Sach- und Cyber­crime­versiche­rungen

Schutz durch Sachversicherungen

Sachversicherungen wie Feuer-, Sturm- oder Elektronikversicherungen schützen Ihr Vermögen analog zu Haftpflichtversicherungen, nur auf andere Dinge bezogen: Eine Feuerversicherung ersetzt im Fall eines Brandes den (versicherten) Wert der versicherten Sache:

  • Hausrat,
  • Betriebsinhalt,
  • Maschinen, Anlagen oder
  • Gebäude.

Das sind Vermögensgegenstände. Wird ihr Wert versichert, wird Vermögen versichert. Eine Haftpflichtversicherung hingegen schützt vor einer Schmälerung des Vermögens durch Rechtsansprüche anderer. Und auch die Durchsetzung berechtigter Ansprüche mit Hilfe einer Rechtsschutzversicherung betrifft letztlich Ihr Vermögen: Muss Ihnen beispielsweise jemand Schadenersatz leisten, einen Vertrag erfüllen usw., tut es aber nicht, mindert sich ihr Vermögen. Eine Rechtsschutzversicherung kann das verhindern, indem sie zur Durchsetzung der eigenen Rechte verhilft. Ist aber nichts zu holen, hilft evtl. eine Ausfallversicherung, die sogar fester Bestandteil vieler privater Haftpflichtversicherungen ist.

Im Jahr 2019 ereigneten sich 2,137 Millionen Schäden in der Versicherungssparte Wohngebäudeversicherung. 5,807 Milliarden € wurden ausgezahlt. Die durchschnittliche Entschädigungsleistung betrug somit 2.750 €. Enthalten sind dabei kleinere Sturm-, und Wasserschäden genauso wie erhebliche Schäden durch Wasser, Feuer oder Sturm, Graffiti- und Vandalismusschäden etc.

Wasserschaden, Brandschaden Versicherung
Wasser-und Brandschaden mit Schadenhöhen im 5-6stelligen Euro-Bereich. Links: Das Wasser lief von der obersten Etage durch das gesamte Haus bis in den Keller und drang durch die Hauswand und gefror. Rechts: Brand nach Dacharbeiten.

Schutz im Cyberraum – immaterielle Risiken

In unserer Dienstleistungsgesellschaft werden immer mehr immaterielle Dienstleistungen angeboten: Bewertungen, Ratings, Rankings und das Labeling beliebiger Produkte, IT-Produkte und Services verschiedenster Art, Online-Marketing-Aktivitäten etc. etc.

Daher kommt Versicherungen und Dienstleistungen in diesen Bereichen eine zunehmende Bedeutung zu. Andere Risiken ergeben sich aus unserem „normalen“ Zusammenleben, wirtschaftlicher und sozialer Kooperation. Aber auch hier nehmen immaterielle Schadenaspekte zu. Erwähnt seien in diesem Zusammenhang Betriebsschließungsversicherungen wegen Seuchen/Pandemien, aber auch gegen den Ausfall von IT-Anlagen, Rechnern und cloudbasierten Leistungen. Vertrauensschadenversicherungen decken Risiken ab, die sich aus Vertrauensverhältnissen ergeben, Cybercrime-Versicherungen, also Versicherungen, die im Fall von Verbrechen einspringen, solche, die sich aus dem Internet, der zunehmenden Digitalisierung und der Nutzung von Informationstechnologien ergeben.

Schäden durch Schadprogramme

Ein Beispiel hierfür ist Schadsoftware („Ransomware“, auch Krypto- oder Verschlüsselungstrojaner), die die Dateien auf einem Computer oder in einem Rechenzentrum verschlüsselt, evtl. ableitet und sogar versucht die Backups zu zerstören, um Lösegeld zu erpressen.

Ein solcher Fall hat das Lukaskrankenhaus in Neuss 1 Million Euro gekostet (vgl. Heise online News 02/2017). Wesentlich größer war der Schaden, den der Kryptotrojaner NotPetya verursachte und der die dänische Reederei Maersk Line, den Hafenbetreiber APM Terminals und viele weitere Unternehmen betroffen hat. Nach Angaben von Maersk Line belief sich der finanzielle Schaden, der sich u.a. aus der Lahmlegung von Bohrinseln und der Verhinderung des Beladens und Löschens von Containerschiffen ergab, für dieses Unternehmen auf 200 bis 300 Millionen US-Dollar.

