Datendiebstahl: Eigenschäden durch Hackerangriffe und Cyberkriminalität abdecken - Interview Ralph Günther von exali.de

Ein Ruf, dem wir von exali.de gefolgt sind und ab sofort die „Datenschutz- & Cyber-Eigenschaden-Deckung“ als optionale Leistungserweiterung zu unseren Berufshaftpflichtversicherungen anbieten. Was die neue Cyberpolice versichert und welche Kosten über den Versicherungsbaustein abgedeckt sind, erklärt exali.de-Gründer und Produktentwickler Ralph Günther im Interview.

exali.de: Herr Günther, was versichert der neue Versicherungsbaustein „Datenschutz- und Cyber-Eigenschaden-Deckung“?

Allgemein gesprochen schützt die neue Leistungserweiterung vor den unkalkulierbaren Risiken, die ein Hackerangriff, eine DoS-Attacke, eine IT-Sicherheitslücke, ein gestohlener oder verlorener Laptop oder sonstige Cyberkriminalität bei unseren Versicherungsnehmern verursacht.

» Es geht längst nicht mehr nur um die Hackerehre «

So viele Vorteile das Internetzeitalter und Technologien wie Cloud Computing bzw. Cloud Working oder SaaS auch bieten, so viele neue Möglichkeiten bieten sie auch für Hacker und Kriminelle, diese neuen Technologien zu missbrauchen. Längst geht es hier nicht mehr um die „Hacker-Ehre“ oder das Aufdecken von Sicherheitslücken, sondern um einen milliardenschweren Markt durch Handel mit gestohlenen Informationen und personenbezogenen Daten.

Ist denn ein Schaden durch einen Hackerangriff oder ein Virenschaden nicht bereits über Ihre Vermögensschaden-Haftpflicht-Deckungen versichert?

Da haben Sie Recht, jedoch mit einem kleinen, aber wichtigen Unterschied. Bisher waren, wie bei einer Haftpflichtversicherung üblich, die Schadenersatzforderungen von Dritten (z.B. Kunden oder Auftraggeber) versichert, nicht jedoch die eigenen Kosten (versicherungstechnisch = EIGENSCHADEN), durch einen Cyber-Schaden.

» Wichtiger Unterschied: Versichert sind die eigenen Kosten «

Die Haftpflichtversicherung ist dafür ausgelegt, teurere Schadenersatzforderungen zu versichern, wenn der Freiberufler oder das Unternehmen von einem Dritten in Anspruch genommen wird. In der Regel handelt es sich um berufliche Fehler, aber z.B. auch um Rechtsverletzungen oder einen Virenschaden.

Bei einem Hackerangriff oder der Ausspähung personenbezogener Daten können jedoch auch unserem Versicherungsnehmer erhebliche Kosten entstehen. Beispielsweise muss ermittelt werden, welche Daten/ Kunden betroffen sind, Sicherheitslücken geschlossen und die IT-Systeme wiederhergestellt werden. Dabei entstehen auch juristische Fragestellungen. Müssen Datenschutzbehörden informiert und/ oder Kunden benachrichtigt werden? Bei diesen Positionen handelt es sich um Eigenschäden.

Welche Eigenschäden sind denn mit dem Baustein abgedeckt?

Versichert sind Eigenschäden im Zusammenhang mit einem Hacker-Angriff, einer DoS-Attacke, Computermissbrauch, Diebstahl von Datenträgern sowie einer sonstigen Datenrechtsverletzung. Dazu gehören z.B. Kosten im Zusammenhang mit der Wiederherstellung oder Reparatur Ihrer IT-Systeme, der Beauftragung externer Computer-Forensik-Analysten oder spezialisierter Anwälte (inkl. strafrechtlicher Verteidigung) sowie Krisenmanagement & PR.

Zudem sind die Mehrkosten zur schnellen Beseitigung oder Vermeidung einer Unterbrechung im Business versichert.

Können Sie das mit den versicherten Kosten und Mehrkosten noch näher erläutern. Was kann ich mir darunter vorstellen?

Wenn ein Dienstleister das Opfer von Cyberkriminalität wird, hat er im Prinzip zwei Probleme: Erstens er muss die Situation so schnell wie möglich beheben und seine Systeme wieder sicher und störungsfrei zum Laufen bekommen. Zweitens sollten seine Kunden durch die Situation so wenig wie möglich beeinträchtigt werden.

