Vor allem kleine und mittelständische Unternehmen (KMU) werden zunehmend Opfer von Cyber-Attacken. Jeder vierte Mittelständler (28 Prozent) musste bereits finanzielle und materielle Schäden durch Attacken aus dem Netz verbuchen, wie eine Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zeigt. Die Versicherungswirtschaft will diesem Trend gegensteuern und hat deshalb unverbindliche Musterbedingungen für eine Cyber-Versicherungspolice entwickelt.
Die Musterbedingungen sind speziell auf die Bedürfnisse von Unternehmen mit einem Umsatz bis 50 Millionen Euro und einer Größe bis 250 Mitarbeiter zugeschnitten. Sie richten sich auch an ganz unterschiedliche Branchen und Berufsgruppen, so an Arztpraxen und Anwaltskanzleien, aber auch an Handwerksbetriebe und Industriezulieferer. Die Versicherung leistet nicht nur bei Datenklau und Betriebsunterbrechungen, sondern übernimmt auch Kosten für IT-Forensiker oder Krisenkommunikation.
Für Makler ein hilfreiches Instrumentarium
Die unverbindlichen Musterbedingungen für die Cyber-Versicherung sollen Versicherern die Entwicklung eigener Angebote erleichtern. Für Unternehmen und Makler sind sie ein hilfreiches Vergleichsinstrument, um Versicherungsangebote zu bewerten.
Damit Versicherer vor Abschluss eines Vertrages das individuelle Risiko eines Kunden einschätzen können und das Unternehmen mögliche Schwachstellen seiner IT-Sicherheit erkennt, hat der GDV auch noch einen unverbindlichen Risikofragebogen entwickelt. Umfang und Inhalt der Fragen sind abhängig von der jeweiligen Risiko-Kategorie und den Geschäftsfeldern. Zusätzliche Fragen werden unter anderem Unternehmen gestellt, die mit sensiblen Daten umgehen, vernetzt produzieren oder E-Commerce betreiben.
Wann der Musterfragebogen zum Einsatz kommt
Der Muster-Fragebogen soll es einem Erstversicherer ermöglichen, das Risiko- und Schadenspotenzial eines Versicherungsnehmers mit wenigen Fragen grob, aber aussagekräftig zu erfassen. Der Fragebogen zielt überwiegend auf den externen Täter ab. Aufgrund der Tatmöglichkeiten interner Täter geht von diesen jedoch generell eine deutlich erhöhte Gefahr aus als von externen Tätern. Der Muster- Fragebogen hat für das Risikoszenario des vorsätzlich handelnden Mitarbeiters daher nur eingeschränkte Aussagekraft.
Nachfolgend ein kurzer Blick in die Musterbedingungen (Auszüge):
Versichert sind Vermögensschäden, die durch eine Informationssicherheitsverletzung verursacht worden sind. Dabei ist es unerheblich, ob sich die elektronischen Daten oder die informationsverarbeitenden Systeme des Versicherungsnehmers in dessen unmittelbarem Verfügungsbereich befinden oder der Versicherungsnehmer sich eines externen Dienstleisters bedient. Ist Letzteres der Fall, besteht aber kein Versicherungsschutz für Schäden, die infolge des Ausfalls, der Unterbrechung oder Störung der Dienstleistung entstehen.
Die Informationssicherheitsverletzung beim oder durch den Versicherungsnehmer muss
ausgelöst werden durch:
Der Verlust von elektronischen Daten als Folge des Abhandenkommens von Sachen ist auch als
Vermögensschaden versichert.
Noch ein oder schon mehrere Versicherungsfälle?
Mehrere während der Laufzeit der Versicherung eintretende Versicherungsfälle gelten als ein Versicherungsfall (Serienschaden), der im Zeitpunkt des ersten dieser Versicherungsfälle eingetreten ist, wenn diese auf derselben Ursache (Informationssicherheitsverletzung) oder auf gleichen Ursachen (Informationssicherheitsverletzungen) mit innerem, insbesondere sachlichem und zeitlichem Zusammenhang beruhen.