Eine Versicherung übernimmt die finanziellen Schäden ganz oder zum Teil, die Dienstleister geben im Fall des Falles Hilfestellung, z.B. bei der Daten- und Spurensicherung, dem Umgang mit Erpressern, aber auch bei der Vorsorge, dem Training der Mitarbeiter etc.

Wie stark entsprechende Vorfälle zunehmen, zeigt die untenstehende Grafik des BKA:

Fälle von Cyberkriminalität 2019

Die Beherrschung von Cyberrisiken

Auch hier gilt – wie überall im Leben – , dass man weder alle Risiken vermeiden noch alle versichern kann. Wenn man es aber kann und nicht tut, kann das finanziell sehr weh tun.

Die erste Regel ist hier – wie überall – Risiken vermeiden, Prozesse anpassen, Mitarbeiter sensibilisieren und zur Vorsicht anhalten – ggf. mit Hilfe entsprechender Dienstleister (Schulungen, „Pentest“). Das verbleibende Risiko sollte versichert werden, also auf einen erfahrenen Versicherer übergewälzt werden. Die grundlegende Vorgehensweise sieht in etwa so aus:

Grafik: Beherrschung von Cyberrisiken durch Risiko-Filter
Beherrschung von Cyberrisiken durch Risiko-Filter

Im Cyberraum, der das Internet, das Deep- und das Darknet beherbergt, drohen vielfältige Gefahren von sehr heterogenen Akteuren – Kriminelle, Geheimdienste, Neugierige etc., die großen Schaden anrichten können und teilweise erhebliche Anstrengungen unternehmen, damit genau dies geschieht. Weiter oben wurden dazu einige Beispiele angeführt.

Was lässt sich tun?

Diese Risiken lassen sich nur vermeiden, wenn man den Cyberraum meidet und zwar so vollständig, dass über auch über Geschäftsbeziehungen, Kooperationen und Kontakte keine indirekten Schäden verursacht werden können. Das ist illusorisch.

Was bleibt ist die Reduzierung von Risiken, indem man sich ihnen stellt und sie beherrscht. Dargestellt habe ich das mittels Filter, die Risiken herausfiltern. Das Filter I filtert die Risiken heraus, die durch technisch unzulängliche Systeme entstehen und sich durch Beseitigung der Unzulänglichkeiten (bspw. bekannte Sicherheitslücken und Schwachstellen) vermeiden lassen. Das Filter II setzt bei den Risiken an, die bspw. durch fahrlässige oder böswillige Mitarbeiter entstehen – das Anklicken kompromittierter Dateien, die (nicht gestattete) Verbindung externer Laufwerke mit Unternehmensrechnern, das Abschöpfen von Daten etc. etc. Mit diesen beiden Filtern lässt sich der weitaus größte Teil der Cyberrisiken wegfiltern. Aber nicht alle.

Der Umgang mit dem Restrisiko ist Aufgabe des Filters III – einmal die Versicherung finanzieller Schäden. Hier bietet sich ein Vergleich zur Feuerversicherung an: Das Risiko eines Brandes lässt sich durch diverse Brandschutzmaßnahmen reduzieren, durch die regelmäßige Überprüfung der elektrischen Anlagen, durch die Verwendung feuerhemmender Materialien, durch Feuermelder und Sprinkleranlagen usw. usf. Dennoch bleibt ein Restrisiko, das in aller Regel auch versichert wird. Das sollte analog auch für Cyberrisiken gelten, die sich dazu sehr dynamisch entwickeln, so dass selbstredend die Filter I und II ständig angepasst werden müssen.

Tritt ein solcher Schaden auf, ist Expertise gefragt, die auch darin bestehen kann, mit den Erpressern in Kontakt zu treten, wenn ein Schaden bereits eingetreten ist. Dafür gibt es eine wachsende Zahl spezialisierter Dienstleister, die im Schadenfall Hilfestellungen geben, z.B. bei der Daten- und Spurensicherung, dem Umgang mit Erpressern, aber auch – Filter II – bei der Vorsorge, dem Training von Mitarbeiter, dem Test von Sicherheitssystemen (white hat hacking) etc.

    Informationen anfordern

    Anfrage: Ja, ich möchte nähere Informationen zum Thema

    erhalten. Schicken Sie mir bitte entsprechende Unterlagen per E-Mail zu.

    Ja, ich habe die Erstinformation zur Kenntnis genommen und stimme ihr zu.