführt. Sein Wissen gibt er regelmäßig als Fachautor weiter und wir freuen uns, dass er es heute mit uns und unseren Lesern und Leserinnen teilt.
Boxcryptor: Für wen beziehungsweise für welches Unternehmen ist eine Cyber-Versicherung sinnvoll?
Ralph Günther: Aus meiner Sicht ist für jeden Selbständigen und jedes Unternehmen eine Absicherung von Cyber-Risiken sinnvoll. Unsere Erfahrung bei exali zeigt, dass Unternehmen jeder Größe und aus jeder Branche Opfer von Hackerangriffen und Malware werden. Während große Unternehmen die finanziellen Folgen eines mehrtägigen Systemausfalls vielleicht noch abfedern können, gerät bei kleinen Unternehmen oder Selbständigen schnell das gesamte Business in Gefahr. Eine Cyber-Versicherung schützt vor diesem finanziellen Risiko und trägt auch die Kosten, um bei einem Cyberangriff das Geschäft am Laufen zu halten und die Systeme wiederherzustellen.
Wie viel Prozent der deutschen Unternehmen haben bereits eine Cyber-Versicherung abgeschlossen? Sind wir eher Versicherungsmuffel oder Versicherungsfreund?
Ralph Günther: Ich kann natürlich nicht für den gesamten Versicherungsmarkt sprechen, aber bei exali haben rund 26 Prozent unserer Versicherungsnehmer den Zusatzbaustein für Cyber-Eigenschäden zu ihrer Berufshaftpflicht hinzugewählt.
Allgemein kann ich aus meiner Erfahrung sagen, dass leider immer noch viele Unternehmen die Gefahr unterschätzen, die von Cybercrime ausgeht und denken „mich trifft es schon nicht.“ Außerdem meinen viele, eine gute Absicherung gegen Cybercrime sei zu teuer. Abgesehen davon, dass dies nicht stimmt, ist ein Hackerangriff und der damit verbundene Schaden viel teurer.
Welche Leistungen sollte die Versicherung abdecken?
Ralph Günther: Eine gute Cyber-Versicherung sollte auf jeden Fall die Kosten tragen, um Ihre Systeme nach einem Hackerangriff zu bereinigen und wiederherzustellen. Dazu gehören auch die Kosten für die Nutzung fremder IT-Systeme, damit Sie Ihr Geschäft weiterführen können. Da immer mehr Cyber-Kriminelle ein Lösegeld verlangen, damit sie die verschlüsselten Daten freigeben, sollte eine gute Versicherung auch dieses übernehmen, wenn alle anderen Optionen nicht zum Erfolg führen. Da ein Hackerangriff auch das Image eines Unternehmens schädigen kann, wenn z. B. Kundendaten verloren gehen, sollten auch die Kosten für Krisen-PR von der Versicherung bezahlt werden.
*Quelle: exali AG
Welche Leistungen werden schon von anderen Versicherungen wie Rechtsschutz oder Haftpflicht abgedeckt?
Ralph Günther: Bei exali ist in jeder Berufshaftpflicht als fester Bestandteil der Versicherungsschutz für sogenannte Daten- und Cyber-Drittschäden enthalten. Das heißt, die Berufshaftpflichtversicherung sichert Sie automatisch ab, wenn durch einen Hackerangriff auf Ihr Unternehmen jemand anderes geschädigt wird. Das kann zum Beispiel passieren, wenn Daten Ihrer Kunden verloren gehen und von den Cyberkriminellen für Betrugszwecke missbraucht werden. Dann wird der Geschädigte, in dem Fall Ihr Kunde, Schadenersatz von Ihnen verlangen und den bezahlt dann die Versicherung.
Eine Rechtsschutzversicherung übernimmt grundsätzlich keine Schadenersatzzahlungen, sondern nur die Kosten für die rechtliche Auseinandersetzung, zum Beispiel Rechtsanwalts- und Gerichtskosten. Da das Risiko jedoch viel höher ist, dass Sie als Selbständiger bei einem anderen einen Schaden verursachen oder Ihnen selbst ein Schaden entsteht, kann eine Rechtsschutzversicherung maximal Teilbereiche eines Cyberschadens abdecken und ist daher aus meiner Sicht kein ausreichender Schutz vor Cyber-Risiken und deren finanziellen Folgen.
