Embed Size (px)
Citation preview
Cyber-Versicherungen haben eine große Zukunft
Unternehmen und Versicherer schenken den Risiken aus der IT bislang zu wenig Beachtung. Zu Unrecht.
68. Jahrgang · 15. Januar 2013
02/2013I n s U R a n C e B U s I n e s s R e p o R T
Sonderdruck
Cyber-Versicherungen haben eine große Zukunft Unternehmen und Versicherer schenken den Risiken aus der IT bislang zu wenig Beachtung. Zu Unrecht.
Johannes Behrends
Frank K. ist Geschäftsführer eines mittel-ständischen Familienunternehmens mit
Sitz in Baden-Württemberg. Ende der 1990er Jahre setzte K. verstärkt auf das Internet als Vertriebsquelle. Der eigene Onlineshop ver-hilft der Firma zum Durchbruch. Inzwischen bietet das Unternehmen auf der Internetseite die gesamte Palette eines Baumarktes an und verkauft dort auch Artikel anderer Herstel-ler. Der Umsatz beträgt 50 Mio. Euro, Ten-denz steigend. Das alles ändert sich schlag-artig Ende 2012. Hacker dringen in das Netz-werk des Unternehmens ein. Obschon die Attacke bereits mehrere Monate andauert, bemerkt das Unternehmen selbst hiervon zunächst nichts.
Erst ein Kreditkartenunternehmen macht K. darauf aufmerksam, dass ungewöhnlich viele Kunden des Unternehmens Opfer von Kreditkartenbetrügern wurden. Vermutlich nutzen die Täter eine Schwachstelle in der IT. Der Hackerangriff trifft das Unternehmen vollkommen unvorbereitet. K. beschließt, den Vorfall zunächst nicht öffentlich zu ma-chen, um dem Ansehen des Unternehmens nicht mehr als nötig zu schaden. Noch weiß er nicht, welche Lücke im IT-Netzwerk der unerkannte Hacker nutzt, um den Angriff durchzuführen. K. beabsichtigt, den Fall den Behörden zu melden, sobald die IT-Abteilung des Unternehmens Gewissheit hat.
Ein Angriff auf die IT kann ein Unternehmen ruinierenDazu kommt es jedoch nicht. Die Presse er-fährt schneller von der Angelegenheit, als K. lieb ist. Journalisten belagern die Zent-rale und verlangen eine Stellungnahme. K. muss einräumen, dass sein Unternehmen Opfer eines Hackerangriffes geworden ist. Vermutlich seien über 250.000 Daten in- und ausländischer Kunden gestohlen wor-den. Bislang habe man keine Idee, wie die Täter an die Daten gelangen konnten. Die Behörden seien zwar noch nicht informiert worden, das wolle man aber so schnell wie möglich nachholen.
Mit dieser Aussage beginnt die schwerste Zeit in der Firmengeschichte. Die Telefone stehen von nun an nicht mehr still, die E-Mail-Postfächer laufen über. Verunsicherte
Kunden wollen wissen, ob auch ihre Daten betroffen sind. Zu allem Überfluss kündigen die Behörden an, dass man sich vorbehalten werde, ein Bußgeldverfahren gegen das Un-ternehmen einzuleiten. K. habe womöglich zu lange mit seiner Meldung gewartet.
Die Kreditkartenindustrie teilt K. ebenfalls mit, den Vorfall zu prüfen. Sollte sich heraus-stellen, dass das Unternehmen die strengen Standards der Kreditkartenorganisationen nicht eingehalten habe, drohe eine Vertrags-strafe. Der Online-Umsatz des Unterneh-mens bricht von einem Tag auf den anderen ein. Zur Vermeidung weiterer Datenverluste oder sonst schädigender Eingriffe durch den Hacker fährt K. zunächst die kompletten IT-Systeme herunter und stellt den Onlinever-trieb ein. Zur Ermittlung der Schwachstellen engagiert K. externe IT-Experten. Auch hier-durch werden erhebliche Kosten verursacht.
