Cyberversicherung: Bedarfsermittlung bei Kunden

Im ersten Schritt der Bedarfsermittlung geht es darum, das Unternehmen kennenzulernen und einen Überblick über die Geschäftsprozesse und die IT-Infrastruktur zu erhalten. Neben grundlegenden Angaben wie Unternehmensgröße und Branche muss ebenfalls geprüft werden, in welchem Ausmaß das Unternehmen auf elektronische Systeme angewiesen ist und welche Daten im Geschäftsbetrieb verarbeitet werden.

Im Rahmen dieser initialen Prüfung werden wesentliche Fragen beantwortet wie:

• Welche kritischen Geschäftsprozesse gibt es?
• Welche IT-Systeme und Daten sind unverzichtbar für den Geschäftsbetrieb?
• Wie stark ist das Unternehmen von digitalen Systemen abhängig?
• Werden personenbezogene Daten verarbeitet?
• Verarbeitet und/oder speichert das Unternehmen andere wertvolle Daten (z. B. Kreditkartendaten oder sonstige Finanzdaten)?
• Nutzt das Unternehmen externe Dienstleister (z. B. Cloud-Anbieter) für digitale Prozesse oder Datenspeicherung?

Das Ziel besteht darin, eine Übersicht über die verwendeten IT-Systeme, Netzwerke, Cloud-Dienste und Datenbestände zu erhalten, um die möglichen Auswirkungen eines Cyber-Angriffs besser abschätzen zu können.

Daneben müssen auch branchenspezifische regulatorische Anforderungen und Sicherheitsstandards berücksichtigt werden - und das sowohl während der Risikoanalyse als auch bei der nachfolgenden Produktberatung. Denn sie beeinflussen, welche Deckungsbausteine und Versicherungssummen benötigt werden und ob das Unternehmen bestimmte Maßnahmen umsetzen muss, um überhaupt versicherbar zu sein.

Zu den rechtlichen Anforderungen und Rahmenbedingungen, die in diesem Kontext relevant sind, gehören zum Beispiel die DSGVO, die NIS-2-Richtlinie, die KRITIS-Verordnung sowie weitere branchenspezifische Compliance-Vorgaben, wie sie etwa für die Finanz- oder Gesundheitsbranche gelten. Die Einhaltung geltender Informationssicherheitsstandards wie ISO 27001 ist ebenfalls relevant, da sie die Höhe der Versicherungsprämie beeinflussen kann.

Eine detaillierte Kenntnis über die geltenden Anforderungen und deren Erfüllung durch das Unternehmen ist für Makler essenziell, um ein passendes Deckungskonzept zu erstellen und den Kunden vor finanziellen und rechtlichen Konsequenzen zu schützen.

Die Analyse und Bewertung des individuellen Risikoprofils des Unternehmens ist ein essenzieller Bestandteil der Bedarfsanalyse in der Cyberversicherung. Gemeinsam mit dem Kunden werden potenzielle Risiken identifiziert, die zu einem Versicherungsfall führen könnten, um eine passende Deckung und Versicherungssumme zu ermitteln.

Dabei werden sowohl externe Risiken (z. B. Hacker-Angriffe, Ransomware-Attacken oder Denial-of-Service-Angriffe) als auch interne Risiken (z. B. Systemausfälle, Bedienfehler oder Sabotage durch Mitarbeitende) und regulatorische Risiken (z. B. Datenschutzverletzungen oder Verstöße gegen branchenspezifische Vorschriften) in Betracht gezogen.

Nach der Identifikation aller relevanten Risiken folgt die Bewertung der Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes. Bei der finanziellen Risikoabschätzung müssen verschiedene Schadensarten berücksichtigt werden. Mögliche Schäden durch Cyber-Angriffe sind:

• Umsatzeinbußen durch Betriebsunterbrechung
• Kosten für die System- und Datenwiederherstellung
• Schadensersatzansprüche von Kunden oder Geschäftspartnern
• Bußgelder und Rechtskosten bei Datenschutzverletzungen

Bei der Risikoanalyse können Makler mit speziellen Risikobewertungstools oder -fragebögen arbeiten, die ihnen helfen, die möglichen Cyber-Risiken quantitativ und qualitativ zu bewerten. Alternativ können gemeinsam mit den Kunden potenzielle Schadensszenarien durchgespielt werden (sog. Worst-Case-Szenarien), um die finanziellen Auswirkungen eines Cyber-Vorfalls abzuschätzen.

Punktuell kann es zu Überschneidungen zwischen einer Cyberversicherung und anderen gewerblichen Versicherungen wie der D&O-Versicherung oder der Vertrauensschadenversicherung kommen. Daher sollte im Rahmen der Bedarfsanalyse geprüft werden, ob bestehende Versicherungen bereits gewisse Teile der ermittelten Cyber-Risiken abdecken und welche Deckungslücken bestehen. So kann der Versicherungsbedarf passgenau ermittelt werden.

