1. Beide Policen beim selben Versicherer abschließen
Auf den ersten Blick scheint die Abgrenzung einfach zu sein: Die IT-Haftpflicht schützt IT-Unternehmen vor den Folgen selbstverschuldeter Fehler, also wenn Dritte Schadenersatz fordern. Eine Cyberversicherung greift bei unverschuldeten Problemen wie Schäden durch Malware oder einen Hackerangriff. In der Praxis ist es leider komplizierter. Welche Versicherung ist beispielsweise zuständig, wenn aufgrund eines Cybervorfalls ein Projekt in Verzug gerät oder ein Mitarbeiter versehentlich Schadsoftware beim Kunden einschleust?
„Wir raten dringend davon ab, IT-Haftpflicht- und Cyberversicherung bei unterschiedlichen Anbietern abzuschließen“, sagt Kai Doerk, Experte für IT-Versicherungen beim Versicherungsmakler bpa. „Unserer Erfahrung nach gestaltet sich die Schadensregulierung kompliziert und langwierig, wenn mehrere Versicherer beteiligt sind.“ Wer übernimmt die Abwehr von Schadenersatzansprüchen, wer trägt welche Kosten? Diese Fragen stellen sich nicht, wenn alle IT-Risiken bei ein- und demselben Anbieter versichert sind. „Außerdem sind dann die Produkte aufeinander abgestimmt“, ergänzt Doerk. Das heißt: Es bestehen keine gravierenden Deckungslücken (alle wesentlichen Risiken sind von einer der beiden Police abgesichert) und auch keine Doppelversicherungen (für die der Versicherungsnehmer unnötig bezahlen muss).
2. Mögliches Unternehmenswachstum einplanen
Wer vorhat, als IT-Dienstleister in den kommenden Jahren zu wachsen, sollte dies beim Abschluss von Versicherungsverträgen berücksichtigen. Denn nicht bei jedem Anbieter ist eine entsprechende Erhöhung der Versicherungssumme problemlos möglich. Oft lassen sich IT-Haftpflicht- und Cyberversicherung nur bis zu einer Deckungssumme von 1,5 oder 2 Mio. Euro unkompliziert abschließen. Benötigen Sie mehr, ist bei vielen Anbietern eine aufwändige Risikoanalyse notwendig oder Versicherungsschutz gar nicht möglich.
Ähnliches gilt für den Jahresumsatz des IT-Unternehmens. Informieren Sie sich vorab, bei welchen Umsatz-Schwellenwerten die Versicherungsbeiträge gegebenenfalls sprunghaft steigen oder ab welcher Unternehmensgröße Versicherungsschutz nicht mehr standardmäßig angeboten wird. (Tipp: Über unseren Tarifrechner können Sie mit wenigen Klicks Ihre Beiträge berechnen lassen; erst ab 5 Mio. Euro Versicherungssumme bzw. Umsatz ist ein umfangreicherer Antrag notwendig.)
3. Cyber-Vollversicherung möglich?
Die Palette der auf dem Markt erhältlichen Cyber-Versicherungen ist groß. Immer mehr Versicherer reagieren auf die steigenden Cyberrisiken und bieten eigene Produkte hierfür an. Da die Sparte noch jung ist, haben sich bisher wenige Standards etabliert. Und so verbergen sich hinter Namen wie Cyberschutz, Data Protect, Hacker- oder Cyberversicherung Produkte mit höchst unterschiedlichem Leistungsumfang.
Was allen gemeinsam ist: Im Schadensfall stehen spezialisierte Dienstleister bereit, um den Schaden eines Cyberangriffs sofort einzudämmen. Hiervon profitieren insbesondere IT-Unternehmen, die nicht selbst über ausreichend Expertise zur Cyber-Abwehr verfügen (und natürlich die Versicherer, die die Schadenskosten so gering wie möglich halten wollen). Ebenfalls im Versicherungsschutz enthalten sind in der Regel die Wiederherstellung und Reparatur der IT-Systeme sowie die Beauftragung externer Forensik-Analysten und spezialisierter Anwälte.
