Steigende Datenvolumina und zunehmende Vernetzung führen zu einem erhöhten Cyber-Risiko
Die Gesamtverantwortung für IT-, Cyber- und Informationssicherheit kann nicht delegiert werden
Cyber-Vorfälle treffen alle Unternehmen - unabhängig von Größe und Branche
Die Schadensurachen sind vielfältig und nicht eingrenzbar: Vom Zufallsereignis bis zur gezielten und professionell durchgeführten Attacke
Faktor Mensch ist Unsicherheitsfaktor Nummer 1
Das Wirtschaftsleben wird durch steigende Datenvolumina und zunehmende Vernetzung in der Wertschöpfungskette (Industrie 4.0, Internet of things, etc.) immer digitaler. Für Unternehmen birgt dies Chancen und Risiken.
IT-, Cyber- und Informationssicherheit hat sich mittlerweile zu einem der Top-Themen für Geschäftsleiter entwickelt. Selbst bei festgelegter Strategie zur IT-, Cyber- und Informationssicherheit und einer ordnungsgemäßen Delegation der Umsetzung an Mitarbeiter oder externe Dienstleister verbleibt die finale Gesamtverantwortung und damit die Haftung bei der Geschäftsleitung.
Cyber-Vorfälle sind schon längst keine Seltenheit mehr und betreffen jedes Unternehmen – unabhängig von Größe und Branche. Dies belegen – neben der täglichen Medienberichterstattung – vermehrt Studien und Umfragen von Wirtschaftsverbänden, Behörden und Beratungsfirmen.
Die Schadenursachen reichen vom fahrlässigen Umgang der Mitarbeiter mit mobilen und mittlerweile alltäglichen Geräten, wie z.B. Smartphone oder Laptop, bis hin zu gezielten und teils über einen langen Zeitraum vorbereiteten, professionellen und kriminell motivierten Attacken auf die IT-Infrastruktur eines Unternehmens.
So unterschiedlich die Schadenursachen auch sein können, so haben sie doch alle gemeinsam, dass sie ihren Ursprung im Faktor „Mensch“ – ob willentlich oder fahrlässig – haben: Selbst bei der vermeintlich „sichersten“ IT, bleibt dieser unkalkulierbare Faktor, verbunden mit all seinen wirtschaftlichen Folgen für Unternehmen, eine Unsicherheit.
Das Risiko Opfer einer Cyber-Attacke zu werden, ist rechnerisch nicht zuverlässig zu bestimmen. Bei der Entscheidung zur Höhe der Versicherungssumme ist zu berücksichtigen, dass in der Cyber-Versicherung eine Vielzahl unterschiedlicher Deckungskomponenten von einem Versicherungsfall betroffen sein können, z.B. diverse Kostenpositionen für Forensik, Datenwiederherstellung, Krisenberatung in Verbindung mit Betriebsunterbrechung und Schadenersatzansprüchen.
Präventive Maßnahmen und eine gute Vorbereitung auf den Krisenfall sind enorm wichtig, denn im Fall der Fälle zählen vor allem Schnelligkeit und damit einhergehende klare Verantwortlichkeiten zwischen in- und externen Ressourcen. Ist dies gewährleistet, verbleiben dennoch unberechenbare Cyber-Risiken mit enormen Schadenpotential, welche über die Cyber-Versicherung auf einen Risikoträger übertragen werden sollten.
Drittschadendeckung
Eigenschadendeckung
In Deutschland gibt es die Cyber-Versicherung seit wenigen Jahren. Es handelt sich somit um einen sehr jungen Markt. Mittlerweile bieten nahezu alle Versicherer, die im Bereich Gewerbe-/Industriekunden aktiv sind, eine eigene Lösung an. Anders als beispielsweise in der D&O-Versicherung, hat sich in der Cyber-Versicherung noch kein Marktstandard etabliert, so dass insbesondere die Vergleichbarkeit des Leistungsumfangs bei den Versichererprodukten eine Herausforderung darstellt.
