Großangelegte Cyber-Attacken mit Ransomware wie „WannaCry“ oder “NotPetyra“ legten Firmenrechner lahm, griffen in Steuerungsprozesse ein und zerstörten viele Daten mit einer Verschlüsselungs-Software unwiderruflich. Bei einigen Unternehmen war wochenlang der Betriebsablauf gestört und musste die Produktion gestoppt werden. Insbesondere für kleine und mittelständische Unternehmen (KMU) kann ein solcher Schaden schnell existenzgefährdend werden. Deshalb ist es empfehlenswert, mit einer Cyber-Versicherung vorzusorgen.
Die Ratingagentur Franke und Bornberg testete nun erstmals gewerbliche Cyberpolicen für den deutschen Markt, die sich gezielt an kleinere und mittelständische Unternehmen wenden. Die gute Nachricht: ein breites Marktangebot ist durchaus vorhanden. Untersucht wurden 35 Tarife und Bausteinlösungen von 28 Anbietern. Das Fazit: Neue Risiken stellen auch Versicherer vor große Probleme, manche reagieren mit Mogelpackungen.
Neue Risiken, keine Erfahrung … Versicherer mit Kalkulationsproblemen
Cyber-Risiken entwickeln sich dynamisch. Das heißt: Man hat es mit immer neuen und ausgebuffteren Attacken zu tun, was es auch den Versicherern erschwert, mögliche Schäden zu errechnen. Anders als zum Beispiel bei der Brandgefahr kann man nicht auf wiederkehrende Szenarien reagieren, um das Gefährdungspotenzial objektiv zu senken. Vieles entzieht sich einer vorausschauenden Kalkulation.
Außerdem ist auch für viele Versicherer das Absichern von Cyber-Risiken noch „Neuland“. Die Neuheit der Gefahren spiegelte sich laut Test in vielen uneinheitlichen Lösungen der Versicherer wieder. Das zeigten schon die Begriffe der Policen. Genannt für die versicherten Gefahren würden laut Ratingagentur: „Netzwerksicherheitsverletzung“/ „IT-Sicherheitsverletzung“/ „Hacker-Angriff“/ „Cyber-Angriff“/ „Cyber-Einbruch“/ „Cyber-Attacke“/ „Cyber-Rechtsverletzung“/ „Cyber-Sicherheitsvorfall“. Hier herrsche eine „fast babylonische Sprachverwirrung“, wie der geschäftsführende Gesellschafter der Agentur, Michael Franke, pointiert.
Zwar würden derartige Begriffe einen scheinbar „ähnlichen“ Zustand beschreiben, im Detail aber könnten Unterschiede für den Kunden im Schadensfall erheblich sein.
Auch Aufbau und Umfang der Cyber-Bedingungen würden stark variieren. Was ein Versicherer über eine Rechtsschutzversicherung löse, die an den Cyber-Hauptvertrag andockt, webe ein anderer Versicherer in die Cyber-Drittschadendeckung oder die Krisen-Dienstleistungen ein. Solche Differenzen könnten gravierende Konsequenzen für Versicherungsfall, Entschädigung und das Verhältnis zu anderen Versicherungsverträgen haben. Zu beachten ist zudem der Deckungsumfang, der sich von Versicherer zu Versicherer erheblich unterscheide.
Welche Leistungen werden von einer Cyber-Versicherung verlangt?
Nach Ansicht der Experten von Franke und Bornberg muss ein Tarif Folgendes abdecken können, um ausreichenden Schutz zu bieten:
• Betriebsunterbrechung: Deckung von Ertragsausfällen
• Drittschäden: Deckung für auch immaterielle Schäden (zum Beispiel den möglichen Imageverlust eines Unternehmens bei Datendiebstahl)
• Mehrere Versicherungsverträge: keine Subsidiarität der Cyber-Deckung (der Schaden darf nicht zugleich durch eine andere Police abgesichert sein, z.B. durch eine klassische Betriebshaftpflichtversicherung)
• Rückwärtsdeckung: Deckungsausschluss nur für vor Abschluss bekannte Ursachen und Schäden (nicht für solche, die hätten bekannt sein müssen)
• Wiederherstellung von IT-Systemen: Zeitliche Befristung der Wiederherstellung auf nicht weniger als 12 Monate nach Schadenfeststellung
Gewarnt wird vor Mogelpackungen
Auf neue Risiken reagieren einige Versicherer laut Agentur mit Mogelpackungen. Angebote werben zum Beispiel gezielt damit, den Cloud-Ausfall zu versichern (und damit die dynamisch an den Bedarf angepassten IT-Dienstleistungen eines Unternehmens abzusichern). Der Blick ins Kleingedruckte zeige dann aber: sogenannte SaaS-Dienste (Software as a Service) würden vom Versicherungsschutz ausgeschlossen. Dann werden Angriffe auf IT-Systeme nicht ersetzt, wenn diese von einem externen Dienstleister bereitgestellt wird. Oder eine Police deckt nur DoS-Angriffe (Denial of Service = Nichtverfügbarkeit) auf dem Cloud-Anbieter ab statt alle relevanten Bedrohungs-Szenarien.
Nicht wenige Anbieter hätten zudem Angriffe auf den Betreiber einer Cloud (und damit Betriebsunterbrechungsschäden beim Versicherungsnehmer) stark in der Deckungssumme begrenzt, einige sogar komplett vom Versicherungsschutz ausgeschlossen. Wie so oft muss also das Kleingedruckte sehr genau beachtet werden, um im Schadensfall nicht ohne Versicherungsschutz dazustehen.
Vorsicht ist nicht nur bei den Cyber- Risiken geboten, sondern auch bei der Wahl der richtigen Cyberpolice zur Absicherung vor diesen Risiken. Denn auf dem Markt befinden sich gute Angebote, aber auch Mogelpackungen. Die Angebote sind noch sehr uneinheitlich. Die Bedingungen sollten also gut geprüft werden, wenn nötig mit Hilfe eines professionellen Beraters.