Management Datenschutz – Was bringen Cyber-Versicherungen?

Wer ein virtuelles Büro beziehen will, kann dafür die Dienste der großen Internetfirmen nutzen.

Wer ein virtuelles Büro beziehen will, kann dafür die Dienste der großen Internetfirmen nutzen.© Sergey Nivens / Fotolia.com

Eine IT-Panne kann für Unternehmer teuer werden. Für Schäden aus Datenklau und Serverabsturz gibt es Cyber-Versicherungen. Doch Angebote sind rar – und kostspielig.

Eigentlich wollte Manuel Meder nur vorsichtig sein, aber das war gar nicht so einfach. Als Geschäftsführer eines Internet-Startups arbeitet er täglich mit sensiblen Daten – die wollte Meder versichern lassen für den Fall, dass die Seite seiner Firma Busylamp, einer Plattform für Anwälte und ihre Mandanten, ausspioniert wird oder durch einen Unfall Vertrauliches an die Öffentlichkeit gerät. Erst nach langem ­Suchen fand Meder einen Versicherer, der ihm Schutz bot, die amerikanische AIG.

Anzeige

Busylamp ist nicht allein mit diesem Schutzbedarf. 40 Prozent aller deutschen Unter­nehmen mit mehr als drei Mitarbeitern hätten Erfahrung mit Sicherheitsvorfällen ihrer IT-Systeme, sagt der Elektronik-Bundesverband Bitkom. Die können vielfältig sein, ein Angriff von Hackern etwa oder ein Absturz der Firmenwebsite. Das Problem: Nur ein Teil der Schäden wird durch übliche Versicherungen gedeckt. So kann eine IT-Panne zum Finanzdesaster werden; bei größeren Unternehmen können Kosten in siebenstelliger Höhe entstehen.

Keine Deckung durch klassische Haftpflicht

Und die waren in der Regel bislang nicht gedeckt von den Policen deutscher Assekuranzen. Eine klassische Haftpflicht deckt in der Regel nur Schäden ab, die Dritten entstehen, und auch nur, wenn die eigene Firma ein Verschulden trifft. Ein Datenklau aus dem Internet hin­gegen? Nicht versichert. Fällt das IT-System aus, ersetzt eine übliche Betriebspolice den Schaden nur, wenn die Ursache explizit berücksichtigt ist, Brand zum Beispiel oder Hochwasser. Ein Blackout aber wegen eines überlasteten Servers? Nicht abgedeckt.

Genau das war auch das Problem von ­Manuel Meder. Über die Plattform seiner Firma Busylamp können sich Anwälte und ihre Mandanten über den Bearbeitungsstand und die Kosten ­ihrer Projekte austauschen – entsprechend sensibel sind die gespeicherten Daten. Als promoviertem Wirtschaftsanwalt ist Meder bewusst, was bei einem Sicherheitsleck auf ihn zukommen könnte; wer Personendaten verliert, ist laut Datenschutzgesetz verpflichtet, den Schaden genau zu untersuchen, die Betroffenen zu informieren und eventuell auch Strafzahlungen zu leisten – vom Vertrauensverlust der Kunden ganz zu schweigen. „Selbstverständlich arbeiten wir mit den neuesten Schutzsystemen“, sagt Meder. Doch er weiß auch: „Restrisiken wird man nie ganz ausschließen können.“

Sind Cyber-Policen ein Muss?

Meder begab sich also auf die Suche nach einer Versicherung. Schnell stellte er fest, dass deutsche Assekuranzen sogenannte Cyber-Policen meist nicht im Angebot haben. Die Allianz ist der einzige deutsche Versicherungskonzern, der diesen Schutz anbietet. Einige andere planen die Einführung.

Fündig wurde Meder bei angelsächsischen Assekuranzen. Doch der Schutz ist teuer. Marc Heitmann, Versicherungsmakler bei Marsh, rechnet zur Orientierung vor: Ein Unternehmen mit 500 Mitarbeitern und 100 Millionen Euro Umsatz sollte eine Schadenssumme von bis zu 5 Millionen Euro absichern. Jährlich wird dafür eine Prämie ­fällig von rund 25 000 Euro bei einer Selbst­beteiligung von 50 000 Euro. Kleinere Firmen mit 50 Mitarbeitern und 10 Millionen Euro Umsatz müssen bei ähnlicher Selbstbeteiligung noch mit einer Prämie von 10 000 Euro rechnen. Eine Schätzung – die Beiträge für CyberSchutz variieren stark, je nach Assekuranz.

