Die wachsende Abhängigkeit vom Internet bewirkt auch neuartige Gefährdungspotentiale für die einzelnen Nutzergruppen, darunter die Klein- und Mittelunternehmen. Aus den USA kommend gibt es mittlerweile auch hierzulande erste Versicherungsprodukte gegen derartige Gefahren, die als sogenannte Cyber Risiken bezeichnet werden. Der folgende Beitrag gibt einen ersten Überblick.

Das Internet ist in fast allen Lebensbereichen unverzichtbar geworden. Der Netzzugang ist nahezu ähnlich elementar wie die Stromversorgung, weshalb das Internet oft zu den „kritischen Infrastrukturen“ gezählt wird. Damit diese Infrastruktur funktioniert, ist ein freier Zugang zum World Wide Web erforderlich. Netzbeschränkungen – ob nur geplant oder tatsächlich umgesetzt – werden daher immer wieder scharf kritisiert, personalisierte Ergebnisse bei Suchmaschinen sehr ambivalent beurteilt.

Gefahren des Internets

Weiters gehört zu einer funktionierenden Infrastruktur auch das Vertrauen der Nutzer, sich im Netz halbwegs sicher bewegen zu können. Mit dieser Sicherheit ist es allerdings nicht weit her. Es vergeht kaum ein Tag ohne Meldungen über irgendwo geortete Hackerangriffe, Computerviren und ähnliches.

Wie gravierend diese Gefährdungen mittlerweile ausfallen können, hat auf spektakuläre Weise der Computerwurm Stuxnet mit seinem gezielten Einsatz in iranischen Nuklearanlagen vor 2 Jahren in aller Deutlichkeit vor Augen geführt. Seither braucht es keine futurologische Phantasie mehr, um sich vorstellen zu können, dass auch kriegerische Auseinandersetzungen künftig nicht mehr physisch ausgetragen werden müssen – der dafür passende Begriff „Cyber War“ wurde längst geprägt.

Gezielte Netzattacken auf die Infrastruktur eines Landes wie auf Unternehmen sind jedenfalls ein großes Risiko geworden, dem von den Verantwortlichen zunehmend höhere Priorität eingeräumt wird. Der jährlich erscheinende Global-Risk-Report des Weltwirtschaftsforums widmet diesem Thema in seiner heurigen Ausgabe auch ein eigenes Kapitel unter dem bezeichnenden Titel „The Dark Side of Connectivity“.

Handlungsbedarf von KMU´s

Unternehmensseitig waren bisher vor allem große Konzerne betroffen. Ist das für Klein- und Mittelunternehmen also nicht eher ein vernachlässigbares Thema ?

Jürgen Eckel, Leiter des Entwicklungsabteilung von IKARUS Security Software GmbH, dem österreichischen Spezialisten für Antiviren-Produkte, teilt diese Einschätzung nicht und meint: „Abgesehen von Einzelfällen, die jeden treffen können, sind Unternehmen mit Fokus auf dem Vertriebsweg Internet, Betriebe mit ausgeprägtem geistigen Eigentum (intellectual property) und solche mit umfangreichen Beständen an Verwaltungs- und sensiblen Daten besonders exponiert“.

Grundsätzlich sind alle Betriebe gut beraten, sich mit Präventionsmaßnahmen zur IT-Sicherheit vertraut zu machen. „Ein wünschenswerter Standard bei den Schutzmechanismen umfasst einen DDoS-Schutz, Anti-Viren-Schutz, eine Firewall und Intrusion Detection/Preventions Systeme. Zumindest einige dieser Mechanismen sowie Pläne und Szenarien für eventuelle Notfälle sollten integriert, durchdacht und geplant werden, so dass keine zu langen Ausfälle entstehen“, teilt Eckel mit. Einen perfekten Schutz gibt es allerdings nicht.

Versicherungsschutz

Auch die Versicherer haben das Thema entdeckt und begonnen, Versicherungsschutz für einzelne dieser sogenannten Cyber Risiken anzubieten. Während in den USA schon ein beträchtliches Prämienvolumen mit diesen Versicherungen erzielt wird, sind bei uns erst im heurigen Jahr einschlägige Produkte auf den Markt gebracht worden.

Haftpflichtversicherungen, die speziell für Unternehmen aus der IT-Branche wie Software-Entwickler, etc. konzipiert wurden, um ihr betriebliches Haftungsrisiko abzusichern, gibt es schon seit mehreren Jahren. Hier kann es aber zu Überschneidungen mit den neuen Cyber Risk-Versicherungen kommen.

Auch bestimmte Risiken, die jetzt unter der Bezeichnung Cyber Risiken wieder begegnen, wie Hackerschäden oder Datenmissbrauch durch Dritte, waren schon seit längerem über sog. Vertrauensschadenversicherungen versicherbar.

Nur alter Wein in neuen Schläuchen also ? So ist es ganz sicher nicht. Neu ist, dass der Fokus dieser Cyber-Risk-Produkte auf den Gefahren des Internets liegt, gegen die man sich in einer neuartigen Kombination und umfassender als zuvor versichern kann. Der modular aufgebaute Deckungsumfang erstreckt sich dabei auf Eigenschäden wie auch auf Drittschäden. Es wird Versicherungsschutz also sowohl für Schäden geboten, die man selbst duch Netzaktivitäten von Dritten erleidet, als auch für Schäden, die man außenstehenden Dritten durch eigene Netzaktivitäten zufügt.

Konkret versicherbare Eigenschäden sind zur Zeit beispielsweise der Datenverlust, nachweislicher Umsatzrückgang im Internetverkauf infolge von Hackerattacken und IT-Schäden durch Hackerattacken sowie auch Lösegeldzahlungen,wenn Unternehmen z.B. mit der Beschädigung der IT erpresst werden.

Versicherbare Schäden an Dritten, für die Unternehmen selbst haftbar gemacht werden können, sind Datenrechtsverletzungen, bestimmte Eingriffe in den eigenen Webauftritt, etc. Einzelne Versicherer bieten darüber hinaus einen begleitenden Risikocheck durch professionelle externe Sicherheitsdienstleister mit an.

Zu beachten ist allerdings, dass der Versicherungsschutz der neuen Cyber Risk-Polizzen überwiegend nur punktuell greift. Es handelt sich definitiv um keine Rundum-Sorglos-Pakete. Manche Deckungsmodule erwecken zwar durch ihre Bezeichnung den Eindruck, als würde weitreichend Schutz geboten werden, beschränken sich bei genauerem Hinsehen jedoch auf Szenarien mit vergleichsweise hohem Seltenheitswert.

Dazu kommt, dass sich die Versicherungsdeckungen bei einzelnen Sparten – wie oben bereits angedeutet – zumindest teilweise überschneiden, bzw. der Schutzumfang oder die versicherten Ereignisse unterschiedlich definiert werden. Es ist im Zusammenhang mit diesen Cyber Risiken noch wichtiger als bei anderen Versicherungen, sich vom eigenen Bedarf leiten zu lassen und dann zu prüfen, welche Lösung dem am nächsten kommt und ob das Preis-/Leistungsverhältnis stimmt.

Bei allen Einschränkungen kann man jedoch zweifellos feststellen, dass die Produktgestalter der Assekuranz den Bedarf an Abdeckung der neuartigen Cyber Risiken richtig erkannt haben. Man darf auch davon ausgehen, dass in der nächsten Zeit neue Anbieter und optimierte Konzepte auf den Markt kommen. Es kann nicht schaden, diese Entwicklungen im Auge zu behalten.