Vom Versicherungsschutz ausgeschlossen sind ohne Rücksicht auf mitwirkende Ursachen vorvertragliche Informationssicherheitsverletzungen, Krieg, politische Gefahren,Terrorakte und Versicherungsfälle oder Schäden aufgrund des Ausfalls von Infrastruktur.
Ein Ausfall der Infrastruktur liegt vor, wenn nachfolgende Einrichtungen vom Ausfall betroffen sind:
Bausteine - je nach Bedarf wählbar
Die Musterbedingungen des GDV sind in Bausteine aufgeteilt und modular einsetzbar, so dass zum
Bespiel Online-Shops, aber auch Kreditkartenhersteller Lösungen für ihre speziellen Schadenfälle erhalten. Ein Baustein der unverbindlichen Musterbedingungen beschäftigt sich zum Beispiel mit dem Aspekt „Eigenschaden“ – wie der Betriebsunterbrechung/Ertragsausfall und der Wiederherstellung der Daten“, ein weiterer Baustein mit den Faktoren „Service/Kosten" – Beispiel „Forensik/Schadenfeststellungskosten und Krisenkommunikation“.
Die Arbeitsgruppe, die die Musterbedingungen verfasst hat, besteht aus 20 GDV-Mitgliedern, aber auch Personen aus der Computerbranche, so der Chaos Computer Club, waren in die Entwicklung involviert. Genauere Angaben zu den beteiligten Versicherungsunternehmen möchte der GDV nicht machen - aus Datenschutzgründen.
Ein komplett neues Bedingungswerk
Bislang gab es bereits derartige Bedingungen, die aber entweder sehr differenziert und oder sich auf den amerikanischen Markt bezogen und folglich nicht wirklich auf den deutschen Markt übertragbar sind. Somit sind die GDV-Musterbedingungen kein Sammelsurium aus bestehenden Bedingungen, sondern "ein komplett neues Bedingungswerk", wie der Verband ausdrücklich betont.
Quelle: GDV; Bild: © apops /fotolia
Die Musterbedingungen sind speziell auf die Bedürfnisse von Unternehmen mit einem Umsatz bis 50 Millionen Euro und einer Größe bis 250 Mitarbeiter zugeschnitten. Sie richten sich auch an ganz unterschiedliche Branchen und Berufsgruppen, so an Arztpraxen und Anwaltskanzleien, aber auch an Handwerksbetriebe und Industriezulieferer. Die Versicherung leistet nicht nur bei Datenklau und Betriebsunterbrechungen, sondern übernimmt auch Kosten für IT-Forensiker oder Krisenkommunikation.
Für Makler ein hilfreiches Instrumentarium
Die unverbindlichen Musterbedingungen für die Cyber-Versicherung sollen Versicherern die Entwicklung eigener Angebote erleichtern. Für Unternehmen und Makler sind sie ein hilfreiches Vergleichsinstrument, um Versicherungsangebote zu bewerten.
Damit Versicherer vor Abschluss eines Vertrages das individuelle Risiko eines Kunden einschätzen können und das Unternehmen mögliche Schwachstellen seiner IT-Sicherheit erkennt, hat der GDV auch noch einen unverbindlichen Risikofragebogen entwickelt. Umfang und Inhalt der Fragen sind abhängig von der jeweiligen Risiko-Kategorie und den Geschäftsfeldern. Zusätzliche Fragen werden unter anderem Unternehmen gestellt, die mit sensiblen Daten umgehen, vernetzt produzieren oder E-Commerce betreiben.
Wann der Musterfragebogen zum Einsatz kommt
Der Muster-Fragebogen soll es einem Erstversicherer ermöglichen, das Risiko- und Schadenspotenzial eines Versicherungsnehmers mit wenigen Fragen grob, aber aussagekräftig zu erfassen. Der Fragebogen zielt überwiegend auf den externen Täter ab. Aufgrund der Tatmöglichkeiten interner Täter geht von diesen jedoch generell eine deutlich erhöhte Gefahr aus als von externen Tätern. Der Muster- Fragebogen hat für das Risikoszenario des vorsätzlich handelnden Mitarbeiters daher nur eingeschränkte Aussagekraft.