Letztendlich ist das Unternehmen zwar nicht ruiniert, aber der Schaden geht in die Millionen, ganz zu schweigen von dem Ver-lust der Reputation. Dieses an einen realen Fall angelehnte Szenario verdeutlicht, wel-chen Risiken Unternehmen jeden Tag durch die Kommunikation im Internet oder die Ver-waltung von Kundendaten ausgesetzt sind. Laut einer repräsentativen Umfrage des Bran-chenverbands Bitkom, dem Sprachrohr der IT-, Telekommunikations- und Neue-Medien-Branche, sind 40 Prozent der Unternehmen bereits Opfer eines Hackerangriffs geworden.
Besonders hart treffen Datenverluste und Hackerangriffe kleine und mittelständische Unternehmen, die durch ihre oft weniger pro-fessionell ausgestattete IT die Gefahr unter-schätzen. Dabei kann durch effektives Risi-komanagement der finanzielle Schaden für das Unternehmen deutlich in Grenzen ge-halten werden. Sogenannte Cyber-Versiche-rungen sind seit Kurzem auch auf dem deut-schen Markt erhältlich.
Hackerangriffe werden immer häufiger in den Medien thematisiert. Kaum ein Tag ver-geht, an dem nicht über Attacken auf Com-putersysteme berichtet wird. Behörden, Un-ternehmen, Hotelketten, Universitäten kön-nen davon betroffen sein. Täter manipulieren EC-Kartenlesegeräte, schleusen Viren und Trojaner in das System ein oder entwenden
vertrauliche Daten. Beliebtes Ziel sind die Kundendatenbanken der Unternehmen. So werden beispielsweise die Kontodaten der Kunden verwendet, um die dazugehörigen Konten zu plündern. Aber auch die übrigen gespeicherten Daten sind für die Täter wert-voll. Längst ist im Internet ein reger Handel mit Datensätzen entstanden, der für die An-bieter äußerst lukrativ ist. Erbeutete E-Mail-Adressen werden missbraucht, um Spam-Mails zu verschicken.
Hacker können unbemerkt Kontrolle über das System erlangenDatenverluste können jedoch auch durch Fahrlässigkeit der eigenen Mitarbeiter ent-stehen. In die Schlagzeilen geriet zum Bei-spiel ein Krankenhaus aus dem süddeutschen Raum, dem hunderttausende Datensätze von Patienten abhanden gekommen waren. Ein Mitarbeiter hatte vermutlich während einer Raucherpause einen Karton mit Sicherheits-kopien auf Bändern stehen lassen. Was mit den Daten passiert ist, konnte bislang nicht geklärt werden.
Datenverluste durch gezielte Angriffe oder Fahrlässigkeit können einen hohen finanzi-ellen Schaden verursachen. Dabei spielen einerseits Schadensersatzansprüche Dritter aufgrund einer Datenschutzrechtsverletzung eine Rolle. Anderseits treten vielfach Eigen-schäden der Unternehmen ein, etwa durch Kosten für Berater oder die Benachrichtigung der betroffenen Personen beziehungsweise Unternehmen. Die durchschnittlichen Kosten eines deutschen Unternehmens nach einem Datenverlust belaufen sich laut einer Studie des Ponemone Institutes auf 3,4 Mio. Euro.
Hacker könnten Schwachstellen in der IT sogar dazu nutzen, das System unter ihre Kontrolle zu bringen und das Unternehmen zu erpressen. Als Druckmittel verwenden Ha-cker oft sogenannte DDoS-Angriffe (DDoS = Distributed Denial of Service). Mehrere tau-send oder sogar Millionen meist mit Troja-nern infizierte Rechner starten per Befehl eine Anfrage an das System des Unterneh-mens. Das System kann die Vielzahl der An-fragen nicht mehr bearbeiten und wird durch die Überlastung außer Funktion gesetzt.
Die daran anschließende Betriebsunter-
24 Versicherungswirtschaft nr. 2 · 15. Januar 2013
UnTErnEHmEn & märKTE
brechung kann ebenfalls zu einem massi-ven Ertragsausfall führen. Bereits seit 2011 wurden beispielsweise die Lieferdienstportale pizza.de und lieferando.de Opfer zahlreicher DDoS-Attacken. Da die Täter bislang nicht ermittelbar sind, haben die Betreiber laut ei-ner Meldung des IT-Portals heise.de inzwi-schen sogar eine Belohnung in Höhe von 100.000 Euro auf die Ergreifung der Hacker ausgesetzt. Verliert ein Unternehmen sen-sible Daten, egal ob durch gezielte Angriffe oder Fahrlässigkeit der Mitarbeiter, leidet in der Regel auch das Vertrauen der Kunden und Geschäftspartner des Unternehmens, es droht ein Reputationsschaden.
