Die „Feuerversicherung“ des 21. Jahrhunderts

Steigende Datenvolumina und zunehmende Vernetzung führen zu einem erhöhten Cyber-Risiko

Die Gesamtverantwortung für IT-, Cyber- und Informationssicherheit kann nicht delegiert werden

Cyber-Vorfälle treffen alle Unternehmen - unabhängig von Größe und Branche

Die Schadensurachen sind vielfältig und nicht eingrenzbar: Vom Zufallsereignis bis zur gezielten und professionell durchgeführten Attacke

Faktor Mensch ist Unsicherheitsfaktor Nummer 1

Das Wirtschaftsleben wird durch steigende Datenvolumina und zunehmende Vernetzung in der Wertschöpfungskette (Industrie 4.0, Internet of things, etc.) immer digitaler. Für Unternehmen birgt dies Chancen und Risiken.

 

IT-, Cyber- und Informationssicherheit hat sich mittlerweile zu einem der Top-Themen für Geschäftsleiter entwickelt. Selbst bei festgelegter Strategie zur IT-, Cyber- und Informationssicherheit und einer ordnungsgemäßen Delegation der Umsetzung an Mitarbeiter oder externe Dienstleister verbleibt die finale Gesamtverantwortung und damit die Haftung bei der Geschäftsleitung.

 

Cyber-Vorfälle sind schon längst keine Seltenheit mehr und betreffen jedes Unternehmen – unabhängig von Größe und Branche. Dies belegen – neben der täglichen Medienberichterstattung – vermehrt Studien und Umfragen von Wirtschaftsverbänden, Behörden und Beratungsfirmen.

 

Die Schadenursachen reichen vom fahrlässigen Umgang der Mitarbeiter mit mobilen und mittlerweile alltäglichen Geräten, wie z.B. Smartphone oder Laptop, bis hin zu gezielten und teils über einen langen Zeitraum vorbereiteten, professionellen und kriminell motivierten Attacken auf die IT-Infrastruktur eines Unternehmens.

 

So unterschiedlich die Schadenursachen auch sein können, so haben sie doch alle gemeinsam, dass sie ihren Ursprung im Faktor „Mensch“ – ob willentlich oder fahrlässig – haben: Selbst bei der vermeintlich „sichersten“ IT, bleibt dieser unkalkulierbare Faktor, verbunden mit all seinen wirtschaftlichen Folgen für Unternehmen, eine Unsicherheit.

Cloud

Infrastruktur

Daten

Hardware

Software

Kommunikation

Finanzielle Risiken

Das Risiko Opfer einer Cyber-Attacke zu werden, ist rechnerisch nicht zuverlässig zu bestimmen. Bei der Entscheidung zur Höhe der Versicherungssumme ist zu berücksichtigen, dass in der Cyber-Versicherung eine Vielzahl unterschiedlicher Deckungskomponenten von einem Versicherungsfall betroffen sein können, z.B. diverse Kostenpositionen für Forensik, Datenwiederherstellung, Krisenberatung in Verbindung mit Betriebsunterbrechung und Schadenersatzansprüchen.

Prävention

Präventive Maßnahmen und eine gute Vorbereitung auf den Krisenfall sind enorm wichtig, denn im Fall der Fälle zählen vor allem Schnelligkeit und damit einhergehende klare Verantwortlichkeiten zwischen in- und externen Ressourcen. Ist dies gewährleistet, verbleiben dennoch unberechenbare Cyber-Risiken mit enormen Schadenpotential, welche über die Cyber-Versicherung auf einen Risikoträger übertragen werden sollten.

Was sind versicherbare Cyber-Risiken?

