Risiken kann man versichern, auch wenn die Vorstellung über mögliche Schäden manchmal diffus bleibt. Das Bewusstsein, dass auch das eigene Unternehmen von Cyberattacken betroffen sein könnte, verstärkt sich mit der wachsenden Bedrohungslage, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell als „erhöht“ einstuft.
Welche Schäden, die durch Cybervorfälle verursacht werden können, von bestehenden konventionellen Versicherungen tatsächlich abgedeckt sind, das kann im Schadenfall strittig sein. Sichert eine Cyberversicherung Unternehmen ausreichend ab und welche Voraussetzungen fordern Versicherer beim Abschluss einer Police?
Industrieunternehmen in erhöhter Bedrohungslage
Produktionsunternehmen sind aufgrund ihrer Abhängigkeit von Automationsprozessen begehrte Ziele für Cyberattacken. Fallen Systeme aus, die für die Kernprozesse eines Unternehmens relevant sind, so ergeben sich schnell Folgen, die die Bereitschaft auf Lösegeldforderungen einzugehen, massiv befördern. Die wirtschaftlichen Schäden können nicht nur aufgrund eigener Produktionsausfälle existenzbedrohende Ausmaße annehmen, sondern potenzieren sich in vernetzten Supply-Chains, wo sich Schadcode in unzureichend gesicherten Netzwerken weit ausbreiten kann. Dann können zusätzlich zu den eigenen finanziellen Folgen noch Schadenersatzforderungen von Unternehmen hinzukommen, die in Mitleidenschaft gezogen werden.
Anlagen fallen aber nicht nur aus, wenn Cyberkriminelle ihre Finger im Spiel haben. Oftmals sind die Ursachen viel banaler und liegen schlicht in menschlichem Fehlverhalten oder technischen Störungen, die im Zusammenspiel mit fehlender Security eine unheilvolle Konstellation ergeben können.
Aber selbst für Unternehmen, deren Security-Niveau hoch ist, gibt es keine hundertprozentige Sicherheit. Angreifer agieren zunehmend professionell und sind meistens bereits einen Schritt voraus. Der Nutzen vernetzter industrieller Prozesse geht immer auch mit einem besonderen Risiko einher.
Silent Cyber Risk – die Lücke in herkömmlichen Versicherungsverträgen
Die Deckung von Schäden, deren Ursache in der absichtlichen oder unabsichtlichen Kompromittierung von IT-Systemen liegt, ist in bestehenden Policen für Sach-, Unfall-, Haftpflichtversicherungen und vielen anderen nicht eindeutig eingeschlossen, aber auch nicht klar ausgeschlossen. Die Sach- oder Personenschäden, die durch Cyberrisiken entstehen können, das sogenannte Silent Cyber Risk, liegen in laufenden Versicherungsverträgen quasi im Verborgenen und stellen eine große Unsicherheit für beide Seiten dar. Im Schadensfall machen Versicherungsnehmer die entstandenen Schäden wie etwa nach einem Cyberangriff geltend und Versicherer sehen sich einer unerwartet großen Schadenssumme gegenüber und prüfen, ob sie überhaupt zur Leistung verpflichtet sind. Risiken im Kontext Cyber und Digitalisierung waren beim Abschluss von laufenden Betriebshaftpflichtversicherungen, Vermögensschadenhaftpflichtversicherungen oder anderen Verträgen nämlich meistens noch gar nicht im Fokus. Dass es in der vernetzten Welt spezielle Risken gibt, das ist inzwischen zwar nicht mehr so neu, aber bestehende Verträge wurden bislang meist nicht entsprechend angepasst.
Die Versicherer holen dies aber nach. Neue Policen und Vertragsverlängerungen schließen diese Lücke mit Definitionen, die eindeutig spezifizieren, wann Cyberrisiken über die Police gedeckt sind. Oftmals werden bestehende Verträge mit Modulen für Cyberrisiken erweitert und die Prämien entsprechend angepasst. Wenn es um reine Vermögensschäden geht, die durch Cybervorfälle verursacht werden, kann es sein, dass die Deckung grundsätzlich nur noch über eine Cyberversicherung angeboten wird.
Die besondere Ausgangslage bei Cyberversicherungen
Für Versicherungen gilt ein Grundprinzip: Alle Versicherten garantieren mit ihrem finanziellen Beitrag die Leistung für diejenigen, die von den Folgen des versicherten Risikos tatsächlich betroffen sind. Dieses Prinzip kann nur dann funktionieren, wenn der Kreis der Betroffenen hinreichend begrenzt und die Schadensszenarien einschätzbar bleiben.
