Was deckt eine Cyberversicherung ab?

Im Rahmen der technischen Reaktion auf Cyber-Angriffe wird der Vorfall eingehend von IT-Sicherheitsexperten untersucht, um den Angriffsvektor zu identifizieren und den Ablauf des Angriffs zu rekonstruieren. Die hierdurch entstehenden Kosten sollten vom Versicherungsschutz abgedeckt sein. Manche Versicherer leisten auch Unterstützung bzw. übernehmen die Kosten für eine Analyse und Beratung hinsichtlich möglicher Sicherheitsverbesserungen durch externe Dienstleister.

Je nach Schwere und Ausmaß der Cyber-Attacke sind nach der initialen Eindämmung des Angriffs unter Umständen umfangreiche Wiederherstellungsmaßnahmen notwendig, um die IT-Systeme wieder aufzubauen und verlorengegangene, beschädigte oder verschlüsselte Daten wiederherzustellen. Dazu können Ausgaben für IT-Experten und Wiederherstellungssoftware gehören. Je nach Police kann auch der Ersatz von Hardware abgedeckt werden.

Nicht selten legen Cyber-Angriffe kritische Anwendungen oder sogar die gesamte IT-Infrastruktur eines Unternehmens lahm. Bis ein stabiler Notbetrieb aufgebaut ist, kommt es häufig zu Betriebsunterbrechungen und damit zu Umsatzeinbußen und vielleicht sogar zu zusätzlichen Betriebskosten, die entstehen, um den Betrieb aufrechtzuerhalten oder schnell wiederherzustellen, z. B. durch den Einsatz von Notfall-IT-Dienstleistungen. Betriebsunterbrechungskosten infolge eines Cyber-Vorfalls können durch eine Cyberversicherung abgedeckt werden.

Die Kosten für die Beratung durch einen Anwalt zur Klärung von Meldepflichten und sonstigen Pflichten zur Bewältigung von Datenschutzvorfällen werden in der Regel von einer Cyberversicherung abgedeckt. Sofern rechtlich zulässig, kann auch die Erstattung von Bußgeldern im Versicherungsschutz enthalten sein.

Je nach Police können auch die Kosten für Lösegeldzahlungen abgedeckt werden, die im Rahmen von Erpressungsversuchen mittels Ransomware gefordert werden. Hierunter fallen gegebenenfalls auch Verhandlungs- und Transaktionskosten für die Lösegeldzahlung.

Die Absicherung von Cyber-Diebstahl und Cyber-Betrug wird je nach Versicherer als optionaler Zusatzbaustein angeboten. Darunter fallen finanzielle Schäden, die durch Betrugsmaschen wie CEO-Fraud oder durch den Verlust von Vermögenswerten durch virtuellen Diebstahl entstehen.

Nicht selten werden im Zuge eines Cyber-Angriffs sensible Daten (z. B. Name, Adresse oder Bankdaten) von Kunden, Geschäftspartnern oder Mitarbeitenden kompromittiert, was zu Schadensersatzklagen führen kann. In solchen Fällen übernimmt die Cyberversicherung die Kosten für berechtigte Schadenersatzansprüche.

Eine Cyberversicherung bietet nicht nur Schutz gegen Haftungsrisiken durch die Übernahme von Schadenersatzansprüchen, sondern auch durch das Abwehren von unberechtigten Ansprüchen. Dazu prüft die Versicherung, ob das Unternehmen haftpflichtig ist und wehrt unberechtigte Ansprüche ab.

Hierunter fallen Rechtskosten, die für rechtliche Beratung und Verteidigung anfallen, wenn das Unternehmen aufgrund einer Datenschutzverletzung oder anderweitigen Drittschäden, die im Zusammenhang mit einem Cyber-Vorfall entstanden sind, rechtlich belangt wird. Dazu zählen Anwaltskosten, Gerichtskosten und andere Ausgaben im Rahmen eines Gerichtsverfahrens.

Eine Cyberversicherung deckt in der Regel verschiedene Arten von Drittschäden ab, die nicht auf Datenschutzverletzungen beschränkt sind. Werden Geschäftspartner durch die Kompromittierung ihrer Daten beispielsweise ebenfalls Opfer eines Cyber-Erpressungsversuchs oder kommt es über das versicherte Unternehmen zur Weitergabe von Schadsoftware, greift auch hier die Cyberversicherung. Je nach Versicherer sind bestimmte Haftpflichtfälle unter Umständen jedoch vom Versicherungsschutz ausgeschlossen, wie zum Beispiel Verletzungen von Persönlichkeitsrechten oder Ansprüche aufgrund von Urheber- und Markenrechtsverletzungen.

Zu den Kernbestandteilen einer Cyberversicherung gehören Assistance-Leistungen wie das Bereitstellen eines Krisenplans sowie eine 24-Stunden-Notfallhotline. Über die Krisenhotline bieten Versicherer in der Regel direkten Zugang zu Incident-Response-Dienstleistern, die im Notfall sofort die wichtigsten Maßnahmen zur Eindämmung des Angriffs einleiten.

Die organisatorischen Aspekte der Incident Response sind für die erfolgreiche Bewältigung eines Cyber-Angriffs genauso wichtig wie die technischen Reaktionsmaßnahmen. Eine Cyberversicherung deckt die Kosten für das Aufstellen eines Krisenstabs und das Hinzuziehen qualifizierter Dienstleister zur Bewältigung und Analyse des Vorfalls.

Wenn personenbezogene Daten gestohlen wurden, müssen die betroffenen Personen informiert werden. Je nach Anzahl der betroffenen Personen und Schadensausmaß können hier erhebliche Kosten entstehen, die vom Versicherungsschutz abgedeckt sein sollten.

Eine Cyberversicherung sollte nach einem Cyber-Vorfall Beratung bei der Öffentlichkeitsarbeit leisten, um den Reputationsschaden für die Organisation zu minimieren und das Vertrauen der Kunden und Geschäftspartner wiederherzustellen, und in diesem Kontext anfallende Kosten übernehmen.

Die Sensibilisierung der Mitarbeitenden ist für Unternehmen essenziell, um sich effektiv gegen Cyber-Angriffe zu schützen. Je nach Versicherer sind auch passende Mitarbeiterschulungen zu Themen wie Social Engineering im Leistungsumfang mit eingeschlossen.

Einige Versicherungen führen im Rahmen ihrer Risikoprüfung vor dem Abschluss einer Cyberversicherung sogenannte Schwachstellen-Scans durch, um bestehende Sicherheitslücken zu identifizieren und die Wahrscheinlichkeit von Angriffen zu verringern. Diese Audits werden teils kostenfrei zur Verfügung gestellt und zeigen Unternehmen auf, wo potenzielle Schwachstellen bestehen und wie diese geschlossen werden können. 

Daneben bieten verschiedene Versicherer auch eine professionelle Beratung durch IT-Experten an, die zum Ziel hat, Sicherheitslücken zu identifizieren und proaktive Sicherheitsmaßnahmen zu etablieren, um diese zu schließen.