Have any questions?
+44 1234 567 890
Cyberversicherungen
Die Folgen der Cyberkriminalität können mitunter gravierende Folgen haben: Von der Sperrung eines einzelnen PCs bis hin zur Verschlüsselung aller Daten des gesamten Systems - inklusive Backups. Man muss nicht viel Fantasie haben, aber gehen sämtliche Produktions- oder Konstruktionspläne, Angebote, Rechnungen, Mitarbeiterdaten, Dokumente verloren - hat man als betroffenes Unternehmen ein echtes Problem. Entsprechend bezifferte die BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) in einer Studie den durch Cyberkriminalität verursachten Schaden für das Jahr 2017 auf 55 Mrd. €.
Ebenso führt die o.g. Studie auf, dass innerhalb von zwei Jahren mehr als die Hälfte der Unternehmen in Deutschland Opfer von Cyberkriminalität wurden. Damit ist das Risiko, Opfer der Cyberkriminalität zu werden, höher anzusiedeln als manch anderes Risiko (etwa Feuer oder Einbruch), wogegen ein Unternehmen i.d.R. versichert ist. Die Abdeckung des Risikos durch Cyberkriminalität über eine Versicherung scheint daher nur konsequent.
Cyberkriminalität als neuer Versicherungsmarkt
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat auf das Thema Cyberkriminalität im Jahr 2017 mit den "Musterbedingungen für Cyberversicherungen" reagiert. Dies animierte zahlreiche Versicherer in diesen Markt einzusteigen, woraus in Folge eine wahre Flut von neuen Produkten resultierte.
Das Leistungsspektrum dieser Policen sollen i.d.R. alle Kosten abdecken, die im Kontext von Cyberkriminalität entstehen: Beginnend bei der Schadensanalyse über Krisenmanagement, Wiederherstellung der IT bis hin zum Ertragsausfall. Wenn jetzt noch Prämie und das Kleingedruckte passen, scheint eine solche Versicherung angesichts von Schadensrisiko und -höhe eine feine Sache zu sein.
Die Selbstauskunft
Vor Abschluss eines entsprechenden Versicherungsvertrag ist in der Regel eine Selbstauskunft erforderlich. Die zu beantwortenden Fragen unterscheiden sich von Anbieter zu Anbieter - Sie reichen vom Jahresumsatz über "Führen Sie regelmäßige Datensicherungen durch?" bis hin zu "Haben Sie an externen Schnittstellen eine mehrstufige Firewall-Architektur, die sich aus Systemen verschiedener Anbieter zusammensetzt?".
Will man seinen Versicherungsschutz später nicht gefährden, müssen die Fragen natürlich - wie bei anderen Versicherungen auch - korrekt beantwortet werden. Dies ist bei Fragen wie der letztgenannten gar nicht so einfach. Wer etwa die oben zuletzt genannte Frage mit "haben Sie eine Firewall?" interpretiert und entsprechend mit "Ja" beantwortet, hat später möglicherweise ein Problem - denn eine "mehrstufige Firewall-Architektur, die sich aus Systemen verschiedener Anbieter zusammensetzt" leistet sich kaum ein Unternehmen.
Weitaus häufiger sind Router mit allenfalls rudimentärer Firewall-Funktionaliät (etwa Fritzbox und Co) im Einsatz. Das war vor einigen Jahren zwar noch ausreichend, verglichen mit heutigen Firewalls haben diese aber soviel gemeinsam wie ein Bobbycar mit einem Auto.
Knackpunkt: Die Versicherungsbedingungen
Liest man die Versicherungsbedingungen eines Vertrags durch, ist von der Selbstauskunft oft kaum mehr die Rede. Vielmehr scheint jetzt alles ganz einfach: Als technische Voraussetzungen wird oft nur eine Backuplösung, der Einsatz einer Firewall, regelmäßige Updates und ein aktueller Virenscanner genannt.
Das sind Dinge, die heute jedes Unternehmen vorweisen kann. Selbst wer einen Internetrouter für 50 € kauft, wird im Werbeprospekt des Routers den Begriff einer "integrierten Firewall" finden. Dazu noch Windows-Updates auf Automatik stellen, ein kostenloser Antivrenschutz und eine kleine NAS als Backup - schon hat man die technischen Voraussetzungen für den Abschluss einer Versicherung, die im Schadensfall alle Kosten übernimmt? Wohl eher nicht.
