Immer mehr Unternehmen sichern sich mit einer Cyberversicherung ab, um im Fall eines Hackerangriffs nicht in die Insolvenz zu rutschen. Die wichtigste Frage, die sich auch IT-Dienstleistern stellt, lautet: Wie hoch muss die Versicherungssumme sein, damit der Schutz ausreichend, aber noch bezahlbar ist?
Allein in deutschen Firmen verursachen Sicherheitsvorfälle im IT-Bereich mehr als 220 Milliarden Euro Schaden pro Jahr. Besonders häufig trifft es Mittelständler. Gehen sensible Daten im Zuge eines Cyberangriffes verloren, sind mehr die Hälfte der deutschen Unternehmen in ihrer Existenz gefährdet, schreibt das BKA in seinem aktuellen Cybercrime-Bericht. Gerade IT-Dienstleister sind sich der wachsenden digitalen Risiken bewusst und schließen eine Cyberversicherung ab. Die Gretchenfrage bleibt jedoch die Höhe der Deckungssumme.
Deckungssumme der Cyber-Versicherung nicht zu hoch ansetzen
In der Presse liest man immer wieder von Lösegeldzahlungen oder DSGVO-Bußgeldern in Millionenhöhe. Dennoch sollten Unternehmen die Versicherungssumme ihrer Cyberversicherung nicht zu hoch ansetzen, da dies die Beitragskosten in die Höhe treibt. IT-Dienstleister sollten genau prüfen, wie hoch ihre individuellen Risiken sind, um eine angemessene Deckungssumme zu wählen.
Leichter gesagt, als getan. Eine einheitliche Formel, nach der sich die Versicherungssumme ermitteln lässt, gibt es leider nicht. Es gibt jedoch einige Orientierungswerte und Risikofragen, die IT-Unternehmen hier weiterhelfen.
Richtwerte für die Ermittlung der Versicherungssumme
Je größer das zu versichernde Unternehmen ist, desto höher sind in der Regel auch mögliche Eigenschäden durch Sicherheitsvorfälle. Als Faustformel sollten IT-Dienstleister rund 50% des Werts ihrer IT-Systeme ansetzen, um die Wiederherstellungskosten nach einem Cyberangriff abzudecken. Dazu gehören neben Servern und lokalen Computer-Clients auch mobile Geräte, die Telefonanlage und Drucker sowie die eigene Website, das Intranet usw.
Sofern versichert, sind zudem mögliche Schäden an Konten und Zahlungsmitteln zu berücksichtigen, also sämtliche kurzfristig verfügbaren Geldmittel, die Hacker entwenden könnten.
Weitere Schäden können IT-Firmen durch die Behinderung oder gar den Stillstand der eigenen Arbeit entstehen. Für diese zahlt der Versicherer nur dann, wenn Betriebsunterbrechungsschäden in der Cyberversicherung eingeschlossen sind. In diesem Fall müssen auch solche Folgeschäden in der Deckungssumme einkalkuliert werden: also die fortlaufenden Kosten und der Betriebsgewinn für mindestens einen Monat sowie mögliche Vertragsstrafen, die durch einen Stillstand drohen.
DSGVO und Drittschäden – Ein Fall für die Cyberversicherung?
Bei den bisher genannten Schadensarten handelt es sich um Eigenschäden, die der Versicherte selbst erleidet, wenn Geschäftsdaten verschlüsselt, Gelder entwendet oder Systeme gestört werden. Stehlen Kriminelle hingegen sensible Daten oder schleust ein IT-Experte versehentlich Schadsoftware beim Kunden ein, sind Dritte betroffen. Solche Drittschäden lassen sich ebenfalls über eine Cyberversicherung abdecken. Sinnvoll ist dies jedoch nur, wenn sie nicht bereits durch eine IT-Haftpflichtversicherung abgesichert sind.
Gerade bei umfangreichen Datensätzen oder besonders sensiblen Informationen (z.B. Gesundheitsdaten) können Leaks oder DSGVO-Verstöße teuer werden. Die Versicherungssumme wird hier üblicherweise mit rund 50 Euro je Datensatz (also je Kunde, Mitarbeiter oder Geschäftspartner) angesetzt. Hinzu kommen je 10 Euro für selbst gespeicherte Bank- oder Kreditkartendaten.
So lässt sich die Versicherungssumme berechnen
Berücksichtigt man alle genannten Schadensarten, setzt sich die Deckungssumme der Cyberversicherung wie folgt zusammen:
- Rund 50% des Werts der eigenen IT-Systeme
- + mögliche Schäden an eigenen Konten und Zahlungsmitteln
- + Betriebskosten und Gewinn für die Dauer eines möglichen Betriebsausfalls
- + ca. 50 Euro je Kunden-Datensatz und ca. 10 Euro je Kreditkarte/Bankdatensatz
- + 10 % Sicherheitsaufschlag
= Versicherungssumme der Cyberversicherung
Mögliche Cyber-Schäden beim Auftraggeber sind schwieriger zu kalkulieren. Hier hängt das Schadenpotenzial vor allem von der Größe und dem Geschäftsfeld der Kunden ab: Wie hoch ist der größtmögliche Schaden durch einen Cyber-Vorfall, wenn auch Umsatzausfälle und Reputationsschäden berücksichtigt werden? Hat der IT-Dienstleister wirksame Haftungsbegrenzungen mit seinen Auftraggebern vereinbart? Übersteigt der mögliche Schadenersatz die oben berechnete Summe, sollte er die Versicherungssumme entsprechend erhöhen.
Cyberversicherung sinnvoll kombinieren
All diese Posten sind bei der Berechnung der Deckungssumme jedoch nur notwendig, wenn die entsprechenden Risiken tatsächlich über die Cyberversicherung abgedeckt werden, sprich: Betriebskosten nur dann, wenn auch Betriebsunterbrechungsschäden versichert sind. Und Kosten für den Verlust von Kundendaten oder für weitere Drittschäden nur dann, wenn keine andere Versicherung diese übernimmt.
Da IT-Dienstleister eh eine IT-Haftpflichtversicherung benötigen, sollten Sie darauf achten, dass keine Doppelversicherung besteht. Denn Überschneidungen führen in der Regel zu unnötigen Beitragsbelastungen und im Schadensfall womöglich zu Streit, welcher Versicherer nun zuständig ist. ASEKURADO vermittelt Ihnen auf Wunsch eine passgenaue Kombi-Police: eine günstige IT-Haftpflichtversicherung inklusive einer umfassenden Cyberversicherung. In diesem Fall steht Ihnen die volle Versicherungssumme sowohl für die IT-Haftpflicht als auch für die Cyberversicherung zur Verfügung.