CyberversicherungSchutz vor den Folgen von Cyberkriminalität
| Cyberkriminelle nehmen vermehrt Arztpraxen, öffentliche Verwaltungen, und Hochschulen in Deutschland ins Visier, warnt der Präsident des Bundeskriminalamts (BKA), Holger Münch. „Die Bedrohung durch Cybercrime steigt seit Jahren und verursacht teils massive wirtschaftliche und gesellschaftliche Schäden“, sagte Münch den Zeitungen der Funke Mediengruppe Mitte Juli 2023. Zwei Jahre später, Ende Juni 2025 warnt auch die KBV in ihren Praxisnachrichten alle Praxen vor einer groß angelegten Betrugswelle. „Kriminelle verschicken hierbei im Namen der apoBank Briefe, um von den Bankkunden vertrauliche Daten abzugreifen und sich Zugang zu den Konten zu verschaffen; auf keinen Fall sollten Praxen der Aufforderung in den Briefen folgen“, so die KBV. Mit einer Cyberversicherung verhindert man zwar nicht den Angriff von Kriminellen, kann sich aber vor den Folgen schützen! |
Wofür leistet eine Cyberversicherung?
Bei der Cyberversicherung handelt es sich um eine sehr junge Versicherungssparte, die als fakultative Zusatzversicherung Schäden im Zusammenhang mit Hackerangriffen oder sonstigen Akten von Cyberkriminalität absichert. Hatte eine Cyberversicherung bisher den Stellenwert eines Nischenprodukts, wird sie durch die stetig steigende Zahl von Cyberangriffen mittelfristig auf einer Stufe mit Feuer-, Haftpflicht- oder Produkthaftpflichtversicherungen einzuordnen sein und so eine Standardabsicherung für kleine bis große Unternehmen jeder Branche, also auch für (Zahn-)Arztpraxen, werden.
Versichert sind – je nach Vertrag – gerechtfertigte Haftpflichtansprüche (Drittschäden) aus dem Missbrauch der Daten, die im Betrieb gespeichert waren. Die Haftpflicht deckt u. a. Fremdschäden für die Folgen aufgrund von Verstößen gegen die Cybersicherheit, den Datenschutz sowie gegen Geheimhaltungspflichten und Datenvertraulichkeitserklärungen. Darüber hinaus sind sog. Eigenschäden versichert. Das sind Beschädigung, Zerstörung, Veränderung, Blockierung oder Missbrauch der IT-Systeme, Programme oder elektronischen Daten infolge eines Hackereinbruchs.
Welche Kosten sind versichert?
Der Leistungsumfang einer „Cyber-Risk-Versicherung“ erstreckt sich primär auf Kosten, die nach einer Attacke entstehen, sowie auf Vermögensschäden, die durch ihren Beitrag Dritten zugefügt werden. Dazu gehören:
- Kosten für IT-Forensik
- Rechtsberatung
- Informationskosten
- Kreditüberwachungsdienstleistungen
- Kosten für Krisenmanagement
- Kosten für PR-Beratung
- Betriebsunterbrechungsschäden
- Vertragsstrafen (PCI)
- Lösegeldzahlungen
- Wiederherstellungskosten
- Sicherheitsverbesserungen
Wie ist eine Cyberversicherung konzipiert?
Die überwiegenden Cyberversicherungskonzepte sind modular aufgebaut und lassen sich somit auf die Bedürfnisse und Anforderung der jeweiligen Versicherungsnehmer konkret abstimmen.
Übersicht: Cyberversicherungskonzepte | |
Cyber- und Dateneigenschäden | Grundbaustein für die Datenforensik, Wiederherstellung und weitere Cyberschäden |
Cyber-Betriebsunterbrechung | Bei Stillstand oder Ertragsausfall des Betriebs durch einen Hackerangriff |
Cyber-Erpressung | Wenn kein Zugriff auf den PC möglich ist, weil Hacker ihn bis zur Zahlung einer Geldsumme gesperrt haben |
Cyber-Zahlungsmittel | Wenn z. B. Kreditkartendaten von Kunden verloren, beschädigt oder kopiert wurden |
Cyber-Vertrauensschaden | Wenn Mitarbeiter/Dritte z. B. Unterschlagung von Geld oder Erschleichung von Zahlungen im Betrieb durchführen |
Cyber-Haftpflicht | Wenn z. B. versehentlich Viren an Kunden oder Dritte weitergegeben werden |
Die folgende Übersicht veranschaulicht an Schadensbeispielen, welcher Baustein für welche Schäden aufkommt.