Datenverluste

Verletzungen der Netzwerksicherheit

Datenschutzverletzungen

Datenvertraulichkeitsverletzungen

Fehlbedienungen durch Mitarbeiter (z.B. Liegenlassen von Laptops)

Cyber-Kriminalität, wie z.B. Hackerangriffe, Erpressungen, Ausspähen von Daten/Geschäftsgeheimnissen

Betriebsunterbrechungen / Ausfälle der IT

Medienverstöße, z.B. Verletzung von Persönlichkeits-, Namens-, Firmenrechten (…) durch Veröffentlichung, Weitergabe oder Verbreitung von Medieninhalten

Wie ist der Leistungsumfang?
Drittschadendeckung

Versicherungsschutz für die Abwehr unberechtigter Ansprüche und die Freistellung von berechtigten Ansprüchen

Deckung für verschuldensabhängige und verschuldensunabhängige Haftung

Pauschaler Versicherungsschutz für vertragliche Haftungen, insbesondere aus Freistellungsverpflichtungen gegenüber externen Dienstleistern.

Eigenschadendeckung

Kosten für externe Dienstleister (Krisenberater, Rechtsanwälte, PR etc.)

Kosten zur Schadenermittlung (Forensik)

Kosten zur Datenwiederherstellung

Kosten zur Erfüllung gesetzlicher und vertraglicher Informationspflichten an Dateninhaber

Kosten der Verteidigung bei Verfahren in Straf- oder Ordnungswidrigkeitenverfahren

Kosten für Bußgeldzahlungen wegen einer Ordnungswidrigkeit (soweit rechtlich zulässig)

Ertragsausfälle bei Beeinträchtigung des Geschäftsbetriebs und Mehrkosten zur Wiederherstellung des Geschäftsbetriebs (Betriebsunterbrechung)

Kosten für vertragliche Bußgelder der Payment Card Industry

Wer versichert?

In Deutschland gibt es die Cyber-Versicherung seit wenigen Jahren. Es handelt sich somit um einen sehr jungen Markt. Mittlerweile bieten nahezu alle Versicherer, die im Bereich Gewerbe-/Industriekunden aktiv sind, eine eigene Lösung an. Anders als beispielsweise in der D&O-Versicherung, hat sich in der Cyber-Versicherung noch kein Marktstandard etabliert, so dass insbesondere die Vergleichbarkeit des Leistungsumfangs bei den Versichererprodukten eine Herausforderung darstellt.

Eine Cyber-Versicherung sollte heute fester Bestandteil des Versicherungsportfolios eines Unternehmens sein, sowohl im Mittelstand als auch bei Großunternehmen und Finanzdienstleistern.

Cyber-Kriminalität ist auf dem Vormarsch. Motivationen und Angriffsvektoren verändern und entwickeln sich.

Je mehr Daten zukünftig geschützt werden sollen/müssen, desto mehr Rechte werden verletzt.

Es ist kaum möglich (oder unternehmerisch/wirtschaftlich nicht vernünftig) technisch und organisatorisch (TOMs) immer „das höchste“ Schutzniveau zu halten.

Der „Faktor Mensch“ spielt trotz aller Technik-Lastigkeit eine bedeutende Rolle.

Jeder ist angreifbar. Cyber-Sicherheit ist kein Zustand, sondern ein Prozess!

Spezialkonzept

zur Cyber-Versicherung

FINLEX hat bereits im April 2017 ein eigenes Cyber-Bedingungswerk mit mehreren Versichern verhandelt und auf den Markt gebracht: Das FINLEX Spezialkonzept zur Cyber-Versicherung.

 

Bei der Ausgestaltung unseres Cyber-Produkts legten wir besonderen Fokus auf den Schadenfall. Dabei sind die Details entscheidend. So muss beispielsweise bereits im Verdachtsfall der Versicherungsschutz greifen und dem Kunden durch Spezialisten geholfen werden können. Auch das Zusammenspiel mit anderen betrieblichen Versicherungen muss im Vorfeld klar sein. So spart man sich in der Krisensituation Diskussionen, Zeit und Geld. 

 

Daneben legten wir großen Wert auf eine klare Struktur und eine umfängliche Deckung, die den Maßstab setzen sollte. Im Gegensatz zu den meisten marktüblichen Bedingungswerken bietet das FINLEX Spezialkonzept Versicherungsschutz pauschal für Dritt- sowie Eigenschäden (einschließlich Kosten) in Folge aller Eingriffe in das IT-Systems des Unternehmens. 