Sollten Unternehmer trotz der Kosten in ­jedem Fall die Spezialversicherung für IT-Risiken abschließen? Nein, meint Rüdiger Auras, Hauptgeschäftsführer des Deutschen Versicherungs-Schutzverbandes (DVS). So gebe es kaum Erfahrungswerte mit den Policen, die Angebote seien meist individuell zugeschnitten. „Für kleinere Unternehmen und Handwerks­betriebe bezweifle ich daher, dass ein solcher Schutz Sinn macht“, sagt Auras.

Eine reale Gefahr für Unternehmer?

Wer jedoch eine Cyber-Versicherung abschließen will, kann für sein Geld weitreichenden Schutz verlangen. Etwa beim Klassiker der IT-Gefahren: Kreditkartendaten von Kunden werden aus dem System gestohlen und veröffentlicht. Eine gewöhnliche Betriebshaftpflicht zahlt nur, wenn die Diebe mit den Daten auf Einkaufstour gehen – und auch nur dann, wenn dem Unternehmen ein Verschulden nachgewiesen werden kann. Eine Cyber-Versicherung hingegen trägt auch die Kosten, die der geschädigten Firma entstehen: Den Vorfall untersuchen, Kunden und Behörden benachrichtigen, vor­übergehend ein Callcenter einrichten, die ­Daten wiederherstellen – all das sollte von der Police abgedeckt sein.

Ist das eine reale Gefahr für viele Unternehmen? Je mehr Geschäft elektronisch gemacht wird und je mehr Firmendaten im Internet kursieren, desto größer ist das Risiko. Beispiel Mister Spex. Mitte 2012 knackten Hacker die Kundendatenbank des Onlinebrillenhändlers mit Adressen und Passwörtern aller 400 000 Kunden – Glück im Unglück, die Datei enthielt keine Zahlungsdaten. Schlimmer erwischte es die Einkaufsplattform Dawanda. Hier war Anfang des Jahres plötzlich das Einkaufen unter ­falscher Identität möglich, der Shop musste zeitweilig abgeschaltet werden. Immer wieder werden Firmen auch Ziel von sogenannten ­Dos-Attacken (Denial of Service), bei denen Angreifer einen Unternehmensserver vorsätzlich überlasten und zum Absturz bringen. Opfer wie die Lieferportale pizza.de und lieferando.de haben 100 000 Euro Belohnung auf die Ergreifung der Täter ausgesetzt.

„Pauschale Lösungen sind nicht sinnvoll“

Wer eine Police abschließen will, wird allerdings nicht um eine genaue Firmenanalyse her­umkommen. „Pauschale Lösungen sind nicht sinnvoll“, warnt Holger Mardfeldt vom Lübecker Versicherungskontor Martens & Prahl, das die Eintrittswahrscheinlichkeiten der IT-Schäden und ihre mögliche Höhe berechnet. Voraussetzung für eine Cyber-Versicherung ist ein gewisses Niveau an bestehendem IT-Schutz.

Daran aber, dass sich Versicherungen speziell gegen Datenverlust oder Angriffe aus dem Internet durchsetzen werden, zweifelt Experte Mardfeldt nicht: „In zwei oder drei Jahren wird es in Deutschland kaum noch Mittelständler mehr ohne Cyber-Schutz geben.“

 

 

cover_110 Aus dem impulse-Magazin 04/2013
Abonnenten erhalten die neueste Ausgabe jeden Monat frisch nach Hause geliefert. Und über die impulse-App für iOS- und Android-Geräte können Sie die neuen Ausgaben im PDF-Format herunterladen und bequem auf Tablet oder Smartphone lesen.

2 Kommentare
  • […] Links: Munich Re: Cyberangriffe sind Realität – Unternehmen müssen sich vorbereiten, Impulse: Was bieten Cyber-Versicherungen […]

  • Benjamin 10. Juni 2013 12:43

    Ich habe einen Beitrag der Stiftung Warentest gelesen und erfahren, dass noch rund 3 Millionen DDR-Policen im Umlauf sind, die auch bei Elementarschäden haften. Das bezieht sich jedoch nur auf den Hausrat, also dem Inneren. Für das Gebäude selbst gibt es etwas derartiges leider nicht mehr.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.