Riesiger Kreis potenziell Betroffener
Cybervorfälle können überregional auftretende Folgen für eine sehr große Anzahl an Betroffene verursachen, wenn beispielsweise das Stromnetz durch einen Cyberangriff lahmgelegt wird. Das Ausmaß einer potenziellen Schadenslage ist unvorhersehbar für die Vielzahl möglicher Szenarien, vor allem wenn Kritische Infrastrukturen betroffen sind. Für Versicherungsunternehmen und Rückversicherer können sich sogenannte Kumulschäden in erheblichem Ausmaß ergeben. Ein einzelnes Ereignis wie eine Schadsoftware kann weltweit eine riesige Menge an Unternehmen betreffen, die dann entstehende Schäden über ihre bestehenden Versicherungspolicen geltend machen.
Dynamische Bedrohungslage und vielschichtige Cyberschadensszenarien
Veränderte Umstände wie der pandemiebedingte Trend zum Homeoffice oder der Einsatz innovativer Technologien wie Cloud, KI und IoT verändern die Angriffsvektoren und erhöhen die Cyberrisiken. Die Bedrohungslage in vernetzten Supply Chains wird zunehmend komplex und ändert sich ständig.
Versicherungen müssen ihr Schadenmanagement jeweils auf aktuelle Risikolagen und neue Haftungsfragen anpassen. Die Cyberversicherung ist ein vergleichsweise junges Produkt, das mittlerweile alle großen Versicherer anbieten, das aber ungleich schwieriger als andere Versicherungsprodukte zu definieren ist. Versicherer müssen komplexe Cyberrisiken verstehen und analysieren, um die Schäden aus diesen Risiken bewerten und wirtschaftliche Produkte anbieten zu können. Den Fachkräftemangel für Cyberexperten spüren auch die Versicherungsunternehmen.
Herausforderungen bei der Risikobewertung
Im Underwriting ermitteln Versicherer bestehende Risiken und die Abhängigkeit zwischen diesen Risiken, berechnen Eintrittswahrscheinlichkeiten und schätzen mögliche Schadensausmaße für die Ausdehnung in unterschiedlichen Szenarien. Dafür stehen verschiedene Methoden zur Verfügung, eine davon ist das Heranziehen von Daten historischer Ereignisse. Die zunehmende Vernetzung und die sich ständige Professionalisierung der Angriffe machen historische Daten aber nur bedingt nutzbar. Und je weiter die Digitalisierung voranschreitet, desto mehr Angriffsszenarien ergeben sich. Für die Risikobewertung bedeutet dies eine dauerhafte große Herausforderung.
Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) behandelt den komplexen Themenbereich für seine Mitglieder mit einem Schwerpunkt Cyber Security und stellt allgemeine Versicherungsbedingungen für eine Cyberrisiko-Versicherung als Muster zur Verfügung.
Voraussetzungen für eine Cyberversicherung
Der Zweck von Versicherungen ist es, Risiken beherrschbar zu machen. Die Wahrscheinlichkeit, dass es in einem Unternehmen zu Schäden durch einen Cybervorfall kommt, ist abhängig davon, wie gut das Sicherheitsniveau eines Unternehmens der aktuellen Bedrohungslage entspricht. Potenzielle Versicherungsnehmer müssen dem Versicherer gegenüber belegen, dass ihre Kernprozesse ausreichend abgesichert sind, damit die Risiken beherrschbar bleiben.
Im Rahmen eines Cybersicherheitschecks werden Risiko- und Schadenspotential eines Versicherungsnehmers erfasst. Der GDV stellt einen Musterfragebogen zur Verfügung, der das Risiko und das bestehende Schutzniveau für mittelständische Unternehmen ermittelt. Darin werden die Themenbereiche behandelt, die Security-relevant sind:
- Zugänge und Zugriffe
- Schutz vor Schadsoftware
- Sicherheitsupdates und Patchmanagement
- Backups
- Organisatorische Sicherheit
- Netzwerktrennung
- Schutz sensibler Daten
Je nach Risikokategorie, der ein Unternehmen aufgrund seines Jahresumsatzes zugerechnet wird, sind für die Themenbereiche verbindliche Schutzmaßnahmen vorgegeben.