Was sind potenzielle Sicherheitsrisiken?
Ralph Günther: Zum einen steigt die Gefahr, sich Malware einzufangen. Die Cybercrime-Fälle steigen jedes Jahr an und Cyberkriminelle nehmen zunehmend auch kleine Unternehmen ins Visier – und sie werden immer kreativer. Eine Phishing-Mail zu erkennen, ist heutzutage viel schwieriger als noch vor ein paar Jahren. Zum anderen sind wir sowohl im Privatleben als auch als Unternehmen immer mehr vernetzt, intern, aber auch mit externen Dienstleistern oder Auftraggebern. Den Überblick über die IT-Sicherheit zu behalten, wird dadurch immer schwieriger.
Auch die Datenmenge, die wir speichern, wird immer unübersichtlicher und damit zum Risiko, Stichwort: Big Data. Denn die Daten, die verarbeitet werden, müssen auch ausreichend gesichert werden. Das geht nur mit einem umfassenden Sicherheitskonzept. Auch Clouds können zum Sicherheitsrisiko werden, vom Zugang über die Übertragung bis zur Speicherung der Daten. Und letztendlich ist auch der Faktor Mensch ein Risiko. Ohne dass jeder Selbständige und alle Mitarbeiter in einem Unternehmen für das Thema IT-Sicherheit sensibilisiert sind, geht es nicht. Denn Social Engineering Attacken, zum Beispiel Phishing Mails, setzen darauf, dass Menschen einen Fehler machen und der Schadsoftware sozusagen die Tür öffnen. Genauso verhält es sich bei der Passwortsicherheit oder dem Umgang mit Datenträgern oder privaten Geräten, die ans Firmennetz angeschlossen werden.
Nach Ihrer Erfahrung als Versicherer: Was sind die meisten Schadensfälle? Wo kommt es häufig zu Vorfällen?
Ralph Günther: Häufig kommt es vor, dass Versicherungsnehmer sich Schadsoftware einfangen, beispielsweise, weil sie verseuchte E-Mail-Anhänge öffnen. Oft werden IT-Systeme gehacked und lahmgelegt. Aber auch DDoS-Angriffe kommen häufiger vor. Dabei wird ein bestimmter Dienst so lange mit Anfragen bombardiert, bis dieser nicht mehr funktioniert. Irgendwann ist dann die IT-Infrastruktur so überlastet, dass gar nichts mehr geht. Dann wird vom betroffenen Unternehmen ein Lösegeld verlangt, damit die blockierten Systeme wieder freigegeben werden. Neuerdings haben wir auch einige Fälle von illegalem Krypto-Mining, das heißt, die Rechenleistung unserer Versicherungsnehmer wurde gekapert, um dann Krypto-Währung zu generieren.
Können Cyber-Versicherungen bei Datenpannen helfen? Und wenn ja, wie?
Ralph Günther: Auf jeden Fall. Dabei gibt es zwei Szenarien und (zumindest bei exali) zwei Lösungen.
Szenario 1: Durch einen Hackerangriff bei Ihnen werden Kundendaten gestohlen. Dann wird der Kunde von Ihnen Schadenersatz verlangen, zum Beispiel wenn er durch den Datenverlust ein DSGVO-Bußgeld aufgebrummt bekommt. Diesen Schadenersatz übernimmt dann Ihre Versicherung.
Szenario 2: Ihre eigenen Daten gehen verloren. Das ist dann ein sogenannter Eigenschaden. Diesen können Sie mit einem Zusatzbaustein absichern. Dann übernimmt der Versicherer zum Beispiel die Kosten für IT-Spezialisten, um Ihre Systeme zu bereinigen, aber auch Kosten, die anfallen, um Ihr Geschäft währenddessen am Laufen zu halten, zum Beispiel die Nutzung fremder IT-Systeme. Aber auch Kosten für Krisen-PR oder spezialisierte Anwälte werden, wenn nötig, übernommen.
Gibt es kuriose Versicherungsfälle, von denen Sie berichten können?
