Lohnt sich eine Cyber-Versicherung?

Seit einigen Jahren bieten auch in Deutschland diverse Versicherungsunternehmen Cyberversicherungen an. Vor dem Hintergrund spektakulärer, von den Mainstream-Medien aufgegriffener Fälle von Angriffen (Locky, Goldeneye, etc.) rücken diese Produkte derzeit stärker ins Rampenlicht. Die Produktkategorie ist zwar noch recht neu, weist aber hohe Wachstumsraten auf, zumindest in den USA, wo Zahlen vorliegen. In den USA beträgt das Marktvolumen – je nach Quelle – zwischen 1,3 und 2 Milliarden Dollar.

Da Cyber-Risiken in der Tat zunehmen, stellt sich die Frage, ob es sich für Unternehmen lohnt, eine Cyber-Versicherung abzuschließen. Wir meinen, für die meisten Unternehmen lautet die Antwort eher nein.

Cyberversicherungen regulieren im Kern zwei Arten von Schäden:

  • Drittschäden („Cyber-Haftpflichtversicherung“)
  • Eigenschäden

Im ersten Fall werden Schadenersatzansprüche von Dritten versichert, die z.B. aus einem Datenverlust oder einer Datenrechtsverletzung resultieren. Im zweiten Fall sind die Kosten gemeint, die dem Unternehmen selbst entstehen, z.B. durch Betriebsunterbrechungen (entgangener Gewinn) oder Kosten der Daten-Wiederherstellung.

Ist eine Cyberversicherung sinnvoll oder nicht?

Man sollte sich vor Augen führen: Eine Cyberversicherung ersetzt keine notwendigen und angemessenen technischen Maßnahmen. Und wenn man sich derart bedroht fühlt oder einen großen Schaden befürchtet, dass man über eine Cyberversicherung nachdenkt, sollte man zunächst prüfen, ob die technischen und organisatorischen Maßnahmen überhaupt dem empfohlenen Mindestmaß entsprechen.

So sollte zum Beispiel jedes Unternehmen einen Wiederherstellungsplan haben, der die Maßnahmen und Informationswege beschreibt, die notwendig sind, wenn unternehmenskritische Systeme nicht mehr funktionieren. In der Praxis verfügen die wenigsten Unternehmen über solch einen Plan, geschweige denn, dass zumindest Einzelschritte daraus – z.B. das Rücksichern von Backups – regelmäßig getestet werden.

Wenn ein angemessenes Schutzniveau erreicht ist, und man darüber hinaus einen zusätzlichen Schutz durch eine Versicherung haben möchte, weil man einem erhöhten Risiko ausgesetzt ist, kann eine Cyberversicherung durchaus Sinn machen. Dann ist es letztlich eine Frage der Höhe der Versicherungsprämie und der eigenen – durchaus subjektiven – Risiko-Bewertung, ob diese den zusätzlichen Schutz wert ist.

Eine tiefergehende Betrachtung zu diesem Thema finden Sie in unserem Whitepaper.