Summenermittlung in der Cyberversicherung - wie geht man am besten vor?

Laut Allianz Risk Barometer 2024 sind Cybervorfälle, wie Ransomware-Attacken, Datenpannen und IT-Ausfälle, für Unternehmen weltweit in diesem Jahr das größte Risiko. Dessen sind sich die meisten Unternehmen durchaus bewusst. Doch die Auswahl der richtigen Versicherungslösung und die Festlegung einer adäquaten Versicherungssumme sind alles andere als trivial. Wie man die passende Cyberversicherung findet, haben wir 2023 in einem Blogbeitrag ausführlich behandelt. In diesem Beitrag widmen wir uns nun der Frage nach der  passenden Summenermittlung. Vor vorab schon mal der Hinweis: Eine umfassende Beratung inklusive fundierter Risikoanalyse mit einem Cyber-Versicherungsexperten ist absolut zu empfehlen.

Generell gilt: Im Bereich der Cyber-Versicherung hat man es mit einer Erstrisikoversicherung zu tun. Das bedeutet, dass der Cyberversicherer ungeachtet vom tatsächlichen Schaden bis zur vereinbarten Versicherungssumme leistet. Weniger gut ist allerdings, dass alle anfallenden Kosten sowie die Kosten für die Abwehr eines Haftpflichtanspruchs wie Anwalts-, Sachverständigen-, Zeugen- und Gerichtskosten von dieser Summe abgehen. Wird die Summe ausgeschöpft, ist sie aufgebraucht. Deswegen ist die Festlegung einer ausreichend hohen Versicherungssumme elementar wichtig. Leider gibt es keine festgelegte Formel, an der man sich orientieren kann. Es kommt immer auf individuelle Situation und Begebenheiten in einem Unternehmen an. Folgende Fragen spielen bei der Festlegung eine wesentliche Rolle:

Welche IT-Anlagen sind vorhanden?

Ein wesentlicher Bestandteil jeden Cyberversicherung ist die Wiederherstellung der IT-Infrastruktur und -sicherheit nach einem Cyberangriff. Deswegen muss man herausfinden, wie teuer die eingesetzten IT-Systeme generell sind und auf welche Höhe die Kosten für die Wiederherstellung von Betriebssystemen, Datenbanken und Verwaltungssystemen, Telefonanlage, Server und Clients, Druckern etc. durch die eigene IT-Abteilung oder einen externen Dienstleister geschätzt werden. Für mittelständische Betriebe erstrecken sich diese Instandsetzungskosten schnell auf fünf- bis sechsstellige Beträge. Weitaus höhere Summen fallen für Unternehmen mit teurem IT-Equipment wie Fertigungsstraßen und automatisierten Produktionsmaschinen an. Man kalkuliert für die Wiederherstellung der IT-Infrastruktur ca. 50 % des Wertes der vorhandenen Systeme.

Welche Personendaten werden in welcher Menge gespeichert?

Ein weiterer Kostenpunkt, der bei der Ermittlung der Versicherungssumme berücksichtigt werden muss, sind Kosten für die Verletzung von Persönlichkeitsrechten. Dies gilt für alle Unternehmen, die personenbezogene Daten speichern und verarbeiten, also beispielsweise für Versicherungsmakler, Ärzte, Rechtsanwälte oder Steuerberater. Um die entsprechende Versicherungssumme für Versicherungsnehmer aus einer solchen Branche mit gespeicherten Kunden-, Patienten- oder Mitarbeiter-Daten festzulegen, berechnet man für nicht-sensible Daten wie etwa die Adresse ca. 20 bis 30 € je Kunde, für sensible Daten dagegen ca. 50€.

Werden Bank- und Kreditkartendaten gespeichert? Wenn ja: in welcher Menge?

Um die entsprechende Versicherungssumme für Versicherungsnehmer aus einer Branche mit digitalen Zahlungsmitteln wie Kreditkarten festzulegen, muss man die Anzahl der gespeicherten Kreditkarten- und Bankdaten berücksichtigen. Die Entschädigungsleistung pro abhanden gekommener Kreditkarte kann beispielsweise vereinbarungsgemäß zwischen 10 und 20 Euro liegen. Bei manchen Versicherern lässt sich ein zusätzlicher prozentualer Sicherheitsaufschlag vereinbaren. Generell gilt: Wenn nur wenige hundert Datensätze (Bankverbindungen / Kreditkartendaten) gespeichert werden, sollte über die Erhöhung der Entschädigungsleistung nachgedacht werden. Denn bei 100 Datensätzen, wie es etwa bei einem kleinen Ladengeschäft mit EC-Kartengerät der Fall sein könnte, wäre das eine Versicherungssumme von 1.000 €. Diese Summe müsste dann für Vertragsstrafen aus den PCI-Compliance, die verpflichtende Prüfung aus den PCI-Compliance, die Fallbehandlungen, eventuelle Kartenneuausstellungen, Kosten für die Kreditüberwachungsdienstleistungen und Ausgleich der Betrugsschadenshöhe ausreichen.

Wie hoch fällt der Jahresumsatz aus?

Ein Cyberangriff führt in der Regel immer auch zu einer Betriebsunterbrechung. Wie lange diese dauert, hängt davon ab, wie stark das IT-System in Mitleidenschaft gezogen ist und wie lange Wiederherstellungsarbeiten andauern. Und das ist je nach Branche und IT-Durchdringung in der Wertschöpfungskette sehr unterschiedlich. Bei der Festlegung der Versicherungssumme ist die Zeit, die für die Wiederherstellung der IT-Systeme im Höchstfallszenario benötigt wird, ein wichtiger Anhaltspunkt. Neben den Ertragsausfällen muss auch die Zahlung fortlaufender Kosten gewährleistet werden. Im Durchschnitt kalkuliert man 2 Monatserträge, bestehend aus fortlaufenden Kosten und dem Betriebsgewinn des Versicherungsnehmers.

IT-Lastige Betriebe oder Unternehmen, die auf Cloud-Anbieter setzen, sollten ggf. über eine höhere Versicherungssumme nachdenken, um auch einen eventuellen Ausfall von 6 oder 12 Monaten zu überbrücken. Denn solche Zeitdauern haben keinen Seltenheitswert mehr. Nimmt man etwa den Hackerangriff auf den IT-Dienstleister Südwestfalen-IT im Oktober 2023 als Beispiel. Der Ausfall ging bis ca. Ende März 2024 und auch danach arbeitete die Zulassungsstelle noch einige Zeit im Notbetrieb. Auch für Unternehmen mit Auslandsrisiko sollten generell höhere Versicherungssummen angerechnet werden, gerade wenn es um Länder wie USA und Kanada geht.

Was ist bei der Summenermittlung noch zu beachten?

Generell gilt: es ist nicht einfach, die individuell passende Absicherung gegen Cybervorfälle zu finden und eine adäquate Versicherungssumme festzulegen, die im Schadenfall auch wirklich alle Kosten deckt. Eine fundierte Risikoanalyse muss deswegen jedem Versicherungsabschluss vorausgehen. Lassen Sie sich unbedingt umfassend beraten. Unsere Cyber-Versicherungsexperten stehen Ihnen hier gerne zur Seite und helfen Ihnen beim Produktvergleich, der Ermittlung einer adäquaten Versicherungssumme oder beim Ausfüllen der Risikofragebogen.