Für ein umfassendes Risikomanagement sind jedoch noch weitere Faktoren wichtig, die nicht in allen Policen enthalten sind. Beispielsweise kann eine erfolgreiche Cyber-Attacke die Arbeitsfähigkeit des IT-Unternehmens über längerer Zeit beeinträchtigen. Kündigen daraufhin wichtige Kunden, ist der Ertragsausfall immens. „Zu einer Cyber-Vollversicherung gehört unbedingt der Einschluss von Betriebsunterbrechungsschäden“, betont bpa-Geschäftsführer Kai Doerk. Weitere wesentliche Risiken sind unter anderem Cyber-Diebstahl (z.B. unrechtmäßige Überweisungen), Telefon-Hacking, Datenrechts-Eigenschäden und Cyber-Schäden bei Dritten.
4. Versicherungssumme nicht zu knapp kalkulieren
IT-Unternehmen benötigen sowohl bei der IT-Haftpflicht als auch bei der Cyber-Versicherung hohe Deckungssummen, insbesondere für Vermögensschäden. Wer den Versicherungsbeitrag reduzieren möchte, sollte lieber den Selbstbehalt erhöhen oder einen Anbieter mit einem besseren Preis-Leistungsverhältnis suchen, als eine Unterversicherung zu riskieren. Denn überschreitet im Ernstfall der fällige Schadenersatz den versicherten Betrag, muss das IT-Unternehmen für die Mehrkosten selbst aufkommen. Dies stellt insbesondere für den Geschäftsführer ein hohes Risiko dar: Er kann für unzureichendes Risikomanagement persönlich haftbar gemacht werden.
Ein Auge sollten IT-Unternehmer auch auf die Sublimite haben. Diese sehen vor, dass die Versicherung bei bestimmten Risiken (z.B. bei Urheberechtsverletzungen) nur bis zu einem bestimmten Betrag leistet, der oft deutlich unter der vereinbarten Versicherungssumme liegt.
5. All-Risk-Deckung, Innovationsklausel und gefährliche Stolperfallen
Dass der digitale Wandel schnell voranschreitet, ist eine Binsenweisheit. Für den Versicherungsschutz bedeutet dies: Kaum jemand kann vorhersehen, welche neuen Anwendungsgebiete und Risiken in den kommenden Jahren hinzukommen. IT-Versicherungen, die länger als ein Jahr Bestand haben sollen, sollten daher eine All-Risk-Deckung beinhalten – also alle jetzigen und zukünftigen IT-relevanten Tätigkeiten mitversichern. Empfehlenswert ist ebenso eine Innovationsklausel: Diese besagt, dass der Versicherungsnehmer automatisch von künftig verbesserten Leistungen profitiert, ohne seinen Vertrag dafür stets aktualisieren zu müssen.
Um Stolperfallen zu vermeiden empfiehlt Doerk zudem einen Versicherungsschutz, der weltweit gilt und auch Fehler von Subunternehmern, freien Mitarbeitern und Praktikanten abdeckt. Und sowohl bei Haftpflicht- als auch bei Cyber-Policen gilt: Finger weg von Verträgen mit „Stand-der-Technik“-Klausel. Findet sich diese äußerst schwammige Formulierung in den Voraussetzungen, kann der Versicherer Leistungen im Schadensfall leicht unter dem Vorwand verweigern, das IT-Unternehmen habe seine Pflichten verletzt.
6. Spezialisierte Anbieter für Cyber und IT-Haftpflicht oder Allrounder?
Viele Versicherer haben Haftpflicht- und Cyberversicherungen im Angebot. Wie gut deren Leistungsumfang und Vertragsbedingungen zu den tatsächlichen Bedürfnissen der Kunden passen, ist höchst unterschiedlich. Grundsätzlich kann man sagen: Über je mehr Erfahrung ein Versicherer mit einer bestimmten Kundengruppe verfügt, desto besser sind die Produkte auf deren spezifische Anforderungen zugeschnitten. Für IT-Unternehmen bedeutet das, dass sie in der Regel bei einem spezialisierten Gewerbeversicherer besser aufgehoben sind als bei Anbietern, die IT-Haftpflicht und Cyberversicherungen „nebenbei“ im Portfolio haben.