Cyberversicherungen: Optimal abgesichert gegen Cyberkriminalität

Überall dort, wo sich neue Potenziale auftun, drohen auch neue Gefahren, die man so nicht immer auf dem Schirm hat. Im Zuge der voranschreitenden Digitalisierung ist Cyberkriminalität eine davon. Die volkswirtschaftlichen Schäden gehen in die Milliarden – ganz zu schweigen von der Reputation von Unternehmen, die in solchen Fällen Schaden nimmt. Wir haben uns mit einem Experten für Cyberversicherungen unterhalten: Matthias Herrmann von der Allianz Vertretung Herrmann aus Wilhelmshaven. 

Moin Moin, Herr Herrmann! Zunächst einmal: Seit wann gibt es Cyberversicherungen überhaupt?

Moin Moin! Also Cyberversicherungen selbst gab es zunächst nur als Nischenprodukt auf dem US-amerikanischen Markt. Das fing in den 1990er Jahren langsam an und änderte sich im Laufe der Zeit, je mehr Einfluss das Internet und die Digitalisierung auf Unternehmen nahm. Ab 2012 / 2013 wurde die Cyberversicherung sukzessive durch Allianz Global Corporate & Specialty SE (AGCS) und andere auf Größtkunden spezialisierte Versicherer auf den deutschen Versicherungsmarkt gebracht. Zunächst war eine Cyberversicherung nur für Konzernkunden gedacht, doch die Realität zeigte schnell, dass nicht nur große Unternehmen von Cyberrisiken betroffen sind. Also baute man das Wissen immer mehr in die Breite aus, sodass nach und nach auch mittlere und kleinere Unternehmen angesprochen werden konnten. Die Allianz Versicherungs-AG hat nach einigen Testfeldern ein eigenes CyberSchutz-Produkt seit dem 1.April 2017 im Markt. CyberSchutz gibt es seit dem 1.August 2018 für Betriebe bis 5 Mio. EUR in einer vereinfachten Antragsform als Festpreis-Matrix-Modell – offline und online.

Wer braucht eine heute Cyberversicherung – beziehungsweise, ab wann braucht man eine? 

Sie können sich sicher vorstellen, dass jeder Betrieb, der auf das Funktionieren einer IT-Infrastruktur angewiesen ist, auch von Cyberrisiken betroffen sein kann. Und damit ist auch schon ein Bedarf an einer Cyberversicherung gegeben. Auch Betriebe, die keinen digitalen Kontakt zur Außenwelt haben, sind nicht schutzlos unterwegs und haben Risiken, die versichert werden sollten. Man denke etwa nur einmal an den finanziellen Aufwand für Datenwiederherstellung oder den Schaden durch Betriebsunterbrechung, der nach Manipulation durch eigene Mitarbeiter entstanden ist – ist alles schon vorgekommen. Und selbst dann, wenn eine Fehlbedienung durch Mitarbeiter unabsichtlich geschehen ist, sind die Unternehmen mit einer Cyberversicherung gut abgesichert. Auch im Hinblick auf die DSGVO und Verstöße gegen datenschutzrechtliche Bestimmungen ist eine Versicherung gegen Cyberrisiken grundsätzlich für jedes Unternehmen interessant. Da brauchen zum Beispiel nur einmal Unterlagen mit personenbezogenen Daten im Restmüll zu landen.

Aber wie ist das, wenn ich schon eine sehr gute IT-Sicherheitsinfrastruktur, hier viel investiert habe und hohe Sicherheitsstandards im Unternehmen gelten – benötige ich da eine Cyberversicherung?

Zunächst einmal sind ohnehin gewisse Verhaltensweisen und technische Maßnahmen Voraussetzung, um überhaupt gegen Cyberrisiken versichert werden zu können. Das sind im Prinzip Basics, die auch im Bereich der Sachversicherung analog zu erfüllen wären – dort sind es entsprechend vorbeugende Maßnahmen für Brand- und Einbruchsschutz. Um auf die Frage zurück zu kommen: Zweifellos ja, denn es gibt keine Sicherheitsmaßnahmen, die einen vollkommenen Schutz anbieten. Selbst die besten IT-Sicherheitsexperten können dies nicht gewährleisten, weil sie nunmal auf due Software Dritter angewiesen sind. Dort sind aber Sicherheitslücken vorhanden. Das National Institut of Standards and Technology (U.S. Department of Commerce) unterhält sicherlich die umfassendste öffentlich verfügbare Dokumentation über Schwachstellen, und es sind seit der Aufzeichnung mehr als 100.000 Verwundbarkeiten registriert. Mehr als die Hälfte davon sind von schwerwiegender Art.

Das ist nur ein Punkt. Dann wären da auch die Fehler, die von Mitarbeitern begangen werden können – trotz höchster Standards. Klassischer Fall: Des versehentlich geöffnete Mail-Anhang. Sowas lässt sich einerseits schwer verhindern und letztlich kann ein Virus auch über vertraute Abnehmer, Kunden und so weiter eingespeist werden. Das haben etliche in der Öffentlichkeit bekannt gewordene Fälle gezeigt. Und da bereitet dann nicht nur der finanzielle Schaden große Sorgen. Ein Datenskandal hinterlässt auch Spuren am Ruf eines Unternehmens. Kurzum: Es gibt auch bei hohen Standards und in jeder Branche genügend Angriffsflächen, an denen Cyberkriminelle ansetzen können.

Welche Risiken und Angriffsflächen wären das und wie gehen Cyberkriminelle vor?