FINLEX hat bereits im April 2017 ein eigenes Cyber-Bedingungswerk mit mehreren Versichern verhandelt und auf den Markt gebracht: Das FINLEX Spezialkonzept zur Cyber-Versicherung.
Bei der Ausgestaltung unseres Cyber-Produkts legten wir besonderen Fokus auf den Schadenfall. Dabei sind die Details entscheidend. So muss beispielsweise bereits im Verdachtsfall der Versicherungsschutz greifen und dem Kunden durch Spezialisten geholfen werden können. Auch das Zusammenspiel mit anderen betrieblichen Versicherungen muss im Vorfeld klar sein. So spart man sich in der Krisensituation Diskussionen, Zeit und Geld.
Daneben legten wir großen Wert auf eine klare Struktur und eine umfängliche Deckung, die den Maßstab setzen sollte. Im Gegensatz zu den meisten marktüblichen Bedingungswerken bietet das FINLEX Spezialkonzept Versicherungsschutz pauschal für Dritt- sowie Eigenschäden (einschließlich Kosten) in Folge aller Eingriffe in das IT-Systems des Unternehmens.
Im Schadenfall entscheiden die Details.
Die Kosten für die Nutzung der Notfall-Hotline werden nicht auf die Versicherungssumme angerechnet. Ein Selbstbehalt wird nicht angewendet.
Die Cyber-Police wird bereits im Verdachtsfall ausgelöst, wenn noch unklar ist, ob ein Versicherungsfall besteht. Kann nicht eindeutig nachgewiesen werden, dass ein Versicherungsfall vorliegt, genügt die überwiegende Wahrscheinlichkeit (Beweislasterleichterung).
Es besteht vorrangiger Schutz über die Cyber-Police vor sonstigen betrieblichen Versicherungen. Das ist wichtig, damit mit Hilfe der spezialisierten Berater der Cyber-Vorfall schnellstmöglich bewältigt und der Schaden minimiert werden kann. Der Versicherer verzich-tet auf Wunsch des Versicherungsnehmers gegenüber anderen Versicherern (z.B. Betriebshaftpflichtversicherung) auf den Regress.
Stellt sich im Nachhinein heraus, dass kein Versicherungsfall vorlag, verzichtet der Versicherer auf die Rückforderung der bis dahin erbrachten Versicherungsleistungen (teilweise begrenzt – so genannter „Cap“).
Jede Verletzung anwendbarer datenschutzrechtlicher Bestimmungen oder die unberechtigte Offenlegung oder Nutzung vertraulicher Daten Dritter einschließlich aller daraus resultierender Pflichten, insbesondere gesetzlicher und vertraglicher Benachrichtigungspflichten.
Jeder unzulässige Zugriff oder jede unzulässige Nutzung des IT-Systems eines versicherten Unternehmens oder – in Bezug auf den Haftpflichtteil – des IT- Systems eines Dritten.
Jedes unbefugte Eindringen in das IT-System einer versicherten Gesellschaft, das zu einer Übertragung von Daten in dieses System oder in das IT-System eines Dritten durch das IT-System einer versicherten Gesell-schaft führt und das Ziel dabei verfolgt, Daten, ohne Berechtigung zu verändern, zu beschädigen, zu zerstören, zu löschen, aufzuzeichnen, zu kopieren oder zu übertragen.
Jeder fehlerhafte (unsachgemäße) Bedienung des IT-Systems eines versicherten Unternehmens durch fahrlässiges Handeln oder Unterlassen bei dem Betrieb, der Wartung oder Aktualisierung des vom versicherten Unternehmens genutzten IT-Systems.
Jedes Veröffentlichung, Weitergabe oder Verbreitung von digitalen Medieninhalten, die zu einer Verletzung von Rechten Dritter führt. Hierzu zählen insbesondere die Verletzung oder Beeinträchtigung des Namens-, Persönlichkeits-, Firmen- oder Domainrechts und von gewerblichen Schutzrechten (…).
Jede durch den Payment Service Provider geltend gemachte Verletzung eines veröffentlichten Payment Card Industry Datensicherheitsstandards.