Zum Hauptinhalt springen

Cyber-Versicherung

Bei Cyber-Versicherungen gibt es verschiedene Aspekte, die versichert werden können. Ob es am Ende des Tages Sinn macht oder nicht, ist sehr abhängig vom konkreten Einzelfall sowie regelmässig neu zu evaluieren. Diese Aufstellung soll für die Evaluation einige Hilfestellung und Erwägungspunkte liefern.

Was wird versichert?

Generell können bei Cyber-Versicherungen folgende Risiken abgedeckt werden:

  • Schäden aufgrund von Betriebsunterbrechungen, die auf Störungen der Netzwerksicherheit, Cyberattacken, menschliches Versagen oder Programmierfehler zurückzuführen sind
  • Wiederherstellung von verloren gegangenen oder beschädigten Daten
  • Aufwendungen für Notfallmassnahmen- und Untersuchungskosten
  • Rechtskosten einschliesslich der Geltendmachung vertraglicher Schadenersatzansprüche
  • Aufwendungen für die Krisenkommunikation und zur Minderung von Reputationsschäden
  • Haftung aufgrund von Datenschutzverletzungen
  • Haftung aufgrund unbefugter Nutzung des Firmen-Netzwerks
  • Cybererpressungszahlungen bzw. mit der Erpressung verbundene Kosten
  • Aufwendungen für aufsichtsbehördliche Untersuchungen

Unbedingt aber die AVB der in Frage kommenden Versicherung prüfen!

Hauptrisikofaktoren Mensch und bekannte Lücken

Erfolgreiche Cyber-Angriffe basieren heutzutage grösstenteils darauf, dass entweder veraltete, nicht mit Updates aktuell gehaltene Programme/Geräte im Einsatz sind oder der Mensch selbst ausgetrickst wird. Zu diesen Tricksereien gehören Täuschung (z.B. Phishing-Mails), Nicht-Wissen (z.B. nie unbekannten USB-Stick an heiklem PC einstecken), Bequemlichkeit (z.B. überall gleiches Passwort), usw.

Haftungsbereich b-bit / geteilte Verantwortung

Im ersteren der erwähnten Risikofaktoren kommen wir, die bbit gmbh, als "Software-as-a-Service"-Anbieter ebenfalls ins Spiel. Wir schauen regelmässig, dass wir bezüglich den Best Practises der IT-Security auf dem Laufenden bleiben und wir aktualisieren, sichern und hinterfragen unsere Systeme laufend. Nichtsdestotrotz gibt es keine 100%-ige Sicherheit, weswegen wir je nach durch uns verursachten Schadensfall entsprechend haften und uns auch dagegen versichert haben. Konkret haben wir eine Betriebsversicherung (für Haftungsfälle), eine Cyber-Versicherung (für Teile der oben aufgeführten Risiken) und auch eine Berufsversicherung (deckt Schäden durch Mitarbeiterfehler, wenn wir z.B. versehentlich was löschen). All diese Vorkehrungen ziehen aber eben nur, wenn die Ursache nachweislich auf unserer Seite liegt.

Nicht aber, wenn z.B. jemand erfolgreich an dein Admin-Passwort gelangt und sich so Zugang zu bbit verschafft, was zweiteres der oben beschriebenen Risikofaktoren und durch deine Cyber-Versicherung zu tragen wäre.

Wahrscheinlichkeit eines Betruges

b-bit hat den Vorteil, dass es sich nicht um eine Standard-Software handelt, die hunderttausendfach Installiert ist, wie beispielsweise ein Betriebssystem wie Windows, ein CMS wie Wordpress, etc., die gerade für Massenattacken ein interessantes Ziel sind. Weiter ist es mangels öffentlichen oder finanziellen Interesses unwahrscheinlich, dass sich Hacker freiwillig unserem System annehmen. Ein bewusster Angriff auf unser System selbst durch z.B. einen Konkurrenten unserer Kunden hätte hohe Investitionskosten für den Angreifer zur Folge, wenn dies nicht mittels der erwähnten Tricksereien umgangen werden kann.

Dies als allgemeine Wahrscheinlichkeitsabschätzung, im Detail gibt es eine ganze Reihe an Angriffsvektoren, um die wir uns regelmässig Gedanken machen. Wir haben dem Thema deswegen gleich eine eigene Seite gewidmet: Sicherheit

Unsere Empfehlung

Es sehr schwierig, selbst im Einzelfall abschliessend zu beurteilen, ob eine Cyberversicherung Sinn macht oder nicht. Wir empfehlen daher, den Entscheid davon abhängig zu machen, welchen Grad der IT-Sicherheit im entsprechenden Betrieb gelebt wird oder nicht, sprich:

  • Werden sämtliche, mit dem Internet verbundene Geräte regelmässig gepatcht?
  • Werden alle vom Internet erreichbaren Dienste (E-Mail, Website, Online-Software, etc.) durch professionelle Dienstleister regelmässig gepatcht?
  • Wie ist der Wissenstand bezüglich IT-Sicherheit jedes Systembenutzers? Werden die erwähnten Tricksereien durch den Menschen erkannt und wird dies sporadisch auch mal geübt?
  • Welche Auswirkungen/Kostenfolge hätte ein erfolgreicher Angriff auf deinen Betrieb? Wie steht dies in Relation zu der jährlichen Versicherungsprämie?