Cyber-Police: Schutz vor finanziellen Schäden durch Cyberkriminalität

Cyberkriminalität hat viele Gesichter. Doch ob Hacking, Phishing oder andere Arten des „elektronischen Hausfriedensbruchs“: Abgesehen haben es die Kriminellen in der Mehrzahl der Fälle auf sensible Daten von Unternehmen. Kontodaten, Korrespondenzen, Passwörter, Adressen, Telefonnummern, Details zu Finanzen und andere Daten werden gestohlen, manipuliert, gelöscht oder verschlüsselt. Das Strafgesetzbuch spricht meist von Tatbeständen wie Sabotage, Urheberrechtsverletzung oder Ausspähen von Daten.

Unsere Empfehlung

HDI Gewerbeversicherung

Die Folgen von Cyberattacken

Zu den Leidtragenden gehören zunächst die attackierten Unternehmen selbst, deren Arbeitsprozesse häufig nicht ohne Weiteres fortgeführt werden können. Das gilt insbesondere für E-Commerce-Unternehmen. Doch auch Mitarbeiter, Kunden, Geschäftspartner und Zulieferer sind mitunter von den Folgen des Cyberangriffs betroffen und können Schadensansprüche geltend machen. Die daraus resultierenden Kosten gehen schnell in die Millionen und sind dann nicht selten existenzgefährdend. Nicht zu vernachlässigen ist außerdem der Vertrauensverlust, den das Unternehmen bei seinen Kunden und Partnern erleidet. Mit der richtigen Cyber-Police schützen sich Unternehmer vor den finanziellen Folgen von Internetkriminalität.

Datenschutz verletzt? Für Unternehmen gilt Meldepflicht

Das Verhalten bei Datenschutzverletzungen ist im Bundesdatenschutzgesetz (BDSG) festgesetzt. Wenn Datenschutzvorschriften verletzt wurden, müssen Unternehmen dies melden – man spricht von der sogenannten Informationspflicht. Zum einen gilt es, die zuständige Datenschutzaufsichtsbehörde des Landes über die Datenpanne in Kenntnis zu setzen, zum anderen die betroffenen Personen. Letzteres geschieht bei Mitarbeitern, Kunden und Geschäftspartnern in der Regel über den postalischen Weg. Wenn der Personenkreis sehr groß ist, muss der Datenschutzverstoß sogar der Öffentlichkeit gemeldet werden. In diesem Fall wenden sich Betriebe an die Presse.

Von Anwalt bis Datenwiederherstellung: Cyberversicherung übernimmt zahlreiche Kosten

Eine Cyberversicherung kann eine Vielzahl von Folgeschäden durch Cyberkriminalität abdecken. Darunter fallen beispielsweise die Schadensansprüche Dritter, die unter anderem aus Vermögensschäden, Verletzung von Marken-, Persönlichkeits- oder Urheberrechten und aus Vertragsstrafen resultieren. Außerdem kommt eine Cyber-Police für Anwalts- und Gerichtskosten auf, die im Zusammenhang mit einem Hackerangriff entstehen.
Darüber hinaus ist eine Vielzahl von Eigenschäden durch die Cyberversicherung abgedeckt. Kosten, die beispielsweise durch die Wiederbeschaffung und das Anlegen von gelöschten Daten und Programmen entstehen, werden übernommen. Schließlich kann ein Datenklau zu einem Ausfall von IT-Systemen führen, dessen Wiederherstellung erheblichen Aufwand nach sich zieht. Wenn der Betrieb seine Arbeit aufgrund des Hackerangriffs unterbrechen muss, kommt die Versicherung zudem für den Ertragsausfall auf. Und viele weitere Kosten können von der Police abgedeckt sein.

Datenklau: Wann springt die Cyberversicherung ein?

Grundsätzlich handelt es sich dann um einen Versicherungsfall, wenn die Datensicherheit, die Vertraulichkeit von Daten oder andere Datenschutzrichtlinien eines Unternehmens verletzt wurden. Eine Cyber-Police schützt in erster Linie vor den Risiken durch (externe) Kriminelle, die sich unerlaubt Zugang zu Daten bzw. dem IT-System eines Unternehmens verschaffen. Darüber hinaus können sich Unternehmen unter Umständen sogar gegen selbst verschuldete Schäden absichern. Diese können beispielsweise durch das Fehlverhalten von Mitarbeitern herbeigeführt werden oder durch Nichteinhalten gesetzlicher Datenschutzvorschriften.

Versicherer prüft: Wie hoch ist das Risiko für erfolgreiche Cyberattacken?

Bevor ein Versicherer für ein Unternehmen die Vertragskonditionen einer Cyber-Police festlegt, macht er sich ein Bild von der Daten- und IT-Sicherheit des Unternehmens. Je höher das Risiko für Schäden durch gelungene Hackerangriffe ist, desto höher fallen auch die Versicherungsbeiträge aus, die eine Firma zahlen muss. Nicht zuletzt geben viele Versicherer Kriterien vor, denen die Unternehmens-IT zu entsprechen hat. Erfüllt das Unternehmen diese nicht, kann es die Versicherung nicht abschließen.
Zahlreiche Faktoren beeinflussen das Risiko für Cyberangriffe. Der Kundenkreis spielt dabei ebenso eine Rolle wie die Mitarbeiterschaft und der Einsatz von IT-Schutzmaßnahmen.
Diese Faktoren sind für die Risikoeinschätzung entscheidend:

  • Anzahl der IT-Fachkräfte bzw. Größe der IT-Abteilung
  • Anzahl der Mitarbeiter
  • Art der Arbeitsmodelle (erhöhtes Risiko zum Beispiel durch freie Mitarbeiter, Homeoffice-Möglichkeit)
  • Art des Unternehmens (Abhängigkeit zwischen Unternehmenserfolg und IT bzw. Daten?)
  • Menge und Art der gespeicherten Daten
  • Andere Versicherungen

Des Weiteren werden Bedingungen zwischen dem Versicherer und dem Versicherten vereinbart, die die IT-Sicherheit erhöhen. Dazu gehören eine regelmäßig durchgeführte Datensicherung (Back-up), das Installieren und Aktualisieren von Firewalls und Antivirenprogrammen sowie die Überprüfung von Zugriffsrechten. Falls ein externer IT- oder Administrationsdienstleister vom Unternehmen beschäftigt wird, muss das Erfüllen der Konditionen des Versicherers vertraglich festgesetzt werden.
Kurzum: Die Anforderungen an den Datenschutz steigen, sobald ein Unternehmen eine Cyber-Police in Anspruch nimmt. So sorgt der Versicherer dafür, dass das Unternehmen seine Verantwortung gegenüber personenbezogenen Daten bestmöglich wahrnimmt.