Ralph Günther: Da fallen mir spontan zwei Fälle ein. Den ersten betraf eine Anwalts-Kanzlei, die bei uns versichert ist. Diese hat eines Tages am frühen Morgen festgestellt, dass eine Buchhaltungssoftware nicht mehr funktionierte und Druckaufträge ungewöhnlich lange dauerten. Es stellte sich dann heraus, dass einen Tag zuvor Hacker einen Bitcoin-Miner auf dem Server der Kanzlei installiert hatten und die Rechenleistung der Kanzlei-Rechner für illegales Kryptomining verwendeten. Bis die Anwälte wieder wie gewohnt arbeiten konnten, dauerte es mehrere Tage.
Der andere handelt vom sogenannten Fake-President-Trick, bei dem sich Cyberkriminelle zum Beispiel als Vorstand eines Unternehmens ausgeben und dann Daten von Mitarbeitern abfragen. In dem Fall hatte sich ein vermeintlicher Firmen-Vorstand bei einem Mitarbeiter gemeldet und ihn beauftragt, Geschenkkarten für den Google Play Store zu kaufen. Der Mitarbeiter hat letztendlich Karten im Wert von 1.500 Euro gekauft und dem angeblichen CEO die Codes geschickt. Ich muss wohl nicht dazu sagen, dass es sich nicht um den echten CEO des Unternehmens handelte…
Was ist in etwa die durchschnittliche Schadenssumme?
Ralph Günther: Allgemein kann ich sagen, dass Schäden, die durch Cyberkriminalität verursacht werden, schnell mehrere 10.000 Euro kosten können. Das liegt zum einen daran, dass IT-Forensiker teuer sind und es viel Geld kostet, betroffene IT-Systeme wieder zum Laufen zu bringen oder komplett neu aufzusetzen. Zum anderen verlangen Cyberkriminelle natürlich hohe Summen an Lösegeld.
Wer kümmert sich um die Versicherung? Arbeitnehmer oder Arbeitgeber?
Ralph Günther:
Natürlich sollte sich in erster Linie jeder Arbeitgeber als Unternehmer im Rahmen eines guten Risikomanagements um die Absicherung beruflicher Risiken wie Cyberrisiken für sein Unternehmen kümmern.
Als normaler Angestellter brauchen Sie keine eigene Berufshaftpflicht oder spezielle Cyberversicherung, denn dann sind Sie haftungsprivilegiert, das heißt, wenn Sie einen Fehler machen, haftet nach außen das Unternehmen. Das gilt aber nicht für Angestellte in Sonderfunktion im Unternehmen, zum Beispiel Datenschutz- oder Compliance-Beauftragte, und natürlich nicht für die Organe eines Unternehmens wie Vorstände oder Geschäftsführer. Die müssen dann ggf. selbst aktiv werden und sich um geeigneten Versicherungsschutz für Ihre persönlichen Risiken kümmern. Auch in besonders schweren Fällen, insbesondere bei Vorsatz, gilt das Haftungsprivileg nicht mehr und das Unternehmen kann den Mitarbeiter in Regress nehmen. Bei Vorsatz, also der wissentlichen Herbeiführung von Schäden, hilft dann aber auch keine Versicherung mehr.
Wenn Sie selbständig sind, müssen Sie sich natürlich um Ihre Berufshaftpflicht und Cyberabsicherung selbst kümmern. Und dann ist diese auch dringend nötig, denn Sie haften für Fehler immer persönlich und mit Ihrem Privatvermögen.
Was kostet eine Cyber-Versicherung?
Ralph Günther: Die Cyber-Versicherung als eigenständige Lösung startet bei exali bei 176 Euro im Jahr zzgl. Versicherungssteuer bei einem Jahresumsatz bis 100.000 Euro und einer Versicherungssumme von 100.000 Euro.
Der Zusatzbaustein, den Sie zu Ihrer Berufshaftpflicht optional hinzuwählen können, startet bei rund 58 Euro jährlich zzgl. Versicherungssteuer.
__Wir bedanken uns bei Ralph Günther und dem Redaktionsteam von exali für die Auskunft und den spannenden Einblick. __
Weitere Informationen zu den verschiedenen Versicherungen gibt es auf der Website und dem Blog von exali.