Im berühmten Kleingedruckten steht bei den Allgemeinen Vertragsbedingungen des GDV z.B.:
...Der Versicherungsnehmer hat vor Eintritt des Versicherungsfalls alle vertraglichen Obliegenheiten einzuhalten.... Dazu gehört insbesondere, dass die informationsverarbeitenden Systeme mit einem zusätzlichen Schutz gegen unberechtigten Zugriff ausgerüstet sind, wenn diese einem erhöhten Risiko ausgesetzt sind. Ein erhöhtes Risiko besteht bei Geräten, die über das Internet erreichbar, oder im mobilen Einsatz sind. Zusätzliche Schutzmaßnahmen können z. B. sein: Firewall, 2-Faktor-Authentifizierung bei Servern, Verschlüsselung von Datenträgern mobiler Geräte, Diebstahlsicherung oder ähnlich wirksame Maßnahmen
Diese Formulierung erlaubt einen erheblichen Spielraum - sowohl für das Unternehmen als auch für den Versicherer. Das liegt daran, dass zwar Schutzmaßnahmen aufgeführt werden, diese aber nicht spezifiziert sind. Welche "zusätzlichen Schutzmaßnahmen" für ein Unternehmen erforderlich sind, wird man daher wohl erst im Schadensfalle klären. Dabei wird mit Sicherheit die Frage nach einer „angemessenen Lösung“ auftauchen. In diesem Kontext wird man rasch zu den Empfehlungen des Bundesamts für Informationssicherheit oder zur DIN ISO 27001 gelangen. Folgt man den dortigen Empfehlungen bzw. Vorgaben, wird man in kürzester Zeit zu IT-Strukturen gelangen, die m.E. – insb. im finanziellen Aufwand - mit dem gesunden Menschenverstand kaum vereinbar sind.
Zahlenspiele
Die Prämien der Cyberversicherungen sind meist Branchen- und Umsatzabhängig und bewegen sich (soweit unsere bisherigen Erfahrungen) meist in Regionen von 1.000 bis 2.000 € pro Jahr und Mio Umsatz. Im Schadensfall kommt dann noch meist ein Selbstbehalt in ebensolcher Höhe hinzu.
Dieser Betrag erscheint auf den ersten Blick recht überschaubar, setzt man ihn in Relation zu dem durch Cyberkriminalität lt. Bitkom jährlich verursachten Schaden. Den größten Schadensanteil hiervon tragen Unternehmen - Privatpersonen werden zwar auch geschädigt, allerdings in einem vergleichsweise geringen Umfang.
Zur Bewertung dieser Versicherungsbeiträge soll nachfolgende Überlegung dienen:
- Der jährliche Umsatz aller Unternehmen in Deutschland liegt lt. Statista bei etwa 6.3 Billionen €.
- Bei einem angenommenen Schaden von jährlich 55 Mrd. € (Wert in 2017 lt. o.g. Studie der BITKOM) ergibt sich somit pro Milion Umsatz ein Schaden in Höhe von ca. 8.600 € pro Jahr.
- Folgendes Szenario: Alle Unternehmen hätten eine Versicherung mit oben genannten Zahlen (Jahresprämie und Selbstbehalt je 2.000 € pro Mio Umsatz) und alle Unternehmen wären Opfer eines Cyberangriffs.
In diesem Szenario entstünde für die Versicherungsgesellschaften nach Abzug ihrer Einnahmen durch die Policen und unter Berücksichtigung des Selbstbehalts durch die Unternehmen ein jährlicher Verlust in Höhe von rund 30 Mrd. €. Das wären Schadensdimensionen, die für die Versicherer selbst die Folgen von 9/11 übertreffen würden - und zwar jährlich!
Die Suche nach der Wahrheit
Wenn Sie nun sagen: "Obige Zahlenspiele ist eine Milchmädchenrechnung! Wäre dem so, würden die Versicherer in den Markt nie einsteigen!" - dann haben Sie recht. Es ist mir durchaus bewußt,
- dass die Schadenshöhe nur eine Schätzung ist,
- dass ein Szenario, bei dem alle Unternehmen versichert und zudem in gleichem Maße betroffen sind, nie in der Realität auftreten wird,
- dass es Branchen gibt, bei denen der Ansatz, dass sich die Prämien immer zwischen 1.000 € und 2.000 € pro Mio. Umsatz liegen, nicht greift.
