Aus dem Unterricht des CAS Digital Risk Management, zum Thema „Cyber Insurance“ mit Max Keller (Risk Management Consultant bei Funk), berichtet Mirco Stoffel.

Mit „Petya“ und „wanna cry“ gab es in letzter Zeit zwei Cyberattacken die für Aufruhr sorgten. Auch bei der jüngsten Attacke wurden Schweizer Unternehmen getroffen. Gemäss NZZ gehört der Schweizer Bad- und Küchenspezialist Sanitas Troesch zu den Opfern und musste dabei Schäden hinnehmen, die nur schwer zu beheben sind. Auf dem Versicherungsmarkt gibt es aus diesem Grund vermehrt Produkte, bei denen sich Unternehmen gegen Kostenfolgen von Cyberattacken absichern können.

Die Volkswirtschaftlichen Auswirkungen von Cyberkriminalität sind enorm. Das Wirtschaftsmagazin Forbes schätzt die weltweiten Kosten Folgen von Cyberkriminalität im Jahr 2019 auf die unglaubliche Zahl von 2 Trillionen US-Dollar. Wie hoch der finanzielle Schaden aktuell in der Schweiz ist, kann nicht genau beziffert werden, denn in der Schweiz besteht keine Meldepflicht für Cyberattacken. Die Wahrscheinlichkeit dass Unternehmen von Datenmissbrauch oder Cyberattacken betroffen sind, ist höher als die des Ausbruches von Feuer. Gemäss Max Keller hat fast jedes Unternehmen eine Feuerversicherung, oft jedoch kein Cyber-Versicherung.

Cyber-Versicherungen für Unternehmen

Als Unternehmen steht man vor der Herausforderung die Auswirkungen von Cyber-Risiken abzuschätzen. Die direkten und indirekten Auswirkungen sind jedoch oft nicht bekannt. Im Grundsatz muss man also entscheiden, welche präventiven Sicherheitsmassnahmen noch verhältnismässig sind, oder wo ein Risikotransfer an eine Versicherung Sinn macht.

Eine Studie der Firma KPMG prognostiziert für den Markt von Cyber-Versicherungen ein Milliardengeschäft. Aktuelle Marktbeobachtungen zeigen jedoch noch einige Herausforderungen auf. Es gibt kaum aktuarische Erfahrungen und durch fehlende Risikomodelle gibt es ein sehr heterogenes Prämienbild. Max Keller rät deshalb in puncto Franchise (Selbstbehalt) und Obliegenheiten (Pflichten des Versicherungsnehmers) ganz genau hin zu schauen.

Cyber-Versicherungen im Detail

Falls Sie als Unternehmen vor haben eine Cyber-Versicherung ab zu schliessen, ist wichtig die Versicherungsprodukte im Detail an zu schauen. Es ist durchaus möglich, dass nicht alle IT-Systeme in einen Versicherungsschutz eingeschlossen werden können. Zum Beispiel Auswirkungen oder Schäden auf Cloud Services sind gemäss Max Keller oft noch nicht versicherbar. Bei Cyber-Versicherungen muss also genau betrachten, welche Gefahren zu welchen Schäden führt und welche Kosten dadurch entstehen. Die nachfolgende Tabelle hilft dabei, die Gefahren und Schäden besser einzuschätzen.

Zudem gibt es Typische Ausschlüsse bei Cyber-Versicherungen, diese sind: Serien Schäden, Wissentliche Pflichtverletzung, Kartell- und Wettbewerbsrecht, Patente / Betriebs- und Geschäftsgeheimnisse, Lizenzen, Krieg, Terror (Cyber-Terrorismus gedeckt), Eigenhandel (intercompany), Daten im Arbeitsspeicher, Daten und Programme ohne Nutzungsberechtigung, Programmierfehler, Infrastrukturen und Internet (nicht im Kontrollbereich), Innenansprüche, Versicherungsverbote und Finanzdaten.

Ein weiterer wichtiger Punkt sind Obliegenheiten. Um im Schadenfall keine Probleme zu haben, hält man sich als Versicherungsnehmer besser an die folgenden Pflichten: Stand der Technik, Abweichungen bei Herstellervorgaben Anzeigen von Verdachtsfällen, unverzügliche Benachrichtigung, Befolgung von Weisungen des Versicherers, Wahrheitsgemässe Schadenberichte, Unterstützung von Schadenermittlung und Schadenregulierung.

Der Weg zu Cyber-Versicherung

Der Weg zu einer Cyber-Versicherung beinhaltet im Wesentlichen sechs Schritte. Wichtig ist Prüfung bestehender Deckungen, damit keine Überdeckung entsteht. Oft sind die Folgen von Cyberattacken bereits in bestehenden Versicherungen gedeckt oder als Zusatz wählbar. Zum Beispiel bei Sach- und BU-Versicherungen oder bei Vertrauensschadenversicherungen.

Cyber-Versicherung für Privat

In diesem Blog wurde Cyber Insurance bisher nur aus der Sicht von Unternehmen betrachtet. Natürlich gibt es auf dem Versicherungsmarkt auch Produkte für Private. Dabei können sich Personen für Risiken wie Cyber-Mobbing oder Onlinekontenmissbrauch versichern lassen. Max Keller rät jedoch aktuell noch davon ab. Die Deckung ist gering und durch minimale Massnahmen könne man die Risiken stark minimieren.