Datenverluste und Hackerangriffe können für Unternehmen eine existenzgefährdende Bedrohung sein. Helfen spezielle Cyber-Risk-Policen das Datenschutzniveau im Betrieb erhöhen?

Von Dr. Hubert Jäger, CTO und Gründer der TÜV-SÜD-Tochter Uniscon

Von sogenannten Cyber-Risk-Versicherungen, einer vergleichsweise noch jungen Versicherungssparte, ist in letzter Zeit immer häufiger die Rede.

Kein Wunder, dass sich Betriebe vermehrt gegen Hackerangriffe und Datenverluste absichern wollen, schließlich haben sich jene kriminellen Attacken auf Industrieunternehmen in den vergangenen Jahren gehäuft: Laut dem Branchenverband Bitkom wurden sieben von zehn Unternehmen (68 Prozent) in den letzten zwei Jahren Opfer entsprechender Angriffe und so entstand der deutschen Industrie durch Sabotage, Datendiebstahl oder Spionage ein Gesamtschaden von insgesamt 43,4 Milliarden Euro .

Mit einer Versicherung gegen Cyber-Angriffe allein sind Unternehmen allerdings nicht gut beraten, die eigene Sicherheitsinfrastruktur sollte stets mit entsprechenden Schutzvorkehrungen auf dem aktuellen Stand sein. Sind Betriebe in dem Bereich bereits gut aufgestellt, könnten sie beim Abschluss der Versicherung sogar sparen. Dieser Ansatz lässt eine weitere Frage zu: Können Cyber-Versicherungen dazu beitragen, den Datenschutz und die Datensicherheit in deutschen Unternehmen zu erhöhen?

Wie funktioniert die Cyber-Risk-Versicherung?

Cyber-Risk-Versicherungen sind Zusatzversicherungen für Unternehmen – meist eine Kombination aus Haftpflicht-, Betriebsausfall- und Datenversicherung für Dritt- und Eigenschäden. Die Police deckt in der Regel alle Vermögensschäden ab, die durch eine Verletzung der Informationssicherheit entstanden sind. Hierzu zählen auch Kosten für Krisenberatung, Datenforensik und Anwälte sowie, falls möglich, die Wiederherstellung der Daten. Betreiber von Webshops haben meist die Option, den Versicherungsumfang um eine Betriebsunterbrechungs- oder Ertragsausfallversicherung zu ergänzen. Der Versicherungsnehmer erhält dann für einen Umsatzausfall, der etwa durch einen Hacker-Angriff entstanden ist, einen finanziellen Ausgleich.

Wie wird der Tarif festgelegt?

Vor dem Abschluss der Cyber-Versicherung bewertet der Versicherer das Unternehmen, entscheidend sind dabei folgende Punkte:

• Welche IT-Infrastruktur kommt zum Einsatz?
• Wo werden die Daten gespeichert?
• Welche regelmäßigen Sicherheitsmaßnahmen wendet das Unternehmen an?

Bedeutend für die Festlegung des Tarifs ist, ob das Sicherheitskonzept des Betriebs insgesamt auf dem Stand der Technik ist und auch aktuell gehalten wird. Der Versicherungsanbieter verschafft sich also Klarheit über das Risiko, damit er die Konsequenzen abschätzen kann. So erhält zum Beispiel ein Unternehmen mit unzureichender IT-Sicherheit erst dann ein Versicherungsangebot, wenn es seine Schmutzmaßnahmen verbessert. Firmen, deren Sicherheitskonzepte bereits professionell aufgestellt sind, werden eventuell mit niedrigeren Prämien belohnt.

Wie umfangreich die Risikobewertung ausfällt, hängt vom jeweiligen Versicherer ab, auch wenn eine professionelle Differenzierung der verschiedenen Technologien und Dienstanbieter von den meisten Versicherungsanbietern noch gar nicht vorgenommen werden kann. Dies wird sich in den nächsten Jahren aber vermutlich ändern, denn wenn die Nachfrage bezüglich Cyber-Versicherungen steigt, bilden sich auch die Versicherer in jenem Bereich fort. Mit der Expertise werden die Tarife differenzierter ausgestaltet und auf die Sicherheitsarchitektur der jeweiligen Unternehmen angepasst.

Sicherheitsvorkehrungen zahlen sich aus

Firmen, die auf der Suche nach einem geeigneten Versicherungsschutz für ihre Daten sind, sollten also schon vor der ersten Bewertung für entsprechende Schutzmaßnahmen sorgen. Dazu gehört auch die Wahl einer passenden IT-Infrastruktur und eines Cloud-Anbieters. Zu beachten ist, dass in Kauf genommen wird, dass Mitarbeiter oder Administratoren eines Rechenzentrums bzw. eines Cloud-Anbieters technisch die Möglichkeit haben, auf unverschlüsselte Daten zuzugreifen.

Deshalb ist sicherheitsbewussten Unternehmen zu raten, auf betreibersichere IT-Infrastrukturen zurückzugreifen, bei der privilegierte Zugriffe durch technische Maßnahmen nachweisbar ausgeschlossen sind. Ein Missbrauch der Daten ist dadurch wesentlich unwahrscheinlicher. Beispiele für eine betreibersichere Umgebung sind etwa die versiegelte Cloud der Deutschen Telekom, uCLoud von Regio IT und die Sealed Platform der TÜV-SÜD-Tochter Uniscon GmbH.

Mit dem Einsatz einer betreibersicheren Infrastruktur bzw. eines betreibersicheren Cloud-Dienstes profitieren Nutzer nicht nur von abgesicherten Daten auf höchstem Niveau, beim Abschluss einer Cyber-Versicherung werden sie womöglich zu besonders günstigen Konditionen eingestuft.

Wie könnte eine Versicherungspflicht für mehr Datenschutz sorgen?

Cyber-Versicherungen sind nicht nur eine Möglichkeit für Unternehmen, ihre Daten vor Angriffen zu schützen. Richtig eingesetzt, könnte die Einführung einer Versicherungs- oder Rückstellungspflicht Anreize schaffen, smarte und sichere Technologien auch tatsächlich einzusetzen. Unternehmen, die sicherheitstechnisch hinterherhinkten, würden dadurch bestraft, dass sie besagte Versicherungsleistungen bzw. Rückstellungen aus dem Gewinn bezahlen müssten. Sicherheitstechnisch innovative Betriebe würden profitieren, da sie die gebildeten Cyber-Risk-Rückstellungen gewinnsteigernd auflösen könnten.

Wenn sich das rasant wachsende Risiko der Digitalisierung nämlich finanziell auf Unternehmen auswirkt und dies in der handelsrechtlichen Betrachtung berücksichtigt ist, ergreifen sicherlich mehr Betriebe die notwendigen und ökonomisch sinnvollen Datenschutz-Maßnahmen: Dies würde dem Datenschutz mehr Biss verleihen als bisher.