3. Mai 2016

Cyber-Angriffe - so können Unternehmen sich vor Schäden schützen

Auch bei Industriepark-Unternehmen sind die zunehmenden Cyber-Angriffe ein brandaktuelles Thema! In aller Munde in der Region ist derzeit der Angriff auf den Rechner des Flughafen Kassel-Calden. Die Angriffe und Attacken auf Firmennetzwerke mit kriminellem Hintergrund häufen sich und sind schon längst im Mittelstand angekommen.
Insider gehen davon aus, dass alleine die Entwicklung der Schadsoftware mit der Bezeichnung „Loki“ ca. 20 Mio. USD gekostet hat. Aus dieser Annahme lässt sich erahnen welche Möglichkeiten den Angreifern und Initiatoren von Cyberattacken zur Verfügung stehen und die Vermutung dass hochgradig organisierte Kriminalität  die Angriffe finanziert ist sicher nicht von der Hand zu weisen.
Die schlechte Nachicht: Sich gegen Cyberattacken völlig zu schützen ist scher unmöglich.
Die gute Nachricht: Schäden die den Unternehmen aus solchen Attacke entstehen sind neuerdings versicherbar und vermeiden wenigstens finanzielle Folgen (bis hin zu Imageschäden).
Informationen hierzu erhalten Sie von Mario Murawski, Key Account Consultant bei der MRH Group Mesterheide unter der Rufnummer 0561 579885, email Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Lesen Sie zu dem Thema ein interessantes Interview mit Sabine Pawig-Sander, geschäftsführende Gesellschafterin und Mitbegründerin der Erichsen GmbH, die erläutert, welche Policen wirklich Sinn machen und warum eine Elektronik-Versicherung nicht vor Cyber-Schäden schützt.

Frau Sander, im Angesicht zunehmender Cyber- und IT-Risiken fällt es Laien schwer zu differenzieren, welche Versicherungen tatsächlich sinnvoll sind. Wenn ich eine Elektronik-Versicherung habe, umfasst diese dann auch Cyber-Schäden?
Nein, ganz und gar nicht! Und es gibt auch, wenn überhaupt, nur minimale Überschneidungen. Das ist auf den ersten Blick irritierend, denn man könnte vermuten, dass die Elektronik-Versicherung, bei der es ja ganz wesentlich um die Versicherung von Elektronik, also eben IT, geht, die Risiken aus dem Cyber-Raum doch abdecken muss.

Was deckt die Elektronik-Versicherung denn dann ab und wie unterscheidet sie sich von der Cyber-Versicherung?
Die beiden Deckungen unterscheiden sich ganz grundlegend: zum einen in der Definition des Versicherungsfalles, zum  anderen im Umfang der Entschädigungsleistungen. Die Elektronik-Versicherung ist eine Sachversicherung, das beutet vor allem, dass der Versicherungsfall durch den Eintritt eines Sachschadens markiert wird. Im Kern heißt das: Ist die Hardware zerstört, beschädigt oder abhandengekommen, ersetzt der Versicherer ihren Wiederherstellungs- oder den Wiederbeschaffungswert.

Man muss sich vergegenwärtigen, dass die Elektronik-Versicherung ihren zeitlichen Ursprung in den Siebzigerjahren hat. Damals gab es noch wenig Bewusstsein für die Bedeutung von Software und Daten, aus Risikosicht stand allein der Wert der IT-Anlagen selbst im Fokus. Erst viel später – und dies auch nur ganz allmählich – wurde klar, dass auch Daten und Programme schützenswerte und damit versicherungsrelevante Werte darstellen.

Wie machte sich das bemerkbar?
Als Annex zur Elektronik-Versicherung entstand die sogenannte Softwaredeckung. Über die Vereinbarung einer Klausel konnte der Versicherungsschutz – und kann es übrigens auch heute noch – auf weitere Gefahren erweitert werden, die nicht mehr mit einem Sachschaden in Zusammenhang stehen müssen. Versichert werden kann dann beispielsweise eine Beschädigung von Daten und Programmen durch höhere Gewalt oder vorsätzliche Programm- oder Datenänderungen durch Dritte in schädigender Absicht.