Neben der Überprüfung der bereits vorhandenen Versicherungspolicen ist auch eine Bestandsaufnahme der bestehenden IT-Sicherheitsmaßnahmen ein wichtiger Bestandteil der Bedarfsermittlung beim Kunden. Hier spielt die Umsetzung der gesetzlich vorgeschriebenen Maßnahmen hinsichtlich Datenschutz und anderen branchenspezifischen Sicherheitsanforderungen eine Rolle. 

Außerdem werden die vom Unternehmen getroffenen administrativen und technischen Präventionsmaßnahmen gegen Cyber-Bedrohungen beurteilt. Dazu gehören Aspekte wie:

• Welche Firewalls, Antivirenprogramme und Backup-Systeme sind im Einsatz?
• Gibt es regelmäßige Sicherheitsupdates und Penetrationstests?
• Wie häufig werden die Mitarbeitenden zum Thema Cyber-Sicherheit geschult?
• Gibt es detaillierte IT-Sicherheitsrichtlinien und ein funktionierendes Zugriffsrechtemanagement?

Eine gute Orientierung, welche IT-Sicherheitsmaßnahmen standardmäßig vorausgesetzt werden, sind die Risikofragen der Versicherer. Einen umfassenden Überblick, welche Mindestanforderungen an die IT von den meisten Versicherern gestellt werden, bietet die CyberDirekt Marktanalyse 2024.

Auch eventuell getroffene Vorkehrungen für die Incident Response im Schadensfall werden in Betracht gezogen. Mögliche organisatorische Präventionsmaßnahmen sind beispielsweise das Erstellen eines Notfallplans für Cyber-Angriffe oder die Bildung eines Incident Response Teams, das im Ernstfall schnell handlungsbereit ist. Das Ziel dieser Überprüfung besteht darin, Lücken im IT-Sicherheitskonzept des Unternehmens zu identifizieren, die durch eine Cyber-Police abgedeckt werden können.

Basierend auf den zuvor durchgeführten Analysen und Überprüfungen wird in einem nächsten Schritt der konkrete Versicherungsbedarf des Unternehmens ermittelt. Das Ziel besteht darin, Aspekte wie Versicherungsumfang, Deckungssumme und Selbstbeteiligung zu definieren.

Beim Versicherungsumfang geht es darum, festzulegen, welche Schäden und Risiken durch die Cyberversicherung abgedeckt werden sollen. Mit Blick auf das zuvor erstellte Risikoprofil des Unternehmens wird entschieden, welche Risiken und Kosten auf jeden Fall abgedeckt werden müssen. Je nach Branche, Geschäftsprozessen und IT-Infrastruktur können ggf. Zusatzbausteine der Versicherung hinzugenommen werden (z. B. Abdeckung von Lösegeldzahlungen oder Betriebsunterbrechungen durch Cloud-Ausfälle).

Danach wird die Versicherungssumme festgelegt. Als Orientierung dient hier die zuvor durchgeführte finanzielle Risikobewertung. Die Deckungssumme sollte so gewählt sein, dass sie die im Rahmen der zuvor exemplarisch aufgezeigten Worst-Case-Szenarien ermittelten Schäden abdeckt, ohne jedoch zu einer Prämienhöhe zu führen, die für das Unternehmen finanziell nicht mehr tragbar ist.

Je nach Budget des Unternehmens sollte ein Mittelweg gefunden werden, der eine akzeptable Prämienhöhe mit einer möglichen Eigenleistung des Unternehmens kombiniert. Wichtige Anhaltspunkte, die bei der Berechnung der Deckungssumme in jedem Fall in Betracht gezogen werden sollten, sind die Kosten einer potenziellen Betriebsunterbrechung, mögliche Wiederherstellungskosten für Daten und Systeme und die Höhe möglicher Schadensersatzansprüche aus DSGVO-Verstößen.

Ein ähnliches Vorgehen ist bei der Festlegung des in der Cyber-Police definierten Selbstbehalts erforderlich. Hier muss gemeinsam mit den Kunden ermittelt werden, wie hoch die Selbstbeteiligung im Schadensfall sein kann, um die Prämienhöhe zu optimieren, ohne das Unternehmen finanziell zu sehr zu belasten.

Nach der Bedarfsermittlung des Kunden folgt die Auswahl einer passenden Cyberversicherung. Auf der Basis der ermittelten Anforderungen an die Versicherung können Makler und Vermittler verschiedene Anbieter hinsichtlich Deckung, Ausschlüssen und Prämien vergleichen und dadurch ermitteln, welche Anbieter grundsätzlich in Frage kommen. Danach werden von verschiedenen Versicherern auf die individuellen Situation des Unternehmens angepasste Angebote eingeholt, die hinsichtlich Preis-Leistungs-Verhältnis und Bedingungen verglichen werden.

Bei diesem Schritt der Kundenberatung besteht die Möglichkeit, einen Online-Marktvergleich zu nutzen. Mit dem branchenspezifischen Versicherungsvergleich von CyberDirekt können Makler beispielsweise schnell die beste Cyberversicherung für ihre Kunden identifizieren und direkt online ein Angebot erstellen lassen.