Ein Cyberangriff kann jedes Unternehmen treffen. Eine entsprechende Versicherung hilft, die teils enormen finanziellen Schäden abzufedern. [...]
„Viele Unternehmen sind sich nicht bewusst, welche Kriterien für einen Versicherungsschutz eingehalten werden müssen“
Das Thema Cyber-Versicherungen ist äußerst komplex und es gibt einiges zu beachten. com! professional spricht darüber mit Marcus Beckmann von Beckmann und Norda Rechtsanwälte in Bielefeld. Er berät Unternehmen unter anderem in den Bereichen IT-Recht und gewerblicher Rechtsschutz.
com! professional: Herr Beckmann, immer mehr Versicherungsunternehmen entdecken den Verkauf von Cyber-Versicherungen als neues Zukunftsfeld. Was sollte eine solche Versicherung leisten?
Marcus Beckmann: Unternehmen sind zahlreichen Risiken im Online- und IT-Bereich ausgesetzt. Eine Cyber-Versicherung kann helfen, diese abzumildern. Sie sollte die für das Unternehmen relevanten Problemfelder zu akzeptablen Konditionen absichern. Ein Problem ist der nach wie vor rasante technischen Fortschritt und das Entstehen immer neuer Cyberrisiken. Diese Dynamik sollte von der Versicherung abgebildet werden, sodass der Versicherungsschutz nicht bereits bei Vertragsschluss teilweise obsolet ist.
com! professional: Was genau lässt sich eigentlich mit einer Cyber-Versicherung abdecken?
Beckmann: Versichern lässt sich im Grunde fast alles. Dazu zählen zum Beispiel Schäden an der IT-Infrastruktur durch Malware, DDoS-Attacken, Ransomware-Angriffe, Phishing und Identitätsdiebstahl oder Umsatzausfälle durch Server-Downtime. Je größer das Risiko, umso teurer ist die Versicherung. Insofern sollten Unternehmen abwägen, welche Risiken zu welchen Kosten versichert werden.
„Je größerer das Risiko, umso teurer ist die Versicherung. Unternehmen sollten abwägen, welche Risiken zu welchen Kosten versichert werden sollen.“
com! professional: Cyberangriffe sind ein schwieriges und komplexes Thema. Wann greifen Cyber-Versicherungen?
Beckmann: Wie immer kommt es auf den konkreten Vertrag an. Die Versicherungsbedingungen können sehr unterschiedlich sein. Welche Risiken in welchem Umfang unter welchen Voraussetzungen von der Versicherung abgedeckt sind, muss daher mit der Versicherung soweit möglich verhandelt und dann entsprechend vereinbart werden.
com! professional: Häufig sind es ja auch die eigenen Mitarbeiter, die durch Unachtsamkeit erhebliche Schäden verursachen …
Beckmann: Auch Fehler von Mitarbeitern sind regelmäßig abgedeckt. Oft geht damit für den Versicherten die Obliegenheit einher, dass die Mitarbeiter ausreichend geschult sind. Insofern enthalten die Versicherungsbedingungen häufig entsprechende Regelungen.
com! professional: Bei Ransomware-Attacken zum Beispiel ist man schnell bei Millionen-Schäden. Eine entsprechende Police ist damit wahrscheinlich ziemlich teuer, oder? Worauf sollte man beim Abschluss in Sachen Haftungsgrenzen achten?
Beckmann: Auch dies richtet sich nach dem Vertrag im Einzelfall. Dort sind Haftungsobergrenzen geregelt, die je nach versichertem Risiko unterschiedlich sein können. Die Höhe ist dabei eine Frage des Preises. Hier gilt es abzuwägen, was für ein Unternehmen wirtschaftlich ist.
com! professional: Nichts ist wohl schlimmer als eine Versicherung, die dann im Fall der Fälle nicht zahlt. Gibt es Mindestkriterien, die ein Unternehmen im Hinblick auf die IT-Sicherheit erfüllen muss, damit die Versicherung bei Schäden einspringt?
Beckmann: Der Versicherungsvertrag enthält regelmäßig umfassende Regelungen, welche sicherheitsrelevanten Maßnahmen vorgehalten werden müssen, damit der Versicherungsschutz greift. Diese gilt es genau zu prüfen, einzuhalten und zu dokumentieren. Andernfalls kann die Versicherung im Schadensfall die Zahlung verweigern.
Viele versicherte Unternehmen sind sich nicht vollumfänglich bewusst, welche Kriterien eingehalten werden müssen, damit der Versicherungsschutz greift.
com! professional: Häufig werden die IT und die Security ausgelagert. Damit habe ich als Unternehmen keinen direkten Einfluss mehr darauf. Ist das ein Problem?
Beckmann: Ein Unternehmen kann sich nicht hinter Drittunternehmen verstecken. Ob und in welchen sicherheitsrelevanten Bereichen Drittunternehmen eingesetzt werden können und dürfen, regelt der Versicherungsvertrag. Dabei kann der Versicherungsvertrag festlegen, dass Drittunternehmen besondere Kriterien erfüllen müssen. Insofern sollten entsprechende Vereinbarungen mit dem Drittunternehmen geschlossen werden, die die Einhaltung der sicherheitsrelevanten Kriterien garantieren.
com! professional: Gibt es weitere Faktoren, die ein Unternehmen vor Abschluss einer Cyber-Versicherung beachten sollte?
Beckmann: Eine Cyber-Versicherung kann ein ausreichendes Sicherheitskonzept und die strikte Einhaltung der IT-Sicherheit im Unternehmen niemals ersetzen, sondern einen wirtschaftlichen Schaden im Fall der Fälle nur reduzieren. Es empfiehlt sich, zunächst eine Bestandsaufnahme hinsichtlich der eigenen IT-Sicherheit und der unternehmensspezifischen Risiken zu machen. Dann sollten verschiedene, möglichst maßgeschneiderte Angebote von Versicherern eingeholt und die Bedingungen genauestens verglichen werden.
Be the first to comment