Die Cyber-Kriminalität nimmt zu. Auch in Deutschland. Bei gewerblichen Kunden liegt die Schwierigkeit beim Umgang mit einem Datenmissbrauch vor allem im Bereich Krisenmanagement, weiß Andreas Reinhold von der AXA. So geben dem Edelman Privacy Risk Index zufolge 71 Prozent der Kunden an, dass sie nach einem Datenmissbrauch den Anbieter wechseln würden. Für den Einstieg empfiehlt er eine Deckungssummen ab 100.000 Euro. Generell sei die individuelle Absicherungssumme aber abhängig vom jeweiligen Unternehmen, welche Geschäftstätigkeit es ausübt und wie abhängig es von der IT ist, verrät Reinhold im Interview.
Versicherungsbote: Was sind die typischen Fälle für eine Cyber-Versicherung?
Herr Reinhold: In vielen Fällen geht es um Erpressung: Rechner und Daten werden gekapert, und der Erpresser gibt diese nur gegen Bezahlung einer Geldsumme frei. Auch in anderen Fällen, die wir beobachten, geht es fast immer um die drei Hauptrisiken Haftpflicht-, Eigen- und Vermögensschäden. Ein Haftpflichtschaden entstand beispielsweise, als aus dem weltbekannten Restaurant „Auerbachs Keller“ die Kreditkartendaten mehrerer hundert Kunden entwendet und missbraucht wurden. Das Kreditkartenunternehmen nahm das Restaurant für den entstandenen Schaden in Regress. Eine Versicherung würde berechtigte Ansprüche ersetzen und unberechtigte Ansprüche abwehren.
Ein weiteres Beispiel: Für die Abwehr und Wiederherstellung der Systeme sind oft externe Computerexperten mehrere Tage vor Ort, mit Stundensätzen von teilweise über 200 Euro. Weitere Kosten entstehen für das Krisen- und Reputationsmanagement. Ein Versicherer würde die Kosten für diese sogenannten Eigenschäden übernehmen. Vermögensschäden entstehen beispielsweise, wenn in einer fingierten E-Mail des Geschäftsführers ein Mitarbeiter angewiesen wird, einen hohen Geldbetrag an einen vermeintlichen Geschäftspartner zu überweisen, die sogenannte „fake president“-Attacke. Auch dagegen können Cyberversicherungen absichern.
Warum sollten Unternehmen dringend einen Schutz gegen Internet-Kriminalität haben?
Deutsche Unternehmen können zwischen 2015 und 2025 bis zu 270 Milliarden Euro zusätzliches Wirtschaftswachstum erschließen („Industrie 4.0“). Aber: Wo Chancen sind, sind auch Risiken. Die Bedrohung durch Cyber-Kriminalität wächst, und wird auch zunehmend wahrgenommen. In der Risiko-Wahrnehmung der Unternehmen stehen Cyber-Risiken mittlerweile auf Platz 2.
Für die Absicherung stehen mittlerweile Lösungen für alle wesentlichen Zielgruppen zur Verfügung. Je nach Bedarf reicht der Versicherungsschutz von einfachen und preisgünstigen Einstiegslösungen, die weniger als die Hälfte eines Sky-Bundesliga-Abos kosten, bis hin zu maßgeschneiderten Lösungen auf Basis modularer Produkte und individueller Risiko-Erfassung.
IT-Ausfälle, Spionage oder Datenmissbrauch können Unternehmen Millionen Euro kosten. Wie hoch sollten die Deckungssummen sein?
Der genaue Absicherungsbedarf hängt sehr stark vom Unternehmen ab – etwa von der Frage, welche Geschäftstätigkeit es ausübt und wie abhängig es von der IT ist, und welche Risiken abgesichert werden sollen. Für den Einstieg empfehlen wir Deckungssummen ab 100.000 Euro, über die die wichtigsten, bisher bekannt gewordenen Schadenfälle im kleingewerblichen Bereich ausreichend abgesichert sind. Je nach Unternehmensgröße sind deutlich höhere Deckungssummen sinnvoll und erforderlich, wobei jedoch gleichzeitig der Preis für die Absicherung erheblich ansteigt.
Wichtiger als die Deckungssumme ist die Unterstützung beim Management von Cyber-Risiken über den kompletten Lebenszyklus hinweg. Diese geht sozusagen als integrierte Dienstleistung mit der Cyber-Versicherung einher – von der Analyse in der Anbahnung, über Präventionsmaßnahmen, bis hin zur Unterstützung im Schadenfall durch hochspezialisierte Dienstleister.
Gerade Kleinunternehmen tun sich im Schadenfall sehr schwer, geeignete, spezialisierte IT-Forensiker, Sachverständige und PR-Experten zu identifizieren.
Wie ist die Hilfe nach einer Rufschädigung im Internet angelegt? Wie läuft das Krisenmanagement genau?
Rufschädigung spielt eher im privaten Bereich eine Rolle: Bei Cyber-Mobbing und Rufschädigung im Internet veranlasst der Versicherer eine Fall-Analyse sowie die Löschung von persönlichen Internet-Einträgen und stellt für die telefonische Erstberatung ein kompetentes Team von Psychologen und Rechtsanwälten zur Verfügung. Generell steht rund um die Uhr eine Informationshotline als erster Ansprechpartner zur Verfügung.
Bei gewerblichen Kunden ist weniger die Rufschädigung, sondern vielmehr das Krisenmanagement nach einem Datenmissbrauch kritisch, denn dem Edelman Privacy Risk Index zufolge geben 71 Prozent der Kunden an, dass sie nach einem Datenmissbrauch den Anbieter wechseln würden. Das hierfür erforderliche Krisen- und Reputationsmanagement wird durch PR-Spezialisten und Datenschutz-Experten unterstützt. Abhängig von der Fallkonstellation sind insbesondere Verstöße gegen das Bundesdatenschutzgesetz kritisch und möglicherweise auch Straftatbestände. Das Vorgehen hängt stark von der jeweiligen Fallkonstellation ab und lässt sich nur schwer generalisieren. Auch hier haben die größeren Versicherer mit Erfahrung in der Cyber-Versicherung laufende Arbeitsbeziehungen zu den jeweiligen Spezialisten, die dann fallabhängig herangezogen werden können.