 

Die Deckungsauslöser unser offenen „All Risk“-Deckung sind…

Im Schadenfall entscheiden die Details.

Kostenfreie ``Erste Hilfe``

Die Kosten für die Nutzung der Notfall-Hotline werden nicht auf die Versicherungssumme angerechnet. Ein Selbstbehalt wird nicht angewendet.

Verdachtsfall und Beweislasterleichterung

Die Cyber-Police wird bereits im Verdachtsfall ausgelöst, wenn noch unklar ist, ob ein Versicherungsfall besteht. Kann nicht eindeutig nachgewiesen werden, dass ein Versicherungsfall vorliegt, genügt die überwiegende Wahrscheinlichkeit (Beweislasterleichterung).

Vorrang

Es besteht vorrangiger Schutz über die Cyber-Police vor sonstigen betrieblichen Versicherungen. Das ist wichtig, damit mit Hilfe der spezialisierten Berater der Cyber-Vorfall schnellstmöglich bewältigt und der Schaden minimiert werden kann. Der Versicherer verzich-tet auf Wunsch des Versicherungsnehmers gegenüber anderen Versicherern (z.B. Betriebshaftpflichtversicherung) auf den Regress.

Rückforderungsverzicht

Stellt sich im Nachhinein heraus, dass kein Versicherungsfall vorlag, verzichtet der Versicherer auf die Rückforderung der bis dahin erbrachten Versicherungsleistungen (teilweise begrenzt – so genannter „Cap“).

1. Datenschutz-/Datenvertraulichkeitsverletzung

Jede Verletzung anwendbarer datenschutzrechtlicher Bestimmungen oder die unberechtigte Offenlegung oder Nutzung vertraulicher Daten Dritter einschließlich aller daraus resultierender Pflichten, insbesondere gesetzlicher und vertraglicher Benachrichtigungspflichten.

server room 3d illustration with node base programming data  design element.concept of big data storage and  cloud computing technology.
Cloud computing data center high quality seamless looped animation of network devices with blinking lights with network ports

2. Netzwerksicherheitsverletzung

Jeder unzulässige Zugriff oder jede unzulässige Nutzung des IT-Systems eines versicherten Unternehmens oder – in Bezug auf den Haftpflichtteil – des IT- Systems eines Dritten.

 

3. Netzwerkeinbruch

Jedes unbefugte Eindringen in das IT-System einer versicherten Gesellschaft, das zu einer Übertragung von Daten in dieses System oder in das IT-System eines Dritten durch das IT-System einer versicherten Gesell-schaft führt und das Ziel dabei verfolgt, Daten, ohne Berechtigung zu verändern, zu beschädigen, zu zerstören, zu löschen, aufzuzeichnen, zu kopieren oder zu übertragen.

Hacker mit Spyware im Cyberspace als Cybercrime Konzept
cyber security internet and networking concept.Businessman hand working with VR screen padlock icon mobile phone on laptop computer and digital tablet

4. Fehlbedienung

Jeder fehlerhafte (unsachgemäße) Bedienung des IT-Systems eines versicherten Unternehmens durch fahrlässiges Handeln oder Unterlassen bei dem Betrieb, der Wartung oder Aktualisierung des vom versicherten Unternehmens genutzten IT-Systems.

 

5. Medienverstoß

Jedes Veröffentlichung, Weitergabe oder Verbreitung von digitalen Medieninhalten, die zu einer Verletzung von Rechten Dritter führt. Hierzu zählen insbesondere die Verletzung oder Beeinträchtigung des Namens-, Persönlichkeits-, Firmen- oder Domainrechts und von gewerblichen Schutzrechten (…).

Hand using smartphone with Social media concept.
Man using his digital tablet while holding a credit card intent to online shopping, concept with digital business or e-commerce concept. close up, warm tone.

6. Payment Card Industry

Jede durch den Payment Service Provider geltend gemachte Verletzung eines veröffentlichten Payment Card Industry Datensicherheitsstandards.

 

Sie haben Fragen zur Cyber-Versicherung? 

Kontakt aufnehmen

Sprechen Sie uns an.