Übersicht: Cyberversicherungsmodule und Schadensbeispiele | |
Cyber- und Dateneigenschaden | Ein Mitarbeiter öffnet den Anhang einer E-Mail, der einen Verschlüsselungstrojaner beinhaltet. Alle Daten auf den Systemen werden somit unlesbar gemacht. Die Kosten für die IT-Forensik, die Entfernung der Schadsoftware und Installation neuer Sicherheitssoftware betragen 26.000 Euro. |
Cyber-Betriebsunterbrechung | Ein Unternehmen wird mit einer Denial-of-Service-Attacke (DDOS) angegriffen. Die Plattform und damit verbundene Dienste sind zwei Tage für Kunden nicht erreichbar. Kosten für Anmietung zusätzlicher Serverkapazität, Kosten der Betriebsunterbrechung und Wiederherstellung der alten Homepage belaufen sich auf 80.000 Euro. |
Cyber-Erpressung | Ein Hacker verschafft sich Zugriff auf die IT-Systeme, verschlüsselt wichtige Kundendaten und fordert einen Betrag i. H. v. 25.000 Euro (in Form von Bitcoins). |
Cyber-Zahlungsmittel | Durch eine „Backdoor“ hat sich ein Hacker Zugang zu Kreditkartendaten eines Online-Reisebüros verschafft. Die Kreditkartenhersteller müssen alle Kreditkarten austauschen. Die Kosten dafür belaufen sich auf 250.000 Euro. |
Cyber-Vertrauensschaden | Ein Mitarbeiter hat Zugang zu mehreren Konten seines Arbeitgebers. Dies nutzt er aus, um sich über längere Zeit kleine Beträge auf sein Privatkonto zu überweisen. Der über ein Jahr entstandene Schaden beträgt 32.000 Euro. |
Cyber-Haftpflicht | Ein Unternehmen stellt kostenlose Dienstleistungs-/Produktinformationen zum Download zur Verfügung. Trotz aller Sicherheitsmaßnahmen ist eine Datei zum Download infiziert. Die IT-Systeme mehrerer Kunden werden dadurch infiziert. Der entstandene Gesamtschaden beläuft sich auf 30.000 Euro. |
Was sind die Soll-Leistungsinhalte?
Um die (Zahn-)Arztpraxis wirksam zu schützen, sollte eine Cyberversicherung Folgendes beinhalten:
Praxistipp | Da der Großteil aller Cyberangriffe mit einer E-Mail beginnt, steht und fällt die Sicherheit der Daten mit aufmerksamen Endbenutzern. Klassische Cyberattacken nutzen oft die Schwachstelle Mensch aus, um gezielt an Informationen zu gelangen. Social-Engineering-Angriffe oder Cyberattacken werden mit infizierten Phishing-E-Mails oder personalisierten Spear-Phishing-E-Mails an ausgewählte Mitarbeiter verschickt, um die Datensicherheit bei unsensiblem Verhalten der Mitarbeiter zu gefährden. Daher bieten die Versicherer zum Teil kostenlose Trainings- und Präventionsmaßnahmen zur Daten- und Cybersicherheit. |
- Soforthilfe durch eine 24-Stunden-Hotline ohne Anrechnung auf die Versicherungssumme und auf den Selbstbehalt
- Mitversicherung von Bedienfehlern
- Kosten für Sicherheitsanalyse und Sicherungsverbesserungen nach einem Schadensfall
- Mitversicherung von gezielten und ungezielten Angriffen
- Mitversicherung aller Arten von Schadsoftware-Infektionen (Viren, Würmer, Trojaner wie z. B. Locky)
- Mitversicherung aller Daten der Patienten
- Absicherung aller IT-Systeme, Programme und Daten (auch auf mobilen Geräten)
- Mitversicherung aller Arten von Cyberangriffen (z. B. DoS, DDoS)
- Mitversicherung aller Arten von Cybereinbrüchen (z. B. Golden-Tickets, Zero-Day-Lücken)
- Verstöße bei Marken- und Urheberrechten durch Werbung und Marketing
- Vertragsstrafen bei Verletzung von Geheimhaltungspflichten und Datenvertraulichkeitserklärungen
- Abwehrkosten in Bezug auf behördliche Verfahren
- Straf- und Ordnungswidrigkeiten-Rechtsschutz bei Cyberverstößen
- Weltweiter Versicherungsschutz ohne Einschränkungen für die USA
Was ist ausgeschlossen?
