Versicherungen gegen IT-Risiken

Cyber Versicherungen als Ergänzung der IT-Sicherheit

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Gegen Risiken wie Hochwasser oder Feuer sichern sich inzwischen fast alle Unternehmen ab, aber auch bei IT-Risiken kann es Sinn machen, auf eine Versicherung zu setzen.
Gegen Risiken wie Hochwasser oder Feuer sichern sich inzwischen fast alle Unternehmen ab, aber auch bei IT-Risiken kann es Sinn machen, auf eine Versicherung zu setzen. (© animaflora - stock.adobe.com)

Der Markt für Cyber Insurances, also Versicherungen gegen Cyber-Risiken, blüht. Kein Wunder, denn das Risiko Opfer eines Hackerangriffs, einer Ransomware-Attacke oder einer DDoS-Erpressung zu werden, steigt kontinuierlich und IT-Sicherheitsvorfälle sind kostspielig. Wir zeigen, warum Cyber-Versicherungen oder IT-Versicherungen ein möglicher Baustein eines Cyber-Security-Konzeptes sein sollten.

Die durchschnittlichen Kosten einer Datenpanne betragen in Deutschland im Jahr 2017 3,42 Millionen Euro, so die „Cost of Data Breach“-Studie 2017 des Ponemon Instituts. Dies bedeutet zwar einen Rückgang der Kosten um 5,4 Prozent im Vergleich zum Vorjahr. Kommt es zu einem Security Breach (IT-Sicherheitsvorfall), können die wirtschaftlichen Folgen aber weiterhin schwerwiegend sein: Neben den Kosten für die Wiederherstellung von Daten und IT-Systemen sind es mögliche Vertragsstrafen, Haftungsfälle, Imageschäden, Kunden- und Umsatzverlust, die zu den finanziell spürbaren Konsequenzen gehören.

Werden gesetzliche Vorgaben verletzt, können Bußgelder und Strafverfahren hinzukommen. Sind personenbezogene Daten betroffen (Data Breach), kann es in naher Zukunft sehr teuer werden, wie ein Blick auf die Sanktionen (pdf) zeigt, die in der Datenschutz-Grundverordnung (DSGVO / GDPR) genannt werden.

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

Auch Geschäftsführern und Mitarbeitern drohen Bußgelder

Umsetzungsgesetz für EU-DSGVO verschärft Haftung

13.07.17 - Mit Einführung der EU-Datenschutz-Grundverordnung (EU-DSGVO) steigt das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Bei Verstößen drohen bis zu 20 Millionen Euro Bußgeld und sogar Freiheitsstrafen. lesen

Versicherungen gegen Restrisiken

Leider liegt die Wahrscheinlichkeit, dass es zu einem IT-Sicherheitsvorfall oder zu einer Datenpanne kommt, bei weitem über null Prozent. Viele Security-Experten können es kaum noch hören, aber es stimmt: Es gibt keine hundertprozentige Sicherheit. Um den verbleibenden Risiken, den Restrisiken, zu begegnen, schließt man Versicherungen ab, das gilt nicht nur für Firmengebäude und Fuhrpark, sondern auch für die IT und den Cyber-Raum.

Cyber-Versicherungen oder IT-Versicherungen sollten als möglicher Baustein eines Cyber-Security-Konzeptes verstanden werden: Auf Basis der Risikoanalyse werden Schutzbedarf und zugehörige Schutzmaßnahmen definiert. Wenn sich kein ausreichender Schutz durch die Cyber-Security finden lässt, kommen Cyber Insurances zur Absicherung der Restrisiken in Betracht.

ENISA, die EU-Agentur für Netz- und Informationssicherheit, hat bereits vor vielen Jahren in einer Studie (https://www.enisa.europa.eu/publications/incentives-and-barriers-of-the-cyber-insurance-market-in-europe) darauf hingewiesen, dass Cyber-Versicherungen einen Vorteil für die Entwicklung der Cyber-Sicherheit bringen können.

Cyber-Risiken sind Top-Risiken für Unternehmen

Die Versicherungsgesellschaften haben die Cyber-Risiken ebenfalls schon länger im Blick. Studien wie das Allianz Risk Barometer zeigen seit Jahren, dass Cyber-Vorfälle zu den größten Unternehmensrisiken in Deutschland gezählt werden. Der Versicherungsmarkt hält entsprechend eine Reihe von Angeboten für Unternehmen vor, einige Beispiele hierzu:

  • Allianz Cyber Protect ist eine Cyber-Versicherung, die laut Anbieter insbesondere folgende Bereiche in einem vereinbarten Rahmen abdeckt: Haftung bei Datenpannen, Folgekosten von Datenpannen wie IT-Forensik und Krisenkommunikation des Vorfalls, Schäden durch DDoS-Attacken, Betriebsunterbrechung nach einem Cyber-Vorfall, Wiederherstellungskosten nach einem IT-Vorfall, Schäden durch Datendiebstahl, bestimmte Vertragsstrafen und Strafen bei Compliance-Bruch.
  • Die HDI Global SE hat die Deckung von IT-Vermögensschäden in einen für Maschinenbau-Unternehmen konzipierten Haftpflichtschutz aufgenommen. Mit dem Produkt HDI smartProtect-M erhalten Maschinenbauer neben der Betriebs-, Produkt- und Umwelt-Haftpflichtversicherung sowie einer Umweltschadensversicherung auch Deckungsschutz für Software- und IT-Dienstleistungen. Versichert sind Schadenersatzansprüche Dritter aufgrund von IT-Vermögensschäden, z. B. im Zusammenhang mit: Löschen von Daten/Beeinträchtigung der Datenordnung, Produktionsausfall/Betriebsunterbrechung/entgangener Gewinn, Viren und andere bösartige Software sowie Hackerangriffe.
  • SentinelOne, Anbieter für Endpoint-Protection, bietet seinen Kunden eine Cyber-Versicherung an, die im Falle von Ransomware-Angriffen auf das Netzwerk eine finanzielle Sicherheit gewährleisten soll. Mit der Cyber-Versicherung garantiert SentinelOne seinen Kunden eine Entschädigung in Höhe von 1.000 US-Dollar pro Endgerät bis zu einer Gesamtsumme von einer Million US-Dollar pro Unternehmen, sollte das Firmennetzwerk einem Ransomware-Angriff zum Opfer fallen und SentinelOne nicht in der Lage sein, die Auswirkungen der Attacke zu verhindern oder zu beseitigen.
  • Der US-Versicherer AIG hat angekündigt, sein Geschäft mit Cyber-Versicherungen auf dem deutschen Markt auszubauen. Die Versicherung CyberEdge bietet zum Beispiel auch Versicherungsschutz bei Verletzung der Benachrichtigungspflicht bei Datenpannen gemäß § 42a BDSG.

Darknet Insurance: Selbst die Angreifer versichern sich

Wie weit das Thema der Cyber-Versicherungen bereits fortgeschritten ist, zeigte ein Vortrag von Ladi Adefala, Senior Security Strategist bei Fortinet, bei der Information Security World 2017: So gibt es bereits Versicherungsangebote im Darknet, mit denen sich Cyber-Kriminelle absichern können. Wenn zum Beispiel eine Attacke mit einem empfohlenen Angriffswerkzeug nicht funktioniert, dann springt die Darknet Insurance für den Schaden ein.

Erst recht sollten Unternehmen daran interessiert sein, ihre Cyber Security mit passenden Cyber Insurances zu ergänzen. Teilweise gibt es die Security-Lösungen bereits im Paket mit einer Versicherung, wie die Übersicht oben zeigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44815211 / Risk Management)