Der Knackpunkt: Tatsächlich weiß niemand so richtig, wie hoch die Schäden durch Cyberkriminalität wirklich sind. Zweifelsohne genießt die Bitkom - als Branchenverband der Informations- und Telekommunikationsbranche, die über 2.700 Unternehmen vertritt - ein hohes Ansehen. Daher arbeiten sowohl das Bundeskriminalamt (BKA) als auch das Bundesamt für Informationssicherheit (BSI) eng mit der BITKOM zusammen. Was jedoch die Schäden durch Cyberkriminalität angeht, gibt es sehr diametrale Sichtweisen:
Das BKA bezifferte die im Jahr 2017 durch Computerbetrug gemeldeten versachten Schäden auf eine Schadenssumme von lediglich 71 Mio. €. Das ist ein Bruchteil jener 55 Mrd. €, welche die BITKOM ansetzt. Entsprechend schrieb das BKA in ihrem Cybercrime Bundeslagebild 2017:
"Aussagen zur tatsächlichen Kriminalitätsbelastung lassen sich alleine auf Grundlage der Polizeilichen Kriminalstatistik nicht treffen, da die Anzahl der tatsächlich begangenen nicht polizeilich bekannt gewordenen und erfassten Straftaten um ein Vielfaches höher liegen dürfte."
und verweist auf die Studie der BITKOM mit den 55 Mrd. € Schaden. Wo auch immer die Wahrheit liegt: Die Differenz zwischen 71 Mio. und 55 Mrd. € ist nicht unerheblich - und birgt für die Versicherer enorme Risiken. In Folge dessen ist noch viel Dynamik in dem Markt: Versicherungungsbedingungen und Leistungsumfang ändern sich bei einigen Versicherern im Monatsrhytmus.
Es wird spannend werden, ob geschädigte Unternehmen künftig ihre Schäden ihren Gesellschaften melden werden - bzw. ob sie überhaupt in der Lage sind, ihre Schäden zu beziffern. Dass letzteres nicht einfach ist, darauf weist auch das BKA hin. Selbst wenn dies gelingen sollte, haben die Versicherer immer noch die Hintertür in Form von Policen und Vertragsbedingungen, die erheblichen Interpretationsspielraum lassen.
Fakt ist: Sollten sich die Zahlen der BITKOM-Studie auch nur ansatzweise bewahrheiten, so wären m.E. die Versicherungsgesellschaften im Ernstfall darauf angewiesen, im Schadensfall Gründe zu finden, die eine Zahlung verhindern oder zumindest reduzieren. Die in großem Maße interpretierbaren Vertragsbedingungen tragen sicher nicht unerheblich dazu bei, dass dies den Versicherern auch gelingen würde.
Wenn am Ende die geschädigten Unternehmen auf dem größten Teil des Schaden sitzenbleiben würden, weil man ihnen - richterlich bestätigt - eine Verletzung der "unternehmerische Sorgfaltspflicht" nachweisen konnte - wundern würde mich das nicht.
Fazit und Empfehlung
So sinnvoll eine Versicherung gegen Cyberrisiken auf den ersten Blick erscheint: Bei genauerer Betrachtung ist längst mich er alles so überschaubar und kalkulierbar - weder für den Versicherten, noch für den Versicherer. Was also tun?
Im Risikomanagement steht der Risikotransfer - die Übertragung eines (Rest)Risikos auf Dritte, etwa Versicherungen - ziemlich am Ende. Davor stehen Maßnahmen zur Risikovermeidung und Risikominimierung. Diese Vorgehensweise scheint m.E. auch beim Thema Cyberkriminalität angebracht. Die zu empfehlende Vorgehensweise wäre damit wie folgt:
Implementierung eines angemessenen Sicherheitskonzepts mit entspr. technischen und organisatorischen Maßnahmen. Dabei sollte - unter Miteinbeziehung des "gesunden Menschenverstands" - eine Sicherheitsstrategie umgesetzt werden, die den Risiken angemessen gerecht wird. Ist diese Voraussetzung erfüllt, spricht nichts dagegen, eine Cyberversicherung "on-top" abschließen. Möchte man dies tun, empfehlen wir folgende Vorgehensweise:
- Die Selbstauskunft wahrheitsgetreu durchführen.
- Dem Versicherer eine detailierte Aufstellung der im Unternehmen umgesetzten Sicherheitsmaßnahmen übermitteln.
- Der Versicherer soll dann eine Police aufsetzen, die auf Basis dieser konkret genannten Maßnahmen bei einem Schaden greift und die entstehenden Kosten übernimmt.
- In der Police selbst müssen die unternehmensspezifischen konkreten Maßnahmen als Vertragsbestandteil (Annex) schriftlich festgehalten werden.
- Klare Definition, wie die Schadenshöhe im "Falle X" ermittelt wird - insbesondere wenn die Versicherung auch Ertragsausfall kompensieren soll.
Ziel dieser Übung muss sein, dass auslegungsgeeignete Punkte im Vertrag bzw. den Versicherungsbedingungen konkreten Maßnahmen weichen, die - im Idealfall - keine späteren Interpretation erlauben. Letztendlich sollte die - wie in den Prospekten stets zu lesen ist "unbürokratische und problemlose Regulierung" auch tatsächlich zu erwarten sein.