Cyber-markt in den USA wächst rasantDie beschriebenen Risiken können durch Ver-sicherungskonzepte abgesichert werden. Zum einen besteht die Möglichkeit, Cyber-Risiken über die bestehenden Spartenversicherungen wie Sach-, Betriebshaftpflicht- oder Vertrau-ensschadenversicherung zu versichern. Al-lerdings liegen in einem Schadenfall nicht immer sämtliche Voraussetzungen für einen
Versicherungsfall vor. Für den Eintritt der Sachversicherung fehlt es zum Beispiel häufig an einem Sachschaden. Die Haftpflichtversi-cherung ist hingegen nur einschlägig, wenn der Versicherungsnehmer auch tatsächlich haftet, ansonsten übernimmt der Versiche-rer unter Umständen lediglich die Abwehr-kosten. Ob die Versicherer dieser Bestands-versicherungen des Unternehmens zur Er-weiterung ihrer Policen um Cyber-Risiken bereit sind, ist Verhandlungssache. Nicht immer ist dies der Fall. Darüber hinaus hat sich der Versicherungsnehmer im Versiche-rungsfall mit mehreren Verträgen ausein-anderzusetzen.
Eine andere Möglichkeit ist der Abschluss einer Cyber-Versicherung. Im Mittelpunkt steht hier der Versicherungsschutz bei Ver-lust personenbezogener, vertraulicher Da-ten, die ein Unternehmen verwaltet, spei-chert, verarbeitet oder übermittelt. Versichert werden aber auch die anfallenden Krisenma-nagementkosten und gegebenenfalls Zahlun-gen an Erpresser. Cyber-Versicherungen sind oft modular aufgebaut, sodass der Versiche-rungsnehmer seinen Versicherungsschutz in-dividuell zusammenstellen kann.
Je nach Versicherer sind die Deckungsbau-steine unterschiedlich ausgestaltet. Grund-lage bildet jedoch meist eine Haftpflichtkom-ponente, die zum Beispiel Ansprüche Dritter wegen Datenschutzrechtsverletzungen absi-chert. Ein weiteres Deckungselement kann aus der Erstattung der Krisenmanagement-kosten bestehen. Kommt es zu einem Daten-verlust oder einem Angriff, werden dem Ver-sicherungsnehmer unter anderem die Kosten für forensische Tätigkeiten, die Benachrich-tigung der betroffenen Personen und PR-Be-rater erstattet. Hackerangriffe hinterlassen oft große Schäden. Daten werden verändert, beschädigt, gelöscht oder zerstört. Ein wei-terer Baustein übernimmt daher die Wie-derherstellungskosten der Daten nach ei-nem Angriff.
Versichert werden können auch Zahlungen an Erpresser, die damit drohen, das System des Unternehmens zu beschädigen oder des-sen Betrieb zu unterbrechen. Wird das Sys-tem durch eine Attacke stillgelegt, entsteht dem Unternehmen durch die Betriebsunter-brechung ein weiterer finanzieller Schaden. Auch dieser kann durch ein separates Mo-dul versichert werden. Vor allem in den USA und Großbritannien sind sogenannte Cyber-Versicherungen schon seit einigen Jahren auf dem Markt.
In den USA umfasste der Cyber-Markt im Jahr 2011 ein geschätztes Prämienvolumen von 800 Mio. US-Dollar. Experten schät-zen, dass 2012 eine Mrd. Dollar erreicht wurden. Das entspräche einem Wachstum
von 25 Prozent. Über 30 Versicherer bieten dort verschiedene Absicherungsmöglich-keiten an. Ungefähr 14 Prozent aller Unter-nehmen unterhalten bereits eine Cyber-De-ckung, 2007 waren es noch sieben Prozent. Je nach Branche liegt die Quote sogar bei über 75 Prozent. In Großbritannien ist der Markt nicht ganz so groß wie in den USA. Dort sind es zirka 15 Versicherungsunterneh-men, die Schutz vor Cyber-Risiken anbieten. Der Markt wächst jedoch stetig.