Doch auch eine Cyberversicherung versichert nicht jedes Risiko-/Schadensszenario. Kein Versicherungsschutz besteht für:
- Ansprüche Versicherter untereinander und von verbundenen Unternehmen, sofern nicht etwas anderes vereinbart wurde
- Vorsätzliche Herbeiführung des Versicherungsfalls, also Ansprüche wegen wissentlicher Pflichtverletzung, insbesondere wissentliches Abweichen von Gesetz, Vorschrift oder Anweisung des Auftraggebers
- Ansprüche auf geschuldete Leistung und wegen Garantiezusagen
- Kernenergie und Krieg
- Schäden infolge der Organisation oder des Ausrichtens von Preisausschreiben, Lotterien oder sonstigen Glücksspielen
- Schäden im Zusammenhang mit einem hoheitlichen Eingriff einschließlich einer behördlichen Vollstreckung oder einer staatlichen Verordnung
- Schäden aufgrund einer Störung oder Ausfall der öffentlichen oder privaten Infrastruktur
- Vertragsstrafen, soweit diese nicht ausdrücklich mitversichert sind
- Schäden infolge jedweder Form des Kaufs oder Verkaufs von Wertpapieren, Rohstoffen, Derivaten, Devisen, Anleihen oder vergleichbaren Wertanlagen
- Rechtswidriges Erfassen von Daten durch den Versicherten oder infolge fahrlässig fehlender Kenntnis eines Repräsentanten
- Ansprüche aufgrund von Patentrechtsverletzungen oder Schäden aus dem Verlust der Patentierbarkeit sowie Kartellrechtsverletzungen
Welche Voraussetzungen bestehen?
Der Versicherungsnehmer muss Mindestsicherheitsvorkehrungen erfüllen. Sie sind vom Umsatz des Unternehmens und der gewünschten Versicherungssumme abhängig. Bei größeren Unternehmen werden die Sicherheitsvorkehrungen zwischen dem Unternehmen und dem Versicherer abgestimmt. Für Unternehmen bis zu einem Jahresumsatz von 10 Mio. Euro werden lediglich folgende Sicherungen verlangt:
- Antivirenprogramme mit aktuellen Virendatenbanken
- Firewalls an allen Übergängen in das Internet für stationäre IT-Systeme
- Regelmäßige Datensicherung auf separierten Systemen/Datenträgern
Außerdem muss der Versicherungsnehmer Mindeststandards einhalten. Die Rechtsprechung vertritt in dieser Sache einen klaren Standpunkt: Wer z. B. durch unzureichende Sicherung seines Datenbestands die Schädigung eines Dritten begünstigt, ist Mitschuldiger. Praxen sind deshalb verpflichtet,
- Updates und Sicherheitspatches schnell einzuspielen,
- IT-Administratorenzugänge einzurichten und sparsam zu nutzen,
- individuelle Mitarbeiterzugänge einzurichten,
- komplexe Passwörter zu erzwingen,
- Mobilgeräte zu sichern,
- Manipulationen der Sicherungskopie zu verhindern und
- die Daten der Sicherungskopie zu testen.
Was kostet eine Cyberversicherung?
Für größere mittelständische Unternehmen und Konzerne werden die Risiken vom Versicherer individuell geprüft und Beiträge i. d. R. auf Basis umfangreicher Fragebögen zur IT-Sicherheit des Unternehmens kalkuliert. Für Unternehmen bis zu einem Jahresumsatz von 10 Mio. Euro bieten die führenden Cyberversicherer ein einfaches Antragsmodellverfahren an: Die Beitragshöhe hängt vom Umsatz des Unternehmens, der gewünschten Versicherungssumme und dem gewünschten Versicherungsumfang ab. Eine höhere Selbstbeteiligung kann sich zudem preislich günstig auswirken. So beträgt beispielsweise der Beitrag für ein Unternehmen mit einem Umsatz von 2,5 Mio. Euro und einer Absicherung für Cybereigenschäden, Betriebsunterbrechung, Erpressung sowie Cyberhaftpflicht und einer vereinbarten Selbstbeteiligung von 500 Euro etwa 1.000 Euro jährlich.
AUSGABE: ZP 10/2023, S. 17 · ID: 49532018