Versicherungsexperte Jürgen Schwab Digitalisierung und Datensicherheit 23 Foto: Carlo Bansini Kosten für die Wahrung und Wiederherstellung der Reputation, Krisenberatung Betriebsunterbrechungsschäden Fortlaufende Kosten und Betriebsgewinn Definierte Mehrkosten Sonstige Deckungsbausteine Cyber-Kriminalität (zum Beispiel Fehlleiten von Geldern) Lösegeldzahlungen Sacheigenschäden Erfahrene Versicherungsexperten beraten dabei jedes Unternehmen individuell zum passenden Versicherungsschutz und eventuell notwendigen Ergänzungen, wie beispielsweise einer Vertrauensschaden-Versicherung. Kann ich Produktionsausfälle absichern? Gibt es hier Karenzzeiten, Selbstbehalte und weitere wichtige Aspekte? Schäden durch Betriebsunterbrechungen sind inklusive Mehrkosten versichert. Diese Mehrkosten umfassen beispielsweise Überstunden von Mitarbeitenden, die Nutzung fremder Anlagen und ähnliche Maßnahmen. Dabei gibt es generell entweder Wartefristen oder zeitliche Selbstbehalte und Haftzeiten von üblicherweise 180 Tagen. Welche Risikogruppen und Zielgruppen gibt es aus Sicht des Versicherers und warum? Eine klassische Zielgruppe oder spezielle Risikogruppen gibt es in der Cyber-Versicherung nicht, denn jeder Versicherer beurteilt Risikosituationen anders. Trotzdem können bestimmte Branchen natürlich als besonders kritisch beurteilt werden. Hierzu gehören beispielsweise die Rüstungsindustrie, Stadtwerke und Versorgungsbetriebe oder Medienunternehmen. Dies liegt zum einen an speziellen Compliance-Regelungen sowie an vergangenen Erfahrungen der Versicherer, zum anderen am sogenannten Exposure, also der Frage, wie hoch das Risiko für bestimmte Unternehmen ist. So sind Stadtwerke in Sachen ITSicherheit häufig schlecht aufgestellt. Gleichzeitig stehen sie, gemeinsam mit Universitäten und Medienunternehmen, oft im Fokus der Angreifer. Welche Voraussetzungen bestehen zum Abschluss einer CyberVersicherung? Die Voraussetzungen für den Abschluss einer Cyber-Deckung sind aktuell sehr hoch. Die Fachwelt nimmt derzeit einen stetigen Anstieg der Anforderungen der Versicherer an Art, Umfang und Komplexität der technischen und organisatorischen IT-Sicherheitsmaßnahmen wahr. Maßgeblich hierfür verantwortlich sind die stark angestiegenen Schadenzahlen und -höhen. Zudem sind die Versicherer inzwischen nicht mehr darauf angewiesen, Neugeschäft zu generieren, so dass inzwischen ein deutlich selektiveres und zurückhaltenderes Zeichnungsverhalten zu beobachten ist. Vor diesem Hintergrund ist die Erfüllung von Mindestanforderungen durch Unternehmen inzwischen ausschlaggebend: zum einen für die Bereitschaft der Versicherer zur Deckung von Risiken, zum anderen bei der Verlängerung bestehender Verträge. Gibt es Mindestanforderungen der Versicherer? Ja. Die Mindestanforderungen sind sehr umfangreich und abhängig vom Umsatz der Unternehmen. Zu den wichtigsten Punkten gehören jedoch jährliche Schulungen für Mitarbeitende, ein einheitliches Sicherheitskonzept für alle mitversicherten Unternehmen, klare Richtlinien für die Vergabe von Passwörtern und Rechten, die Einhaltung der DSGVO, die Einrichtung bestimmter technischer Funktionen rund um IT-Systeme und Netzwerke sowie ein ganzheitliches Back-up- und Notfallmanagement. Fast alle Versicherer führen eigene Penetrationstests vor Vertragsabschluss durch, das heißt, dass sie das Sicherheitsniveau der Kunden durch Experten einem Stresstest aussetzen. Kann man sich beim Thema CyberSicherheit zertifizieren lassen und was bringt das einem Unternehmer für die Versicherbarkeit? Es gibt im Bereich Cyber-Sicherheit ganz unterschiedliche Zertifizierungen. Diese geben den Versicherern aber nur erste Anhaltspunkte bezüglich der Qualität der IT-Sicherheit: Zwar lassen sich anhand der Anforderungen für die Zertifizierungen Rückschlüsse auf das Vorhandensein bestimmter Sicherheitsmaßnahmen ziehen. Trotzdem ist eine Zertifizierung keine Voraussetzung für die Versicherbarkeit und führt in der Regel auch nicht dazu, dass Versicherungsschutz leichter eingekauft werden kann. Interview: Torsten Laudien
RkJQdWJsaXNoZXIy NDE3NTI=