Für bestimmte Geschäftsbereiche gilt generell ein hohes Schadenspotential und eine entsprechend hohe Risikokategorie. Dazu gehören Betriebe mit industriellen Produktionssystemen (Industrial Control Systems), weil im Schadensfall mit hohen Folgekosten für Betriebsunterbrechung und Systemwiederherstellung zu rechnen ist. Für solche Betriebe gelten alle Anforderungen aus den genannten Themen.
Der Leistungsumfang einer Cyberversicherung
Zum Leistungsumfang einer Cyberversicherung gehört die Übernahme von Eigenschäden und Drittschäden, sowie Expertise und Unterstützung im Schadensfall.
Eigenschäden
Betriebsunterbrechung und Systemwiederherstellung
Eine Cyberversicherung deckt üblicherweise die Schäden, die dem Unternehmen selbst durch einen Cybervorfall entstehen. Dazu zählen die finanziellen Folgen einer Betriebsunterbrechung, für die Tagessätze festgelegt werden. Für die Kalkulation werden Jahresumsatz, Umsatzrendite und Jahreskosten herangezogen. Auch die Kosten für Wiederherstellung von Daten und Systemen, was langwierig und aufwändig sein kann, werden im Schadensfall von der Versicherung übernommen.
Reaktive und präventive IT-Expertise
Cyberpolicen bieten vor allem für kleine und mittlere Unternehmen (KMU) Incident-Response-Unterstützung im Schadensfall, um durch reaktive Maßnahmen Schäden möglichst schnell eindämmen zu können. Auch IT-Forensiker kommen zum Einsatz. Sie bestimmen nicht nur das Ausmaß des entstandenen Schadens, sondern ermitteln die Ursachen eines Störfalls, um geeignete Präventivmaßnahmen zu identifizieren.
Unterstützung bei der Kommunikation
Im Schadensfall ist richtige Kommunikation nötig und wichtig. Weil Cyber-Angriffe meist mit dem Verlust oder dem unbefugten Zugriff auf Daten einhergehen, stellen sie eine Datenschutzverletzung dar. Diese muss das betroffene Unternehmen entsprechend den Regelungen der Datengrundschutzverordnung (DGSVO) innerhalb von 72 Stunden den zuständigen Behörden melden. Dabei können Experten des Versicherers unterstützen.
Es gilt aber auch, Imageschäden zu vermeiden, die entstehen können wenn die Kommunikation mit Kunden und mit der Öffentlichkeit nicht angemessen erfolgt. In Cyberpolicen kann auch PR- und Kommunikationsexpertise eingeschlossen werden.
Drittschäden
Ransomware-Angriffe sind auf einen möglichst großen Kreis an Betroffenen angelegt. Aber selbst wenn nur die Systeme eines einzelnen Unternehmens betroffen sind, so zieht der Angriff auch andere Unternehmen in Mitleidenschaft. Ein Ausfall kritischer Systeme und Prozesse kann dazu führen, dass vertragliche Vereinbarungen innerhalb der Lieferkette nicht mehr erfüllt werden können und sowohl Lieferanten als auch Kunden des betroffenen Unternehmens geschädigt werden.
Der Stillstand bei einem führt zu Problemen für viele.
Zum Leistungsumfang einer Cyberversicherung gehört die Deckung berechtigter Schadenersatzansprüche Dritter und die Unterstützung bei der Abwehr unberechtigter Forderungen durch eine Rechtsberatung.
Ausschlussklauseln
Kriegsklausel
Die immensen Schäden, die der Verschlüsselungstrojaner NotPetya im Jahr 2017 in vielen Unternehmen weltweit verursacht hat, geht auf einen Angriff zurück, von dem angenommen wird, dass er staatlich gelenkt war und ursprünglich die Ukraine treffen sollte. Einige betroffene Unternehmen haben Gerichtsverfahren in den USA angestrengt, weil sich ihre Versicherung auf die sogenannte Kriegsklausel berufen hatte und sich weigerte, für die Schäden aufzukommen.
Die Kriegsklausel ist eine allgemeine Ausschlussklausel, die Leistungen für eine Vielzahl von Versicherungen ausschließt, wenn die Schäden durch Krieg verursacht werden. Versicherungsgesellschaften hatten argumentiert, dass der Cyberangriff als Krieg zu werten sei und hatten die Übernahme der Schäden, die NotPetya verursacht hat, deswegen verweigert.
