Getty Images/iStockphoto
Tragen Cyberversicherungen zur Datensicherheit bei?
Unternehmen können sich mit speziellen Cyberversicherungen gegen Hackerangriffe und Datenverluste schützen. Doch was hat es mit den Policen auf sich?
Rund 93 Prozent der mittleren und großen deutschen Unternehmen waren bereits IT-Angriffen ausgesetzt, 25 Prozent berichten gar von täglichen Attacken – das ist dem Deloitte Security Report 2018 zu entnehmen. Demnach erleidet fast die Hälfte der Unternehmen Schäden durch Cyberangriffe. Diese belaufen sich im Schnitt auf 700.000 Euro pro Angriff; der Gesamtschaden für die deutsche Wirtschaft wird auf jährlich 50 Milliarden Euro geschätzt.
Logisch, dass sich immer mehr Betriebe durch spezielle Cyber-Risk-Versicherungen gegen Attacken und Datenverluste absichern. Unternehmen, die zusätzlich selbst entsprechende Schutzmaßnahmen treffen, können dabei noch ordentlich sparen. Das wiederum eröffnet ganz neue Denkansätze: Könnten Cyberversicherungen unter Umständen dazu beitragen, den Datenschutz und die Datensicherheit in deutschen Unternehmen zu erhöhen?
Um diese Frage zu beantworten, gilt es zuvor einige Punkte zu klären:
Was ist eine Cyber-Risk-Versicherung?
Cyber-Risk-Versicherungen sind Zusatzversicherungen für Unternehmen. Häufig handelt es sich um eine Kombination aus Haftpflichtversicherung, Betriebsausfallversicherung und Datenversicherung für Dritt- und Eigenschäden. Die Police deckt üblicherweise alle Vermögensschäden ab, die durch eine Verletzung der Informationssicherheit entstehen. Dazu zählen auch die Kosten für Krisenberatung, Datenforensik und Anwälte sowie natürlich – falls möglich – die Wiederherstellung der Daten.
Betreiber von E-Commerce-Anwendungen wie beispielsweise Webshops können oft den Versicherungsumfang um eine Betriebsunterbrechungs- oder Ertragsausfallversicherung ergänzen. In diesem Fall erhält der Versicherungsnehmer für einen Umsatzausfall seines Shops einen finanziellen Ausgleich – etwa durch einen Hackerangriff.
Bestimmt die Technologie den Tarif?
Bevor ein Unternehmen allerdings eine entsprechende Police abschließen kann, bewertet der Versicherer das Unternehmen:
- Welche IT-Infrastruktur kommt zum Einsatz?
- Wo werden die Dateien gespeichert?
- Welche regelmäßigen Sicherheitsmaßnahmen wendet das Unternehmen an?
Entscheidend ist hierbei, ob das Sicherheitskonzept des Unternehmens insgesamt auf dem Stand der Technik ist und auch aktuell gehalten wird. So verschafft sich der Versicherer Klarheit über das Risiko – und kann entsprechende Konsequenzen ziehen: Ein Unternehmen mit mangelhafter IT-Sicherheit erhält erst ein Versicherungsangebot, wenn es nachjustiert, ein Unternehmen, das IT-Sicherheit professionell und konsequent umsetzt, zahlt eventuell sogar niedrigere Prämien.
Wie umfangreich die Risikobewertung ausfällt, hängt vom jeweiligen Versicherer ab – eine professionelle Differenzierung der verschiedenen Technologien oder Dienstanbieter können die meisten Versicherungsanbieter jedoch heute noch gar nicht vornehmen. Dies wird sich voraussichtlich in den nächsten Jahren ändern: Die Cyberteams der Versicherer bilden sich fort und werden zunehmend zu interdisziplinären Experten. Das schafft die Grundlage für eine tiefergehende Tarifierung, die tatsächlich jede einzelne IT je nach Ausgestaltung der Komponenten bewertet und tarifiert.
Geld gespart dank Stand der Technik?
Unternehmen, die sich beziehungsweise ihre Daten und die Daten ihrer Kunden versichern wollen, sollten also bereits vor der Bewertung durch den Versicherer dafür sorgen, ausreichende Sicherheitsmaßnahmen getroffen zu haben. Dazu gehört auch die Wahl einer passenden IT-Infrastruktur oder eines geeigneten Cloud-Anbieters.
In den meisten Rechenzentren dieser Anbieter wird in Kauf genommen, dass Administratoren oder Mitarbeiter des Rechenzentrums technisch die Möglichkeit zur Kenntnisnahme der Daten haben. Der privilegierte Zugriff durch Mitarbeiter gilt jedoch als die dominante Bedrohung bei der Verwendung von IT-Infrastrukturen oder Cloud-Diensten. Daher reichen organisatorische Regeln und Prozesse in der Regel nicht aus, um Manipulationen und Missbrauch zu verhindern.
Abhilfe schafft hier beispielsweise eine betreibersichere Technologie, bei der privilegierte Zugriffe durch einen Satz rein technischer Maßnahmen zuverlässig ausgeschlossen sind. Aus diesem Grund können Mitarbeiter die zu verarbeitenden Daten weder zur Kenntnis nehmen, noch sie weitergeben: Ein Missbrauch von Daten ist daher wesentlich unwahrscheinlicher.
„Unternehmen, die sich beziehungsweise ihre Daten und die Daten ihrer Kunden versichern wollen, sollten also bereits vor der Bewertung durch den Versicherer dafür sorgen, ausreichende Sicherheitsmaßnahmen getroffen zu haben.“
Dr. Hubert Jäger, Uniscon
Ein Unternehmen, das eine betreibersichere Infrastruktur beziehungsweise einen betreibersicheren Cloud-Dienst nutzt, ist also gleich doppelt auf der sicheren Seite: Nicht nur, dass seine Daten auf höchstem Niveau abgesichert sind, auch dem Abschluss einer Cyberversicherung steht so nichts im Wege – und das womöglich sogar zu besonders günstigen Konditionen.
Datenschutz dank Versicherungspflicht?
Cyberversicherungen sind aber nicht nur eine Möglichkeit für Unternehmen, sich gegen Cyberangriffe und Datenverluste zu schützen. Richtig eingesetzt, könnten sie auch ein Instrument zur Regulierung darstellen: Zum Beispiel könnte man die Anbieter von Internetdiensten für Verbraucher und Unternehmen mit der Einführung einer Versicherungs- oder Rückstellungspflicht für Cyberrisiken dazu bewegen, smarte und sichere Technologien auch tatsächlich anzuwenden.
Mit einer solchen Pflicht ließen sich Unternehmen bestrafen, die sicherheitstechnisch schlampig agieren, da sie besagte Versicherungsleistungen beziehungsweise Rückstellungen aus dem Gewinn bezahlen müssten. Sicherheitstechnisch innovative Unternehmen würden hingegen belohnt, da sie von günstigeren Policen profitieren. Sie könnten nämlich die gebildeten Cyber-Risk-Rückstellungen gewinnsteigernd auflösen.
Denn solange erst Präzedenzfälle im Datenschutz die Unternehmen bewegen, die geeigneten Maßnahmen zum Schutz zu ergreifen, bleibt Datenschutz ein zahnloser Tiger. Wenn sich aber das rasant wachsende Risiko der Digitalisierung finanziell auswirkt und dies in der handelsrechtlichen Betrachtung berücksichtigt ist, würden auch die notwendigen und ökonomisch sinnvollen Datenschutzmaßnahmen ergriffen.
Über den Autor:
Dr. Hubert Jäger ist CTO und Gründer der TÜV-SÜD-Tochter Uniscon.
