Lohnt sich eine Cyberversicherung?

Cyber­ver­si­che­rungen – Eine Sinn­volle Ergänzung zur IT-Sicherheit?

Um meine Frage direkt zu beant­worten „ja“ ist sie, aber…

In Rahmen meiner Recherchen bin ich auf einige Hin­weise gestoßen, die ein „Aber“ recht­fer­tigen. Das „Aber“ stellt hier jedoch nicht den Sinn einer Cyber­ver­si­cherung in Frage, sondern den ver­traglich ver­ein­barten Inhalt.

Bevor ich Sie jedoch hierzu an meinen Erkennt­nissen teil­haben lasse, sei mir erlaubt ein wenig Hin­ter­grund­wissen zu ver­fassen. Cyber­ver­si­che­rungen gibt es erst seit den Anfängen der 2000er Jahre und in den Jahren 2004 bis 2008 wurden erste Policen gezielt auf einen Schaden durch Cyber­kri­mi­na­lität auf­gebaut. Hin­ter­grund dieser ersten Anpassung waren stark gestiegene Haf­tungs­fälle, die zu einer ent­spre­chenden Scha­dens­re­gu­lierung führten. Eine weitere Ver­än­derung im Ver­halten der Ver­si­cherer, lässt sich aktuell erkennen. Hin­ter­grund ist hier die Ver­än­derung im Ver­halten der Angreifer. Während bis Ende 2019 noch die Ver­schlüs­selung von Daten und die mög­liche Frei­schaltung dieser nur nach Zahlung eines Löse­geldes, meist in Bitcoin, erfolgte, hat sich in der Zeit danach bis heute das Ver­halten geändert. Neben der Ver­schlüs­selung von Daten werden diese heute vorher kopiert und dann mit der Drohung ver­sehen, sie zu ver­öf­fent­lichen, sofern nicht den For­de­rungen ent­sprochen wird. Zu dieser Ver­hal­tens­än­derung hat geführt, dass die meisten Unter­nehmen über eine geson­derte, vom Angreifer nicht kor­rum­pierbare Daten­kopie ver­fügen und diese rasch wieder zum Einsatz bringen können.

Während in den Anfängen solche Dro­hungen noch als Bluff bewertet wurden, hat sich das seit dem Einsatz der Maze-Ran­­somware ver­ändert, denn dort wurden zum ersten Mal kopierte Daten ver­öf­fent­licht. Das hatte nun auch Folgen für die Ver­si­cherer, da nun nicht mehr nur Schäden durch Ausfall von Geschäfts­pro­zessen, Daten­wie­der­her­stellung und einem mög­lichen Lösegeld zu decken waren, sondern auch Haf­tungs­schäden von mög­lichen Betrof­fenen, Buß­geldern und Kosten über eine Kom­mu­ni­kation in der Außen­dar­stellung berück­sich­tigen sind, denn die Gefahr diesen Angriff nicht mehr intern Regeln zu können war nun gegeben. Ein bekanntes Bei­spiel dafür ist die US-Stadt Bal­timore, die sich wei­gerte ein Lösegeld von 78.000 US$ zu zahlen und statt­dessen für die Wie­der­her­stellung Ihrer Systeme und Daten 18,2 Mil­lionen US$ auf­wenden musste. Wie die meisten in der IT-Sicherheit invol­vierten, bin auch ich der festen Über­zeugung, dass es nicht mehr die Frage ist, ob jemand (damit schließe ich nicht nur Unter­nehmen, sondern auch Pri­vat­per­sonen mit ein) von einem Cyber­an­griff betroffen sein wird, sondern nur noch wann dies geschieht.

Gerade aktuelle Zahlen belegen dies, denn im Ver­gleich zum Anfang des Jahres 2020 zum Anfang diesen Jahres (2021) ist die Zahl der Ran­­somware-Angriffe um mehr als 100% gestiegen. Sicher­heits­re­ports des Bun­desamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) und der EU-Agentur für Cyber­si­cherheit zeigen das mit Zahlen aus dem Jahr 2020 auf.

Aktuell sind mir ca. 15 Anbieter dieser Policen bekannt und ori­en­tieren sich an den Mus­ter­be­din­gungen in Ver­bindung mit einem Risi­ko­fra­ge­bogen, den der Gesamt­verband der Deut­schen Ver­si­che­rungs­wirt­schaft (GDV) im April 2017 ent­wi­ckelt hatte.