Im Januar 2022 erging ein Urteil mit Signalwirkung im Rechtsstreit zwischen dem Pharmakonzern Merck und der Versicherungsgesellschaft Ace American. Das Urteil bestätigt die Ansprüche von Merck aus der geschlossenen „All-Risk-Versicherung“ und argumentiert, dass Malware entsprechend dem allgemeinen Sprachgebrauch keine herkömmliche Form der Kriegsführung sei.
Wie ist das in Deutschland? Der Gesamtverband der Deutschen Versicherungswirtschaft liefert in den Musterbedingungen für Cyberrisiko-Versicherungen (A1-17.2 Stand April 2017) für das Ausschlusskriterium folgende Definition: „Krieg, Invasion, Bürgerkrieg, Aufstand, Revolution, Aufruhr, militärische oder andere Form der Machtergreifung“.
Cyber-/Blackout-Klausel
Dass im Sektor Transport durch einen Cyber-Vorfall Schäden von riesigem Ausmaß entstehen können, hat das Beispiel der Reederei Maersk gezeigt, die 2017 auch von NotPetya betroffen war. Die möglichen Schadenszenarien in dem Bereich sind generell vielfältig, wenn beispielsweise die GPS-Systeme von Schiffen, Zügen oder Flugzeugen gehackt werden oder durch Stromausfälle die Funktion betriebskritischer Systeme gestört wird. Die Versicherungsbrache reagiert auf das unkalkulierbare potenzielle Schadensausmaß im Transortbereich mit entsprechenden Klauseln.
Der GDV formuliert für seine Mitglieder Vorlagen für eine sogenannte Nullstellung, die Cyberrisiken und Schäden durch einen Ausfall von Netzstrukturen (Blackout) in der Transportversicherung grundsätzlich ausschließt. Über eine individuelle Vereinbarung können entsprechende Leistungen und dafür definierte Voraussetzungen dann konkret vereinbart werden.
Risiken für Anlagen wirksam absichern
Für die Sicherung der Anlagenverfügbarkeit müssen Unternehmen die Risiken für ihren laufenden Betrieb kennen und wirksame Security-Maßnahmen anwenden.
Ein ausreichendes Schutzniveau aufzubauen und aufrechtzuerhalten ist ein ganzheitlicher Ansatz aus technischen, organisatorischen und personellen Aspekten, die sowohl Betreiber als auch Hersteller in die Pflicht nimmt. Dafür müssen IT-Security und OT-Security zusammenspielen und Security auch in der Produktentwicklung bei Maschinen- und Anlagenbauern verankert sein.
Geeignete Security-Konzepte können auch Unternehmen, die keiner Regulierung wie dem IT-Sicherheitsgesetz unterliegen, für ihre individuelle Anforderung definieren. Hilfestellungen liefern beispielsweise der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), Normen und Standards mit Industriebezug wie die IEC 62443 und andere.
Unternehmen, die sich an diesen anerkannten Anforderungen für die Absicherung kritischer Systeme und Prozesse orientieren, belegen ihre Security-Kompetenz nicht nur im Hinblick auf neue Marktanforderungen in vernetzten Lieferketten. Sie sind damit auch gut gewappnet für den Cybersicherheitscheck, den Anbieter von Cyberversicherungen vornehmen.
Die digitale Zukunft sichern
Es geht bei Security nicht nur um die Absicherung der Anlagen vor aktuellen Bedrohungen. Neue Technologien und innovative Industrie 4.0-Anwendungen brauchen stabile Basis-Infrastrukturen, damit sie einen nachhaltigen Nutzen bringen. Investitionen sollten daher auf einem professionellen und sicheren IT-Betrieb in den Industrieumgebungen erfolgen.
Fazit
Cyberversicherungen können potenzielle Schäden abdecken, die durch die Kompromittierung von IT-Systemen für Unternehmen entstehen, aber eine Police ist an einschlägige Voraussetzungen gebunden. Versicherer reagieren auf veränderte Bedrohungslagen und erweiterte Schadensszenarien und fordern bei Abschluss einer Versicherung bereits implementierte Security-Maßnahmen.
Unternehmen, die mit einer Cyberversicherung eine Ergänzung zu bereits bestehenden Verträgen vornehmen wollen, kommen nicht umhin, mindestens eine Basisabsicherung ihrer Infrastrukturen vorzunehmen. Investitionen in Security wirken sich risikomindernd aus und haben positive Effekte auf die Vertragskonditionen.
Der Industrial Security Guide zum schnellen Einstieg
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!