Nachfolgend ein kurzer Blick in die Musterbedingungen (Auszüge):
Versichert sind Vermögensschäden, die durch eine Informationssicherheitsverletzung verursacht worden sind. Dabei ist es unerheblich, ob sich die elektronischen Daten oder die informationsverarbeitenden Systeme des Versicherungsnehmers in dessen unmittelbarem Verfügungsbereich befinden oder der Versicherungsnehmer sich eines externen Dienstleisters bedient. Ist Letzteres der Fall, besteht aber kein Versicherungsschutz für Schäden, die infolge des Ausfalls, der Unterbrechung oder Störung der Dienstleistung entstehen.
Die Informationssicherheitsverletzung beim oder durch den Versicherungsnehmer muss
ausgelöst werden durch:
- Angriffe auf elektronische Daten oder informationsverarbeitende Systeme,
- unberechtigte Zugriffe auf elektronische Daten,
- Eingriffe in informationsverarbeitende Systeme,
- eine Handlung, die zu einer Verletzung von datenschutzrechtlichen Vorschriften führt,
- Schadprogramme, die auf elektronische Daten oder informationsverarbeitende Systeme wirken.
Der Verlust von elektronischen Daten als Folge des Abhandenkommens von Sachen ist auch als
Vermögensschaden versichert.
Noch ein oder schon mehrere Versicherungsfälle?
Mehrere während der Laufzeit der Versicherung eintretende Versicherungsfälle gelten als ein Versicherungsfall (Serienschaden), der im Zeitpunkt des ersten dieser Versicherungsfälle eingetreten ist, wenn diese auf derselben Ursache (Informationssicherheitsverletzung) oder auf gleichen Ursachen (Informationssicherheitsverletzungen) mit innerem, insbesondere sachlichem und zeitlichem Zusammenhang beruhen.
Vom Versicherungsschutz ausgeschlossen sind ohne Rücksicht auf mitwirkende Ursachen vorvertragliche Informationssicherheitsverletzungen, Krieg, politische Gefahren,Terrorakte und Versicherungsfälle oder Schäden aufgrund des Ausfalls von Infrastruktur.
Ein Ausfall der Infrastruktur liegt vor, wenn nachfolgende Einrichtungen vom Ausfall betroffen sind:
- Gebietskörperschaften wie Stadtteile, Gemeinden, Städte oder Kreise oder
- Netzstrukturen, die der überregionalen Informationsvermittlung, insbesondere
Telefon-, Internet- oder Funknetze dienen, oder
- Einrichtungen der Daseinsvorsorge: Abfallbeseitigung, Trinkwasserversorgung, Abwasserentsorgung, Versorgung mit Gas und Strom sowie Betrieb des öffentlichen Personennah- und Fernverkehrs
Bausteine - je nach Bedarf wählbar
Die Musterbedingungen des GDV sind in Bausteine aufgeteilt und modular einsetzbar, so dass zum
Bespiel Online-Shops, aber auch Kreditkartenhersteller Lösungen für ihre speziellen Schadenfälle erhalten. Ein Baustein der unverbindlichen Musterbedingungen beschäftigt sich zum Beispiel mit dem Aspekt „Eigenschaden“ – wie der Betriebsunterbrechung/Ertragsausfall und der Wiederherstellung der Daten“, ein weiterer Baustein mit den Faktoren „Service/Kosten" – Beispiel „Forensik/Schadenfeststellungskosten und Krisenkommunikation“.
Die Arbeitsgruppe, die die Musterbedingungen verfasst hat, besteht aus 20 GDV-Mitgliedern, aber auch Personen aus der Computerbranche, so der Chaos Computer Club, waren in die Entwicklung involviert. Genauere Angaben zu den beteiligten Versicherungsunternehmen möchte der GDV nicht machen - aus Datenschutzgründen.
Ein komplett neues Bedingungswerk
Bislang gab es bereits derartige Bedingungen, die aber entweder sehr differenziert und oder sich auf den amerikanischen Markt bezogen und folglich nicht wirklich auf den deutschen Markt übertragbar sind. Somit sind die GDV-Musterbedingungen kein Sammelsurium aus bestehenden Bedingungen, sondern "ein komplett neues Bedingungswerk", wie der Verband ausdrücklich betont.
Quelle: GDV; Bild: © apops /fotolia
Autor(en): Meris Neininger