WannaCry, Petya – zwei Beispiele, deren Auswirkungen zeigen, dass Angriffe auf die IT von Unternehmen nicht nur den Betriebsablauf behindern oder lahmlegen, sondern zudem sehr hohe wirtschaftliche Schäden verursachen können. Wie sich der Markt für Cyber-Versicherung derzeit wandelt und was das für Versicherer und Versicherte bedeutet, erklären Lutz Martin Keppeler und Stefan Jöster von der Sozietät Heuking Kühn Lüer Wojtek im Interview.
Herr Keppeler, warum sind Cyber-Versicherungen essentiell?
Lutz Martin Keppeler: Dazu muss man sich vergegenwärtigen, dass es – auch wenn das natürlich schön wäre – keine einhundertprozentige IT-Sicherheit gibt. Das haben WannaCry und Petya leider noch einmal bestätigt. Das heißt natürlich nicht, dass IT-Sicherheit nicht wichtig ist – ganz im Gegenteil. Im Umkehrschluss bedeutet die Tatsache, dass es keinen absoluten Schutz geben kann, jedoch, dass Unternehmen gar keine andere Möglichkeit haben, als sich gegen die operativen und finanziellen Risiken von Cyber-Attacken abzusichern. Denn häufig geht es dabei um sehr hohe Summen. Und ich meine damit nicht nur die Lösegelder, die Cyber-Kriminelle dafür fordern, dass sie Daten wieder freigeben. Neben den Schäden an der IT und den betroffenen Daten ist es vor allem das hohe Haftungsrisiko, das Unternehmen Sorgen bereitet.
Wie kann eine Cyber-Versicherung Abhilfe verschaffen, Herr Dr. Jöster?
Stefan Jöster: Wenn ein Unternehmen Opfer eines Cyber-Angriffs wird, springt die Cyber-Versicherung ein und gleicht – je nach versicherten Leistungen – entstandene Schäden aus. Die Versicherer helfen aber auch dabei, mittels geeigneter Dienstleister IT-Systeme abzusichern, wieder in Betrieb zu nehmen oder Daten zu retten. Kommt es nach einem Cyber-Angriff zu behördlichen Ermittlungen, gewährt die Cyber-Versicherung außerdem Rechtsschutz. Wichtig ist, dass eine Cyber-Versicherung aber nicht nur die finanziellen Risiken durch externe Angriffe abdeckt, sondern auch Schäden, die in einem Unternehmen von den eigenen Mitarbeitern – im Einzelfall sogar vorsätzlich – verursacht werden.
Was ist das Besondere bei Cyber-Versicherungen?
Stefan Jöster: Bei dieser Versicherungsart gibt es noch keine Standard-Policen. Der Markt ist sehr stark in Bewegung, was ihn für Versicherer, aber auch für Unternehmen sehr spannend, aber mitunter auch unübersichtlich macht. Für Unternehmen lohnt es sich, ihr Risiko genau zu analysieren und die Bedingungen der einzelnen Policen miteinander zu vergleichen. Versicherer müssen das berücksichtigen. Es kann also ein echter Wettbewerbsvorteil sein, wenn eine Cyber-Versicherung vom versicherten Unternehmen jeweils auf seine individuellen Anforderungen zugeschnitten werden kann. Zudem fallen die einzelnen versicherten Schäden in unterschiedliche Versicherungssparten. Nicht jeder Versicherer besitzt jedoch die Genehmigung für alle Sparten.
Vor welche Herausforderungen stehen die Versicherer?
Lutz Martin Keppeler: Häufig prüfen Versicherer das IT-System eines Unternehmens vor einem Vertragsschluss nicht auf Herz und Nieren, sondern geben nur bestimmte Mindestkriterien für die IT-Sicherheit vor. Oder die Versicherer fordern lediglich, dass Unternehmen ihre IT-Systeme auf einem ausreichenden Sicherheitsniveau halten müssen. Das kann sich aber schnell zum Bumerang entwickeln. Denn wie ein solches Niveau oder wie ein solcher Mindeststandard auszusehen hat, ist gerade in der sich stetig wandelnden IT-Landschaft schwer zu definieren. Regelmäßige Zertifizierungen von Drittanbietern sind daher unerlässlich, wenn es darum geht, eine für beide Seiten verlässliche Grundlage zu finden.
Welchen Stand hat die Cyber-Versicherung derzeit im Vergleich zu anderen Versicherungen?
Stefan Jöster: Bislang war die Cyber-Versicherung ein Nischenprodukt. Durch die steigende Zahl der Cyber-Attacken, hat sie jedoch das Potenzial, langfristig auf einer Stufe mit Feuer-, Haftpflicht- oder Produkthaftpflichtversicherungen zu stehen und quasi eine Standardabsicherung für Unternehmen zu werden. Dadurch werden sie auch dazu beitragen, Standards und Zertifikate zur IT-Sicherheit zu etablieren.
Wie sieht es mit Standards und rechtlichen Regelungen im Bereich IT-Sicherheit aus?
Lutz Martin Keppler: Es gibt außergesetzliche Standards, wie etwa die Normenreihe ISO2700 oder den Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik, kurz BSI. Darüber hinaus entdecken der deutsche und der europäische Gesetzgeber das Thema IT-Sicherheit langsam aber sicher für sich. Mit den Verordnungen zum IT-Sicherheitsgesetz wurden bereits erste rechtliche Detailregelungen in diesem Bereich geschaffen. Auch die Datenschutzgrundverordnung, die ab dem Mai 2018 gilt, enthält Regelungen zur IT-Sicherheit. Allerdings ist das alles noch sehr abstrakt. Es gehört daher zu den Aufgaben von Versicherern, sich für mehr Transparenz einzusetzen, um Unternehmen genau die IT-Absicherung bieten zu können, die sie benötigen. Das wäre für alle Seiten von Vorteil.