Berlin. (gdv / eb) Der beste Cyberangriff ist der, der nicht stattfinden kann – weil die Systeme sicher und die Kundendaten bestens geschützt sind vor dem Zugriff von Unbefugten. Doch vor allem kleine und mittelständische Unternehmen werden zunehmend Opfer solcher Attacken. Viele Firmen halten sich schlicht für zu klein, als dass sie ins Visier von kriminellen Hackern geraten könnten. «Das ist ein gefährlicher Irrglaube», sagt Alexander Erdland, Präsident des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). So hat bereits jeder vierte Mittelständler (28 Prozent) finanzielle und materielle Schäden durch Attacken aus dem Netz erlitten, wie eine repräsentative Forsa-Umfrage im Auftrag des GDV zeigt.
Die Versicherungswirtschaft hat deshalb unverbindliche Musterbedingungen für eine Cyberversicherungspolice entwickelt, die sie im April dieses Jahrs der Öffentlichkeit vorstellte. Die Musterbedingungen sind speziell auf die Bedürfnisse von Unternehmen mit einem Umsatz von bis zu 50 Millionen Euro und einer Größe von bis zu 250 Mitarbeitenden zugeschnitten. Sie richten sich ebenso an Arztpraxen oder Anwaltskanzleien wie an Handwerksbetriebe und Industriezulieferer. Die Versicherung leistet demnach nicht nur bei Datenklau und Betriebsunterbrechungen, sondern übernimmt auch Kosten für IT-Forensiker oder Krisenkommunikation. GDV-Präsident Erdland: «Die Versicherungswirtschaft kann so als Teil der Lösung dazu beitragen, den Kampf mit den Cyberkriminellen aufzunehmen». Die unverbindlichen Musterbedingungen sollen – einerseits – Versicherern die Entwicklung eigener Angebote erleichtern. Andererseits sind sie für Unternehmen und Makler ein Vergleichsmaßstab, um Versicherungsangebote zu bewerten.
Gleichwohl muss man deutlich machen, dass das Modell der Cyberversicherung erst im Werden begriffen ist und noch ganz am Anfang steht. «Mal eben kurz» eine Versicherung abschließen zu wollen, wird der Komplexität des Themas nicht gerecht. Auch kann eine Cyberversicherung nicht die Implementierung einer adäquaten Risikokultur in den Unternehmen ersetzen. Organisatorische und technische Cybersicherheit muss sowohl im privaten Sektor als auch im unternehmerischen Umfeld eine Selbstverständlichkeit sein. Erst dann macht eine Cyberversicherung wirklich Sinn. Das zeigen auch die vom GDV vorgeschlagenen «Allgemeinen Versicherungsbedingungen für die Cyberrisiko-Versicherung» (PDF) und der «Unverbindliche Muster-Fragebogen zur Risikoerfassung im Rahmen von Cyberversicherungen für kleine und mittelständische Unternehmen» (PDF).
«Zudem erschöpft sich die Bewertung von Risiken und Taxierung von Schäden in mehr als nur dem Abarbeiten eines Fragebogens», sagt Sven Goerigk, Vorstandsvorsitzender der SHB Allgemeinen Versicherung VVaG aus Königswinter. «Seitens der Versicherer braucht es Gutachter, die in der Materie zuhause sind. In Bezug auf den Schadensfall müssen Versicherer Experten vorhalten für die Datenwiederherstellung, System-Rekonstruktion, Forensik-Experten für die Beweissicherung, Anwälte für das IT- und Datenschutzrecht sowie Spezialisten für die Krisenkommunikation».
Die «eine» Cyberversicherung werde es kaum geben und selbst wenn, dann würde sie sich analog zum Tempo in der Informationstechnik rasant weiterentwickeln. Verschiedene Risiko-Kategorien und Geschäftsfelder verlangen nach differenzierten Antworten. «Der Umgang mit sensiblen Daten seitens potentieller Versicherungsnehmer, vernetzte Produktion oder/und E-Commerce erhöhen die Komplexität zusätzlich», weiß der Versicherungsexperte.