In Deutschland bieten erst einige wenige Versicherer Produkte zur Absicherung von Cyber-Risiken an. Allerdings haben weitere Versicherer entsprechende Produkte ange-kündigt. Meistens handelt es sich dabei um ausländische Versicherer, die ihre Produkte in ähnlicher Form bereits in den USA oder Großbritannien anbieten. Deutsche Versi-cherer scheuen bislang den Schritt, ein neues Produkt auf den Markt zu bringen. Ihre Lö-sung sieht meist eine Kombination aus Spar-tenversicherungen vor.
Cyber-Police gehört zum risikomanagementIn den vergangenen Monaten ist das Inter-esse der Unternehmen an Cyber-Versiche-rungen deutlich gestiegen. Dennoch reagie-ren deutsche Unternehmen bislang verhal-ten auf die neuen Gefahren. Für Betriebe ist es selbstverständlich, dass sie ihre Fabrik-gebäude gegen Feuer und andere Gefahren versichern. An das Firmennetzwerk denkt jedoch kaum jemand. Dabei sind die aus dem IT-Betrieb entstehenden Risiken und mögliche Schäden deutlich höher als viele klassische Industrierisiken. Vielen ist zu-dem nicht bewusst, dass sie für Daten ge-mäß Bundesdatenschutzgesetz auch dann verantwortlich sind, wenn sie einen exter-nen Dienstleister mit der Datenverwaltung oder Speicherung beauftragen.
Betriebshaftpflicht-, Vertrauensschaden- oder Sachversicherung bieten teilweise De-ckungsschutz für die genannten Risiken. In der Regel sind daran jedoch bestimmte Vor-aussetzungen oder Obliegenheiten geknüpft, die im Schadenfall oft nicht vorliegen. Eine Erweiterung der Verträge um die genannten Gefahren ist zudem nicht immer möglich. Sollten die bestehenden Versicherungen den-noch einige Risiken abdecken, hat der Ver-sicherungsnehmer die Möglichkeit, seine Deckungslücken durch den modulartigen Aufbau des Produktes zu schließen.
Johannes Behrends ist Experte für Cyber-Versiche-rungen beim Versicherungs-makler Aon Deutschland.
EU-Verordnung verschärft HaftungUnternehmen drohen nach § 43 abs. 2 des Bundesdatenschutzgesetzes Bußgelder von bis zu 300.000 euro für den Fall von Verletzung von Kunden-daten. Mit einführung der neuen eU-Datenschutz-Grundverordnung (wahrscheinlich gegen ende 2014) wird sich die Gesetzeslage deutlich verschär-fen. es ist deshalb mit einem Wachstum des Cyber-Versicherungsmarktes zu rechnen, auch in Deutschland. Im Mit-telpunkt der Datenschutz-Verordnung steht der schutz personenbezogener Daten. anders als europäische Richt-linien entfaltet die Grundverordnung direkte Wirkung und muss von den Ländern nicht umgesetzt werden. Geregelt wird darin die Übermittlung personenbezogener Daten in nicht-eU-Länder und die auftragsdatenver-arbeitung. außerdem sieht der entwurf eine Meldepflicht bei Verletzung des schutzes personenbezogener Daten vor. nach Möglichkeit soll 24 stunden nach Feststellung der Verletzung eine Meldung erfolgen. Bislang galt eine Meldepflicht nur im Zusammenhang mit personenbezogenen Daten. Die eU-Grundverordnung erhöht den Buß-geldrahmen auf bis zu zwei prozent des weltweiten Jahresumsatzes an.
Versicherungswirtschaft nr. 2 · 15. Januar 2013 25
IT
Aon Risk SolutionsProfessional ServicesJohannes Behrends
Luxemburger Allee 445481 Mülheim an der Ruhr
t +49 208 [email protected]
www.aon.de
© A
on V
ersi
cher
ungs
mak
ler
Deu
tsch
land
Gm
bH
| C
affam
ache
rrei
he 1
6 |
2035
5 H
amb
urg
| 02
.201
3