» Oberste Priorität: Es müssen schnell die richtigen Maßnahmen getroffen werden «

Um das sicherzustellen, müssen schnell die richtigen Maßnahmen getroffen werden. Dafür braucht man Spezialisten, die natürlich auch etwas kosten. Z.B. erstattet die Eigenschadenversicherung die Kosten für die Beauftragung von

• Computer-Forensik-Spezialisten, die den Vorfall untersuchen und prüfen welche Daten gefährdet sind;
• spezialisierten Anwälten, welche die Situation juristisch bewerten und unsere Versicherungsnehmer beraten, ob Datenschutz- oder Regulierungsbehörden, Kreditkarteninstitute sowie die Inhaber selbst benachrichtigt werden müssen;
• Beratern zur professionellen Information von Dateninhabern;
• Profis für PR & Krisenmanagement, die z.B. Kundenanschreiben und Pressemeldungen verfassen;
• Kreditschutz- und Kreditüberwachungsservices, welche die mögliche Verwendung ausgespähter Daten monitoren.

Sie sprachen zuvor aber auch von Mehrkosten im Zusammenhang mit einer Business-Unterbrechung. Was hat es damit auf sich?

Wir sind der festen Überzeugung, dass bei einem Hacker- und Cyber-Schaden jeder Dienstleister so schnell wie möglich wieder für seinen Kunden da sein muss und sich die Projekte auch im Schadenfall nicht nennenswert verschieben dürfen. Sonst springen die Kunden ab und diese Folge kann noch schlimmer sein, als der eigentliche Schaden. Das Verständnis von Kunden in diesen Situationen ist sehr begrenzt.

» Es soll erst gar nicht zu einem Unterbrechungsschaden kommen «

Wir bieten daher nicht wie üblich eine Betriebsunterbrechungsversicherung/ Ertragsausfallversicherung an, bei der absurderweise nachgewiesen werden muss, dass der Umsatz um soundso viel Prozent eingebrochen ist (was es in jedem Fall zu vermeiden gilt) – sondern eine Mehrkostendeckung, die alle Kosten übernimmt, die zur schnellen Erlangung des normalen Geschäftsbetriebs notwendig sind.

Durch die schnelle Reaktion und Übernahme der Kosten soll es erst gar nicht zu einem Unterbrechungsschaden oder verärgerten Kunden kommen. Die Versicherung übernimmt dafür z.B. die Mehrkosten für die Anmietung fremder IT-Systeme oder die Inanspruchnahme von externen IT-Dienstleistungen.

Wenn wir schon von der Übernahme von Mehrkosten sprechen. Welche Versicherungssummen bietet exali.de denn für die Cyberdeckung an?

Für den Start bieten wir die Leistungserweiterung in drei Varianten an: Mit einer Entschädigungsgrenze je Schadenfall von 50.000,00 €, 100.000,00 € sowie 150.000,00 €. Die Selbstbeteiligung je Schadenfall beträgt dabei übrigens 1.000,00 €.

Warum bieten Sie gerade diese 3 Summen an. Gibt es hierfür einen Grund?

Ja. Diese Summen haben wir nicht willkürlich gewählt. Vielmehr haben wir uns dabei an der aktuellen Studie von Kaspersky Lab orientiert. Dies ergab, dass kleinen bis mittleren Unternehmen bei einem Cyberangriff im Durchschnitt einen direkten Schaden von 55.000,00 € erleiden.

Daran haben wir uns bei der geringsten Summe orientiert und gehen im Maximum bis zum 3-fachen des durchschnittlichen Wertes. Sollte die Nachfrage nach noch höheren Entschädigungsgrenzen kommen, werden wir die Summen selbstverständlich daran anpassen.

In den besonderen Bedingungen findet man auch einen Passus zum Internet-Straf-Rechtsschutz. Übernimmt der Straf-Rechtsschutz in den Basis-Bedingungen nicht bereits die strafrechtliche Verteidigung im Schadenfall?

Das ist richtig. Allerdings müssen diese Kosten im Zusammenhang mit einem Schadenfall stehen. Die Voraussetzung ist also - ich zitiere die Bedingungen: „ein Schadenereignis, welches einen unter den Versicherungsschutz fallenden Haftpflichtschaden zur Folge haben kann“.

» Straf-Rechtsschutz auch ohne Schadenersatzforderung «

Der Internet-Straf-Rechtschutz leistet unabhängig von einer möglichen Schadenersatzforderung eines Dritten. Die Voraussetzung dafür ist, dass dem VN ein strafrechtliches Vergehen vorgeworfen wird, bei dessen Begehung das Internet als Medium genutzt wird (z.B. Beleidigung, unerlaubte Verwertung urheberrechtlich geschützter Werke). Aber auch hier gilt natürlich der allgemeine Ausschluss für wissentliche Pflichtverletzungen, sofern diese durch Urteil oder sonstige Tatsachenfeststellung nachgewiesen wird.

© Flora Anna Grass – exali AG