„In ein paar Jah­ren wird ei­ne Cy­ber-Po­li­ce Stan­dard sein“

Ge­org Bräuch­le, Chef des Ri­si­ko­be­ra­ters Mar­sh, über die Ab­si­che­rung von Fol­ge­schä­den durch Cy­ber-An­grif­fe

Schwaebische Zeitung (Wangen) - - WIRTSCHAFT -

RAVENSBURG - Die mit Cy­ber-An­grif­fen ver­bun­de­nen Ri­si­ken kön­nen Un­ter­neh­men auf Ver­si­che­rer über­wäl­zen. Für wel­che Schä­den die As­se­ku­ranz ein­springt und was es da­bei zu be­ach­ten gilt, er­klärt Ge­org Bräuch­le vom Ri­si­ko­be­ra­ter Mar­sh im Ge­spräch mit Andre­as Knoch.

Herr Bräuch­le, wel­chen Schutz bie­ten so­ge­nann­te Cy­ber-Po­li­cen für Un­ter­neh­men?

Die De­ckung be­trifft im We­sent­li­chen drei Be­rei­che: Zum ei­nen die Über­nah­me von Kos­ten, die nach ei­nem Cy­ber-An­griff durch das Hin­zu­zie­hen ex­ter­ner IT-Be­ra­ter ent­ste­hen. Zum an­de­ren Haft­pflicht­schä­den, wenn bei­spiels­wei­se Per­sön­lich­keits­rech­te von Kun­den ver­letzt wer­den. Das kann der Fall sein, wenn Pa­ti­en­ten­da­ten in ei­ner Kli­nik oder Kre­dit­kar­ten­da­ten ge­stoh­len wur­den. Der drit­te Be­reich be­trifft Ei­gen­schä­den des an­ge­grif­fe­nen Un­ter­neh­mens, al­so un­ter an­de­rem Aus­fäl­le durch Be­triebs­un­ter­bre­chun­gen, wenn bei­spiels­wei­se die Pro­duk­ti­ons­steue­rung ge­hackt wur­de. Die­se drei Be­rei­che las­sen sich nach Kun­den­wunsch be­lie­big kom­bi­nie­ren.

Mit wel­chen Kos­ten müs­sen Un­ter­neh­men für ei­ne sol­che Po­li­ce kal­ku­lie­ren?

Cy­ber-Po­li­cen sind re­la­tiv güns­tig, da vie­le Ver­si­che­rer in den Markt ein­ge­stie­gen sind. Auch wenn die Kos­ten na­tür­lich vom Ein­zel­fall ab­hän­gen: Ei­ne Prä­mie von 10 000 Eu­ro für ei­ne De­ckungs­sum­me von zwei Mil­lio­nen Eu­ro bei ei­nem Un­ter­neh­men mit rund 50 Mil­lio­nen Eu­ro ist rea­lis­tisch.

Wie ver­brei­tet sind Cy­ber-Po­li­cen in der deut­schen Un­ter­neh­mens­land­schaft?

Da ist noch mäch­tig Luft nach oben. Viel­leicht 15 Pro­zent der Un­ter­neh­men ha­ben in­zwi­schen ei­ne Cy­ber-Po­li­ce. Wir re­gis­trie­ren aber ein zu­neh­men­des In­ter­es­se sei­tens der Fir­men. In ein paar Jah­ren wird ei­ne Cy­ber-Po­li­ce ge­nau­so Stan­dard sein wie bei­spiels­wei­se ei­ne Haft­pflicht- oder Feu­er­ver­si­che­rung.

Wie läuft die Scha­den­re­gu­lie­rung im Fall ei­nes Cy­ber-An­griffs ab?

Nach ei­ner Scha­den­mel­dung be­auf­tra­gen wir in der Re­gel ei­nen IT-Fo­ren­si­ker, der im be­trof­fe­nen Un­ter­neh­men un­ter­sucht und do­ku­men­tiert, was los ist. Par­al­lel da­zu wird der Ver­si­che­rer in­for­miert. Im Ide­al­fall iden­ti­fi­ziert der IT-Fo­ren­si­ker die Schad­soft­ware und bringt die Sys­te­me wie­der zum Lau­fen. Meis­tens er­weist sich ein ers­ter Ver­dacht als un­be­grün­det und es stellt sich her­aus, dass es kein Cy­ber-An­griff war.

Wel­che Schwie­rig­kei­ten gibt es in der Pra­xis?

Bei Cy­ber-Ver­si­che­run­gen han­delt es sich um ei­ne noch sehr jun­ge Ver­si­che­rungs­spar­te. Des­halb be­steht bei den Ak­teu­ren noch gro­ße Un­si­cher­heit, wie ein­zel­ne Tat­be­stän­de aus­zu­le­gen sind. Ein Bei­spiel für die­se Pro­ble­ma­tik sind die so­ge­nann­ten Fa­ke-Pre­si­dent-Fäl­le, bei de­nen Ha­cker ge­fälsch­te E-Mails mit Über­wei­sungs­an­ord­nun­gen des Fir­men­chefs ver­schi­cken. Schä­den dar­aus sind nicht durch Cy­ber-Po­li­cen ge­deckt. Das hat bei et­li­chen Un­ter­neh­men zu Ent­täu­schun­gen ge­führt.

FO­TO: OH

Ge­org Bräuch­le

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.