So wie es für die unterschiedlichen Risiken Sachversicherungen gibt, gibt es auch Versicherungen, die vor finanziellen Folgen im sogenannten Cyberraum bzw. bei Cyberkriminalität, wie z.B. bei Schäden durch einen Verschlüsselungs-Trojaner (Ransomware) einspringen.
Ob eine Cyberversicherung für jeden sinnvoll ist, kann pauschal nicht beantwortet werden.
Schaut man sich einen Risikofragebogen an, so ist erkennbar, dass die Versicherer bereits ein nicht unerhebliches Maß an eigener Schadensprävention verlangen.
Die erste Hürde: Die Risiken müssen erst einmal bekannt sein. Dabei stellt sich die Frage, welche der Risiken könnten für den Betrieb existenzbedrohend sein und wie könnten diese ggfs. vermieden oder kompensiert werden. Auch der finanzielle Aspekt sollte mitbetrachtet werden.
Erst mit diesen Informationen kann eine Vorauswahl am Cyber-Versicherungsmarkt getroffen werden.
Wie steht es mit dem rechtlichen Datenschutz: Sind bei einem Cyberangriff personenbezogene Daten betroffen –was häufig der Fall sein wird– kann sich der Vorfall zu einem meldepflichtigen Datenschutzverstoß entwickeln und ggfs. Schadensersatzansprüche nach sich ziehen.
Fragen zur Datenschutz-Organisation, zu technischen und organisatorischen Maßnahmen, zur Sensibilisierung der Mitarbeiter finden sich in der Regel in den Risikofragebögen wieder.
Die Antwort ist oftmals entscheidend: Je nach Police sind entsprechende Dokumentationen nachzuweisen oder zu beschreiben und werden damit Bestandteil zum Antrag (u.U. zum Vertrag). Einige der Risikofragen bestehen nur aus einer [] JA [] NEIN Antwort, die sich als tückisch erweisen können.
Ein Beispiel:
- Gab es bei Ihnen innerhalb der letzten X Jahre einen Datenschutzvorfall?
[] JA, [] NEIN
Aber können Sie das genau beantworten und wissen? - Waren Sie innerhalb der letzten X Jahre von einem Cyberangriff-Schaden betroffen?
[] JA, [] NEIN
Aber woher wollen Sie das Wissen, wenn der Angriff mit Datenabfluss an die Kriminellen bisher noch nicht bemerkt wurde?
Es gibt Schadprogramme, die bereits seit einigen Monaten in den Systemen schlummern und nur noch auf den Auslöser warten.
Mit Hilfe der Fragen prüfen die Versicherer genau so ihre Risiken vor Vertragsabschluss, wie sie es bei ihrer eigenen Risikobewertung tun.
Zum Schluss werden wahrscheinlich Kosten und Nutzen entscheiden. Aber ohne ein gewisses Maß an Eigenverantwortung und den entsprechenden Maßnahmen zur Risikominimierung wird sich ein Vertragsabschluss als schwierig erweisen.
So ein Risikofragebogen kann im Rahmen einer eigenen Überprüfung „Wo stehen wir im Datenschutz und der IT-Sicherheit“ ein gutes Hilfsmittel darstellen.