Programm- oder Datenänderungen durch Dritte in schädigender Absicht – ist das nicht der typische Cyber-Vorfall?
Ja, das stimmt. Doch es gibt in der Softwaredeckung leider einen zum Cyber-Risiko sehr weitgreifenden Ausschluss. Der Versicherer leitet ohne Rücksicht auf mitwirkende Ursachen keine Entschädigung für den Verlust, die Veränderung oder die Nichtverfügbarkeit der Daten oder Programme durch Programme oder Dateien mit Schadenfunktion wie beispielsweise Computerviren, Würmer, Trojanische Pferde. Damit ist diese Deckung in Bezug auf Cyber-Risiken nahezu gegenstandslos.

Ist die Softwareversicherung dann bedeutungslos?
Nein, sie deckt einfach nur einen anderen Teil des gesamten Risikos ab, zum Beispiel den Verlust von Daten und Programmen infolge eines Ausfalls der Stromversorgung; diese Gefahrenelemente sind in der Cyber-Versicherung noch nicht abgebildet. Ich gehe allerdings davon aus, dass sich hier in den nächsten Jahren noch deutliche Verschiebungen von Deckungsinhalten in Richtung Cyber ergeben werden.

Wie steht es um Datenschutzrechtsverletzungen?
Datenschutzrechtsverletzungen sind in der Elektronik-Versicherung, die ja ausschließlich auf die Wiederherstellungskosten gerichtet ist, kein Gegenstand der Deckung. Der Versicherungsfall „Abhandenkommen von Daten“ bedeutet in der Logik der Elektronik-/Softwaredeckung, dass die Daten für den Versicherten selbst nicht mehr zugänglich sind, in der Cyber-Versicherung ist dagegen auch dann ein Versicherungsfall gegeben, wenn die Daten zwar für den Versicherten weiterhin zugänglich sind, aber für einen unbefugten Dritten eben auch. Unter der Cyber-Deckung sind dann die auf den Versicherten nach einer tatsächlichen oder vermeintlichen Datenschutzrechtsverletzung zukommenden Aufwendungen versichert, wie beispielsweise die Benachrichtigungskosten für die Information der betroffenen Personen.

Jetzt haben wir über die unterschiedlichen Versicherungsfälle beider Sparten gesprochen. Sie sagten, auch Entschädigungsleistungen sind in der Elektronik-Versicherung ganz anders als in der Cyber-Versicherung geregelt?
Als Sachversicherung fokussiert die Elektronik-/Softwaredeckung ausschließlich auf die Wiederherstellungskosten für beschädigte oder abhandengekommene Daten und Programme. Besteht eine ergänzende Betriebsunterbrechungs- oder Mehrkostendeckung, dann sind auch Ertragsausfallschaden beziehungsweise die Mehrkosten im Umfang der Entschädigung eingeschlossen. Weitere Kostenpositionen wie Beschleunigungskosten für die Daten-Wiederherstellung oder Aufräumungs- und Bergungskosten können individuell in die Deckung eingeschlossen werden. Diese Komponenten umfassen auch die Entschädigungsleistungen in der Cyber-Versicherung, doch sie bieten noch weitere Leistungen wie eine Haftpflicht-Komponente zur Abwehr unberechtigter Schadenersatzansprüche, und Befriedigung berechtigter Schadenersatzansprüche.

Was bietet die Cyber-Versicherung außerdem?
Wichtig sind auch die Entschädigungen von Aufwendungen für Rechtsberatung, Krisenmanagement, IT-Forensik, PR-Maßnahmen und die Benachrichtigungskosten im Datenschutzrechtsverletzungsfall. Und last but not least natürlich die Assistance-Leistung im Versicherungsfall, gemeint ist eine 24-Stunden-Hotline im Schadenfall und die beratende Unterstützung im Krisenfall. Diesen erweiterten Service bietet die Elektronik-Versicherung nicht.

Also sprechen wir doch von zwei völlig unterschiedliche Versicherungssparten, die sich gut kombinieren lassen...
Genau. Die Elektronik- und Cyber-Versicherung ergänzen sich sehr gut, denn inhaltliche Überschneidungen sind in der Regel marginal.