Schon lange vor Corona war vielen IT-Verantwortlichen eines klar: Die Wahrscheinlichkeit, Opfer der immer raffinierter werdenden Angriffe von Cyberkriminellen zu werden, steigt von Tag zu Tag. Entsprechend wurde die Massnahmen-Palette von technischer Aufrüstung bis zur Intensiv-Schulung der Mitarbeiter komplett abgearbeitet. Doch ein Puzzlestein fehlt noch. Wie kann man Schäden begrenzen, wenn das Worst-Case-Szenario wirklich eintritt?

Eine Variante stellen Cyberversicherungen dar. Der Markt bietet unterschiedlichen Anbieter, so dass Interessenten eine grosse Auswahl besitzen. Doch nicht jedes Angebot ist für jeden geeignet. Im Gegensatz zu zweckgebundenen Policen wie beispielsweise einer MF-Versicherungen handelt es sich bei Cyberversicherungen um eine Kombination aus einer Haftpflicht-, einer Betriebsausfall- und einer Datenversicherung für Dritt- und Eigenschäden in Form von Vermögensschäden.

Eine Cyberversicherung ist für Unternehmen sinnvoll, die mit sensiblen Daten arbeiten und bei denen der Geschäftsbetrieb von deren Verfügbarkeit abhängt. Sie tritt dann für Schäden ein, die im Zusammenhang mit Internetkriminalität entstehen. Dazu zählen Cyberschutz, Data-Risk, Datenschutz-, Hacker-, oder Datenträgerversicherung. Nach einem Malware-Angriff zahlt der Versicherer beispielsweise für die Datenrettung oder kommt für die Kosten auf, die mit der vollständigen IT-Wiederherstellung anfallen. Daneben garantieren die Anbieter weitere Assistenz-Hilfe.

Unternehmen sind gut beraten, sich die verschiedenen Vertragsbedingungen genau anzuschauen. Einfach eine beliebige oder gar billige Versicherung abzuschliessen, bedeutet nicht, dass alle Schäden einfach so ausgeglichen werden. Das dürfte so mancher Versicherte aus Erfahrung gelernt haben. Es gilt im Vorfeld die passenden Bausteine auszusuchen, die wirklich abgesichert werden müssen. Je mehr Deckung gefordert wird, desto teurer wird es.

Wer glaubt, dass die eigenen Anstrengungen und Investitionen in IT-Sicherheit verringert werden können, derr irrt sich, Genau das Gegenteil ist der Fall: Versicherungsnehmer sind gezwungen, den aktuellen Stand der Security-Technologie einzusetzen. Dies kann unter Umständen bedeuten, dass investiert werden muss, bevor eine Police zum Abschluss kommt.

Für Unternehmen führt letztlich kein Weg an einer exakten Risikoabschätzung vorbei. Ist technisch alles Menschenmögliche getan? Sind die Mitarbeiter bestens geschult? Gibt es ein griffiges IT-Security-Notfallkonzept? Je öfter die Antwort «ja» lautet, desto eher kann man mit einer Versicherung sensible Teile absichern. Anderenfalls muss für eine Police tiefer in die Tasche gegriffen werden.

Die Suche nach einer geeigneten Cyberversicherung erweist sich oft als schwierig. Der Begriff der Cyberversicherung ist allerdings kein allgemeingültiger Begriff. Da dieser Versicherungsbereich noch vergleichsweise neu ist, hat sich bisher keine einheitliche und gesetzlich geregelte Bezeichnung ergeben. So unterscheidet sich der Deckungsumfang von Versicherer zu Versicherer deutlich.

Vom grossen Komplettpaket über Baukastensysteme bis hin zu eng gefassten Kern-Deckungen haben Unternehmen die Qual der Wahl. Die Konsequenzen können später bei der Leistungsabrufung gravierend sein. Der Schweizer Versicherungsverband SVV bietet additiv den Cybersecurity-Schnelltest an. Dieser ermittelt, ob die technischen, organisatorischen und mitarbeiterbezogenen Massnahmen zum Schutz vor Cyberrisiken von KMU ausreichend sind.