Schon lange vor Coro­na war vie­len IT-Ver­ant­wortlichen eines klar: Die Wahrschein­lichkeit, Opfer der immer raf­finiert­er wer­den­den Angriffe von Cyberkrim­inellen zu wer­den, steigt von Tag zu Tag. Entsprechend wurde die Mass­nah­men-Palette von tech­nis­ch­er Aufrüs­tung bis zur Inten­siv-Schu­lung der Mitar­beit­er kom­plett abgear­beit­et. Doch ein Puz­zlestein fehlt noch. Wie kann man Schä­den begren­zen, wenn das Worst-Case-Szenario wirk­lich eintritt?

Eine Vari­ante stellen Cyberver­sicherun­gen dar. Der Markt bietet unter­schiedlichen Anbi­eter, so dass Inter­essen­ten eine grosse Auswahl besitzen. Doch nicht jedes Ange­bot ist für jeden geeignet. Im Gegen­satz zu zweck­ge­bun­de­nen Poli­cen wie beispiel­sweise ein­er MF-Ver­sicherun­gen han­delt es sich bei Cyberver­sicherun­gen um eine Kom­bi­na­tion aus ein­er Haftpflicht‑, ein­er Betrieb­saus­fall- und ein­er Daten­ver­sicherung für Dritt- und Eigen­schä­den in Form von Vermögensschäden.

Eine Cyberver­sicherung ist für Unternehmen sin­nvoll, die mit sen­si­blen Dat­en arbeit­en und bei denen der Geschäfts­be­trieb von deren Ver­füg­barkeit abhängt. Sie tritt dann für Schä­den ein, die im Zusam­men­hang mit Inter­netkrim­i­nal­ität entste­hen. Dazu zählen Cyber­schutz, Data-Risk, Datenschutz‑, Hacker‑, oder Daten­trägerver­sicherung. Nach einem Mal­ware-Angriff zahlt der Ver­sicher­er beispiel­sweise für die Daten­ret­tung oder kommt für die Kosten auf, die mit der voll­ständi­gen IT-Wieder­her­stel­lung anfall­en. Daneben garantieren die Anbi­eter weit­ere Assistenz-Hilfe.

Unternehmen sind gut berat­en, sich die ver­schiede­nen Ver­trags­be­din­gun­gen genau anzuschauen. Ein­fach eine beliebige oder gar bil­lige Ver­sicherung abzuschliessen, bedeutet nicht, dass alle Schä­den ein­fach so aus­geglichen wer­den. Das dürfte so manch­er Ver­sicherte aus Erfahrung gel­ernt haben. Es gilt im Vor­feld die passenden Bausteine auszusuchen, die wirk­lich abgesichert wer­den müssen. Je mehr Deck­ung gefordert wird, desto teur­er wird es.

Wer glaubt, dass die eige­nen Anstren­gun­gen und Investi­tio­nen in IT-Sicher­heit ver­ringert wer­den kön­nen, derr irrt sich, Genau das Gegen­teil ist der Fall: Ver­sicherungsnehmer sind gezwun­gen, den aktuellen Stand der Secu­ri­ty-Tech­nolo­gie einzuset­zen. Dies kann unter Umstän­den bedeuten, dass investiert wer­den muss, bevor eine Police zum Abschluss kommt.

Für Unternehmen führt let­ztlich kein Weg an ein­er exak­ten Risikoab­schätzung vor­bei. Ist tech­nisch alles Men­schen­mögliche getan? Sind die Mitar­beit­er bestens geschult? Gibt es ein grif­figes IT-Secu­ri­ty-Not­fal­lkonzept? Je öfter die Antwort «ja» lautet, desto eher kann man mit ein­er Ver­sicherung sen­si­ble Teile absich­ern. Anderen­falls muss für eine Police tiefer in die Tasche gegrif­f­en werden.

Die Suche nach ein­er geeigneten Cyberver­sicherung erweist sich oft als schwierig. Der Begriff der Cyberver­sicherung ist allerd­ings kein all­ge­me­ingültiger Begriff. Da dieser Ver­sicherungs­bere­ich noch ver­gle­ich­sweise neu ist, hat sich bish­er keine ein­heitliche und geset­zlich geregelte Beze­ich­nung ergeben. So unter­schei­det sich der Deck­ung­sum­fang von Ver­sicher­er zu Ver­sicher­er deutlich.

Vom grossen Kom­plettpaket über Baukas­ten­sys­teme bis hin zu eng gefassten Kern-Deck­un­gen haben Unternehmen die Qual der Wahl. Die Kon­se­quen­zen kön­nen später bei der Leis­tungsabru­fung gravierend sein. Der Schweiz­er Ver­sicherungsver­band SVV bietet addi­tiv den Cyber­se­cu­ri­ty-Schnell­test an. Dieser ermit­telt, ob die tech­nis­chen, organ­isatorischen und mitar­beit­er­be­zo­ge­nen Mass­nah­men zum Schutz vor Cyber­risiken von KMU aus­re­ichend sind.