Wer daraus jetzt jedoch eine Kon­for­mität in den Ver­trägen erwartet irrt.

In meiner Recherche zu diesem Thema konnte ich immer wieder eine Art Modul­bau­weise bei den Ver­si­cherern fest­stellen, so dass ich hier weder eine ent­spre­chende Beratung führen werde noch dieses darf und statt­dessen auf eine Beratung Ihres Ver­si­cherers verweise.

Es gibt jedoch grund­le­gende Fragen, die sich stellen, bevor in die Beratung des mög­lichen Ver­si­cherers ein­ge­stiegen wird. Am ein­fachsten für den Ver­ant­wort­lichen werden diese Fragen geklärt, wenn ein Risi­ko­ma­nagement vor­handen ist, denn dort werden Risiken auf­ge­worfen, die ggfs. nicht durch den Einsatz von Technik und Pro­zessen beseitigt werden können. Die Lücken werden bekannt und in ihren Risiken ein­schätzbar. Klar jedoch ist, dass nicht alle Risiken ver­si­cherbar sind und dafür andere Vor­sor­ge­maß­nahmen getroffen werden müssen.

Unab­hängig des jewei­ligen Ver­si­cherers gibt es meines Erachtens aber drei Grund­le­gende Absi­che­rungs­formen. Eigen­schäden, Dritt­schäden und die Scha­dens­nach­sorge. Eigen­schäden ver­ur­sachen Kosten, die durch eine Betriebs­un­ter­bre­chung, oder auch durch die Wie­der­her­stellung von Daten und Systeme entstehen.

Dritt­schäden ent­stehen durch Haf­­tungs-/Scha­­dens­­for­­de­rungen und mög­liche Bußgelder.

Scha­dens­nach­sorge, oder auch als Service-Leis­­tungen betitelt, enthält die Kosten, die durch Auf­wände für die Beratung durch Rechts­bei­stände, IT-Forensik und PR-Maß­­nahmen ent­stehen werden. Eine weitere Folge aus dem ver­än­derten Ver­halten von Cyber­kri­mi­nellen zeigt sich gerade bei der Absi­cherung von Ran­­somware-Angriffen, da diese bekanntlich die größten Schäden und damit Fol­ge­kosten für ein Unter­nehmen nach sich ziehen. Zu erkennen ist dies in den mög­lichen Ver­si­che­rungs­klauseln, die einen Ran­­somware-Angriff aus­schließen und sofern ange­boten, gesondert abge­si­chert werden müssen. Ein wei­terer Punkt ist ein Aus­schluss, bzw. gesondert abzu­si­cherndes Risiko bei Kriegs­handlung und Ter­ro­rismus. Während mir nicht bekannt ist, ob es eine Absi­cherung zum Risiko einer Kriegs­handlung gibt, bin ich zum Risiko Ter­ro­rismus fündig geworden.

Warum nun die Klausel Ter­ro­rismus einbinden?

Bedenkt man hier, dass die USA darüber nach­denkt Ran­­somware-Angriffe generell als ter­ro­ris­ti­schen Akt ein­zu­stufen bekommt es eine höhere Bedeutung. In Deutschland ist dazu jedoch noch eine Erklärung des Finanz­mi­nis­te­riums not­wendig, die den Angriff als „zer­ti­fi­zierten Akt“ ein­stuft. Grundlage für diese Ein­stufung ist der Ter­rorism Risk and Insu­rance Act (TRIA). In der aktu­ellen Situation, die sich ver­mutlich auch nicht zum Guten hin ver­ändern wird, ist eine Cyber­ver­si­cherung eine wichtige Ergänzung, um ein unter­neh­me­ri­sches Risiko zu mini­mieren. Wichtig dabei, wie bei allen Ver­si­cherung, ist die Erkenntnis welches Risiko abge­deckt werden soll und ob die mög­liche Ein­tritts­wahr­schein­lichkeit die Kosten der Absi­cherung sinnig macht.

Eine Ver­nach­läs­sigung der IT-Sicherheit, in Technik und Pro­zessen, darf jedoch nicht im Wiegen der Sicherheit durch eine Cyber­ver­si­cherung geschehen. Denn die Bedin­gungen für den Ein­tritt einer Ver­si­che­rungs­leistung sind hoch und hier an der fal­schen Stelle gespart, bedeutet oftmals ein böses Erwachen!