Cybercrime-Versicherungen: Versicherungen gegen die Gefahren aus dem Netz

InsureNXT: Welche Risiken lassen sich konkret im Hinblick auf Cybercrime versichern und wo sind die Grenzen? Oft geht es ja um mehr als nur die Beseitigung des reinen Schadens.

Aktuell lassen sich diverse Eigen- und Drittschäden im IT- und Cyberumfeld absichern. Eine eigenständige Cyber-Versicherung bietet beispielsweise Absicherung gegen diverse Eigenschäden wie etwa Betriebsunterbrechung, Hardwareersatz und Datenwiederherstellung, aber auch Drittschäden, beispielsweise eine Haftpflicht aufgrund eines Datenschutzverstoßes oder aus einer unrechtmäßigen Veröffentlichung in Medien. Solche Versicherungen greifen dann, wenn sich ein Cyber-Vorfall im Computersystem einer versicherten Gesellschaft ereignet. Sie können übrigens auch auf externe IT-Dienstleister ausgedehnt werden.

Wichtig ist aus meiner Sicht aber noch eine Anreicherung mit Krisen-Dienstleistungen, so dass sich der Kunde im Verdachts- oder Schadenfall schnell professionelle Hilfe holen kann. Grenzen gibt es dagegen bei der Absicherung von reiner Industriespionage sowie der Absicherung von kompletten Lieferketten. Übliche Ausschlüsse sind dabei diejenigen für bekannte Umstände, vertragliche Ansprüche, Beschlagnahme durch Behörden sowie Naturereignisse oder höhere Gewalt.

Was davon wird denn bereits über andere Versicherungen abgedeckt, etwa über eine Unternehmenshaftpflicht oder die D&O für Vorstände und Aufsichtsräte?

In vielen Unternehmenshaftpflichtpolicen finden sich schon heute zumindest teilweise Deckungen zu Datenschutzverstößen. Andere Deckungen beinhalten zum Teil explizit begrenzte Cyber-Bausteine. Vollumfängliche Deckungen ersetzt das aber – auch in der Summe – nicht annähernd. Auch deshalb, weil wichtige Komponenten wie etwa non-physical Business Intelligence oder IT Forensik in anderen Sparten nicht geboten werden.

Welche Unternehmen in welchen Branchen interessieren sich denn für Absicherung gegen Cybercrime? Nur Großunternehmen oder sehen Sie auch bei den KMUs und Startups einen Bedarf für sowas?

Was wir auf jeden Fall sehen, ist, dass die Anfragen und Abschlüsse deutlich gestiegen sind – was mit Sicherheit auch an den gestiegenen Schadenzahlen liegt. Das Interesse bei großen Unternehmen ist besonders deutlich, aber auch im Mittelstand und bei kleinen Unternehmen ist aus unserer Sicht ein Anstieg der Relevanz deutlich spürbar– und das übrigens über alle Branchen hinweg.

Wer kann eine solche Versicherung überhaupt verkaufen? Der „normale“ Versicherungsvertrieb dürfte da doch schnell an Know-how-Grenzen stoßen. Rekrutieren Sie für sowas gezielt IT-Security-Experten?

Wenn es um die technischen Details geht, lassen wir uns in der Tat von internen wie externen IT-Security-Experten unterstützen, um unsere Kunden möglichst gut zu beraten und passend abzusichern. Da wir aber alle heutzutage von viel IT umgeben sind, sind auch IT-Risiken allgegenwärtig. Das Aufzeigen der Risiken ist daher meiner Meinung nach mit etwas Grundkenntnis für jeden machbar, ohne gleich in die Tiefen der IT-Sicherheit abtauchen zu müssen. Die aktuellen Schadenfälle unterstützen dies anschaulich. Ich glaube deshalb, dass der häufig vorherrschende Respekt davor, das Thema Cyber-Versicherung anzusprechen, nicht gegeben sein muss.

Welche Regeln müssen Unternehmen einhalten, wenn sie eine solche Versicherung abschließen wollen und wie viel Einblick in die IT-Infrastruktur darf im Ernstfall der Versicherer bekommen?

Der Kunde muss im Antrag Fragen zur Ist-Situation in puncto IT-Sicherheit beantworten. Diese Antragsfragen sollten natürlich korrekt beantwortet werden und der Status dann auch beibehalten werden. Wenn zum Beispiel angegeben wird, dass eine bestimmte IT-Sicherheits-Infrastruktur besteht, sollte diese nicht nach drei Monaten wieder aufgegeben werden. Wir stellen dabei aber nicht auf bestimmte Versionen oder einen besonderen Stand der Technik ab. Wie viel Einblick Unternehmen im Ernstfall geben müssen, hängt natürlich vom Kunden und vom Schadenfall ab. Unsere Erfahrung ist aber, dass die Kunden die fachliche Unterstützung im Falle einer Krise sogar sehr schätzen, die dann durch unseren spezialisierten Dienstleister erbracht wird.

Cyber-Versicherungen gibt’s ja inzwischen auch für Endanwender. Macht sowas Ihrer Erfahrung nach Sinn?

Bei privaten Cyberversicherungen ist der Markt noch uneinheitlicher als bei den gewerblichen Policen und muss sich noch weiter entwickeln und ausdifferenzieren. Sinn machen kann aber eine solche Police – je nach Deckungsumfang und Nutzerverhalten – aber meiner Meinung nach durchaus. Ich denke da zum Beispiel an Familien mit Teenagern, bei denen oft eine höhere Internetnutzung besteht, aber die Risiken bestimmter Verhaltensweisen im Netz noch nicht vollumfänglich betrachtet werden.

Jutta Berger-Knickmeier (Zurich Versicherung) ist Financial Lines Expertin in unterschiedlichen Rollen seit 2002, zunächst vorrangig im Bereich D&O und seit 2013 auch im Cyber Unterwriting tätig. Seit 2018 arbeitet sie im Produktmanagement für den Bereich Haftpflicht und Financial Lines sowie Cyber Underwriting.