Schwäbische Zeitung (Sigmaringen)
„In ein paar Jahren wird eine Cyber-Police Standard sein“
Georg Bräuchle, Chef des Risikoberaters Marsh, über die Absicherung von Folgeschäden durch Cyber-Angriffe
RAVENSBURG - Die mit Cyber-Angriffen verbundenen Risiken können Unternehmen auf Versicherer überwälzen. Für welche Schäden die Assekuranz einspringt und was es dabei zu beachten gilt, erklärt Georg Bräuchle vom Risikoberater Marsh im Gespräch mit Andreas Knoch.
Herr Bräuchle, welchen Schutz bieten sogenannte Cyber-Policen für Unternehmen?
Die Deckung betrifft im Wesentlichen drei Bereiche: Zum einen die Übernahme von Kosten, die nach einem Cyber-Angriff durch das Hinzuziehen externer IT-Berater entstehen. Zum anderen Haftpflichtschäden, wenn beispielsweise Persönlichkeitsrechte von Kunden verletzt werden. Das kann der Fall sein, wenn Patientendaten in einer Klinik oder Kreditkartendaten gestohlen wurden. Der dritte Bereich betrifft Eigenschäden des angegriffenen Unternehmens, also unter anderem Ausfälle durch Betriebsunterbrechungen, wenn beispielsweise die Produktionssteuerung gehackt wurde. Diese drei Bereiche lassen sich nach Kundenwunsch beliebig kombinieren.
Mit welchen Kosten müssen Unternehmen für eine solche Police kalkulieren?
Cyber-Policen sind relativ günstig, da viele Versicherer in den Markt eingestiegen sind. Auch wenn die Kosten natürlich vom Einzelfall abhängen: Eine Prämie von 10 000 Euro für eine Deckungssumme von zwei Millionen Euro bei einem Unternehmen mit rund 50 Millionen Euro ist realistisch.
Wie verbreitet sind Cyber-Policen in der deutschen Unternehmenslandschaft?
Da ist noch mächtig Luft nach oben. Vielleicht 15 Prozent der Unternehmen haben inzwischen eine Cyber-Police. Wir registrieren aber ein zunehmendes Interesse seitens der Firmen. In ein paar Jahren wird eine Cyber-Police genauso Standard sein wie beispielsweise eine Haftpflicht- oder Feuerversicherung.
Wie läuft die Schadenregulierung im Fall eines Cyber-Angriffs ab?
Nach einer Schadenmeldung beauftragen wir in der Regel einen IT-Forensiker, der im betroffenen Unternehmen untersucht und dokumentiert, was los ist. Parallel dazu wird der Versicherer informiert. Im Idealfall identifiziert der IT-Forensiker die Schadsoftware und bringt die Systeme wieder zum Laufen. Meistens erweist sich ein erster Verdacht als unbegründet und es stellt sich heraus, dass es kein Cyber-Angriff war.
Welche Schwierigkeiten gibt es in der Praxis?
Bei Cyber-Versicherungen handelt es sich um eine noch sehr junge Versicherungssparte. Deshalb besteht bei den Akteuren noch große Unsicherheit, wie einzelne Tatbestände auszulegen sind. Ein Beispiel für diese Problematik sind die sogenannten Fake-President-Fälle, bei denen Hacker gefälschte E-Mails mit Überweisungsanordnungen des Firmenchefs verschicken. Schäden daraus sind nicht durch Cyber-Policen gedeckt. Das hat bei etlichen Unternehmen zu Enttäuschungen geführt.