Die Risiken, angegriffen zu werden, unterscheiden sich nicht sonderlich von Branche zu Branche. Täter gehen da nicht branchenbezogen, sondern nach anderen Kriterien vor. Eins haben die allermeisten gemeinsam: Es geht um finanzielle Bereicherung. Und davon sind, um einmal auf Ihre Branche zu schauen, auch Windenergieanlagen und Windparks nicht ausgenommen. Cyberkriminelle durchkämmen alle möglichen Ziele nach Schwachstellen und gerade bei älteren Windparks, die kurzfristig nachgerüstet wurden, gibt es diese zuhauf. Im schlimmsten Fall verlieren die Betreiber dann nicht nur die Kontrolle über ihren Windpark sondern auch über ihre IT-Infrastruktur. Und ein Windpark, der nicht mehr gesteuert werden kann, muss für unbestimmte Zeit vom Netz. Stichwort: Betriebsunterbrechung.

Ansonsten schauen Cyberkriminelle auch nach offenen Netzwerken, wie es sie beispielsweise auf Baustellen gibt. Dort, fernab der Stadt, rechnet man selbst nicht unbedingt damit, Ziel eines Angriffs zu werden. Doch ihre IP-Adressen lassen sich, wenn man mit dem Internet offen verbunden ist, nach benutzter Hard- und Software auslesen. Darauf passend lassen sich die Sicherheitslücken finden. Für die Sicherheitslücken wählt man aus Foren die passenden Angriffsmuster aus. Ansonsten macht es aber auch die Masse: einfach mal viele Adressaten anschreiben, etwas mitschicken und irgendjemand wird schon etwas falsch machen.

Wenn dann jemand mal was falsch macht, welche nachhaltigen Folgen kann so ein Schadenfall mit sich bringen?

Natürlich drohen Schadenersatzansprüche von Kunden, gegebenenfalls anwaltlicher Schriftverkehr sowie auch eigene finanzielle Verluste durch eben erwähnte Betriebsunterbrechungen. Ist die Kommunikation intern wie extern nicht angemessen, so kann ein Cyberangriff aber auch Auswirkungen auf den Ruf des Unternehmens haben, was zu langfristigen Geschäftsverbindungsverlusten führen kann. Dort verlassen wir dann allerdings allmählich den Bereich der versicherbaren Risiken, denn: läuft das Computersystem wieder vollständig, dann endet zu diesem Zeitpunkt auch die Betriebsunterbrechung im versicherungstechnischen Sinne. Finanzielle Schäden lassen sich unkompliziert regulieren. Ein Reputationsschaden hingegen löst sich jedoch leider nicht über Nacht einfach in Luft auf.

Wie hoch können finanzielle Schäden ausfallen – was sind da Ihre Erfahrungswerte? 

Das kann recht unterschiedlich ausfallen. Je nach Unternehmensgröße sind innerhalb der Allianz-Gruppe (AGCS) Schäden zwischen 6.000 EUR und einer 7-stelligen Höhe reguliert worden. Da gibt es eine Menge Spielraum.

Wenn die Cyberversicherung dann einspringt: Was reguliert sie? Wie wird sich gekümmert?

Die Cyberversicherung leistet gesetzliche Schadenersatzansprüche. Zum Beispiel Ansprüche Dritter wegen Datenschutz- oder Vertraulichkeitsverletzungen, Ansprüche der Kreditkartenindustrie oder Ansprüche Dritter wegen Verzögerung der Leistung. Sie springt aber auch ein für eigene Kosten des Versicherten in puncto Datenwiederherstellung, Betriebsunterbrechungen,Information von Betroffenen oder für Mitarbeit und Abwehr bei behördlichen Verfahren wegen Datenschutzverletzungen. Gleichzeitig bietet sie Assistance durch Forensik, Krisenberater und eine 24/365-Hotline.

Bei manchen Versicherern ist es so, dass die Kunden für den Schadenfall vorab nur eine Kontaktliste mit Dienstleistern von ihnen erhalten. Bei uns ist das anders: Die Allianz steuert den Schadenfall von Anfang bis Ende mit Kollegen einer Allianz-Schwestergesellschaft namens metafinanz. Und diese befasst die sich seit knapp drei Jahrzehnten mit dem Thema IT-Sicherheit – sowohl für die Allianz-Gruppe als auch für Dritte. Nur die richtige Steuerung bringt sie bei einem Schadenfall ans Ziel. Sie ist vergleichbar mit einem guten Bauleiter beim Hausbau oder einem guten Partner bei einem Auto-Unfall im Ausland.

Was für einen Schadenfall haben Sie in letzter Zeit reguliert, haben Sie da ein Beispiel?

Bei einem der jüngeren Fälle haben wir für einen Herstellungsbetrieb einen Verschlüsselungstrojaner beseitigt, Daten wiederhergestellt und den Betrieb wieder ans Laufen gebracht. Bis die letzten Feinheiten bereinigt waren – der Betrieb war dann teilweise wieder angelaufen – vergingen 2 Wochen. Der Schaden betrug etwas über 80.000 EUR.

Zu guter Letzt: Welche Tipps für mehr IT-Sicherheit können Sie geben?

Seine Schwachstellen ausfindig machen! Ein erster Schritt liegt im Ausfüllen eines Risikochecks mit 26 Fragen, den wir anbieten. Dort gibt der Kunde eine Selbsteinschätzung zu diversen Themen ab. Im Rahmen eines Ratings können sodann etwaige Problemfelder aufgezeigt werden. Diese sollten dann mit einem IT-Spezialisten besprochen werden. Das kann der Kunde in Eigenregie machen oder aber wir vermitteln ein Unternehmen.