Der Verlust von wichtigen Daten, ein Betriebsunterbruch aufgrund blockierter IT-Systeme, Lösegeldforderungen, hohe Wiederherstellungskosten sowie ein Vermögensdiebstahl aufgrund eines unerlaubten Zugriffs auf das Zahlungssystem: Diese Schadenszenarien wecken bei Unternehmen oft die grössten Befürchtungen hinsichtlich Cyberrisiken. Aus versicherungstechnischer Sicht gilt es dabei zwischen zwei Versicherungen zu unterscheiden.

Cyberversicherung

Die marktüblichen Cyberversicherungen decken in erster Linie Schäden an den IT-Systemen sowie den Daten eines Unternehmens, welche durch Hackerangriffe oder Schadsoftware (Malware) entstehen. Ebenso sind Ertragsausfälle, die aus einem allfälligen Betriebsunterbruch resultieren, sowie Haftungsansprüche (z.B. aufgrund einer Datenschutzverletzung) eingeschlossen. Sofern benötigt, können gegen eine zusätzliche Prämie auch Lösegeldzahlungen mitversichert werden.

Cyberversicherung Schadenszenario (Beispiel): Eine Ransomware ist auf unbekannte Weise auf den Firmenserver gelangt und verschlüsselt die gespeicherten Daten. Die Mitarbeitenden haben keinen Zugriff mehr auf betriebsnotwendige Dokumente. Eine Cyberversicherung deckt in diesem Fall die Wiederherstellungskosten sowie je nach Vertragsbedingungen und versicherten Bausteinen den entstandenen Ertragsausfall, Unterstützung im Krisenmanagement mit externen Experten sowie die Verhandlungskosten mit den Erpressern. Teurere Lösungen versichern im Notfall die Lösegeldzahlung.

Cyberversicherung Schadenszenario (Beispiel): Ein Hacker erlangt Zugriff auf sensible Kundendaten und veröffentlicht diese im Internet. Eine Cyberversicherung deckt in diesem Fall allfällige Schadenersatzforderungen Dritter.

Vertrauensschadenversicherung

Mit einer Cyberversicherung sind dagegen in der Regel Vermögensschäden, die auf Diebstahl, Betrug oder Erpressung zurückzuführen sind (z.B. fehlgeleitete Zahlungen aufgrund vorgespielter Identität), nicht gedeckt. Dazu dient die Vertrauensschadenversicherung.

Vertrauensschadenversicherung Schadenszenario (Beispiel): Der Mitarbeiter eines Industriebetriebs, der für die Finanzen des Unternehmens zuständig ist, erhält eine E-Mail des Inhabers mit der Anweisung eine mittelgrosse Geldsumme auf ein Bankkonto in China zu überweisen. Der Inhaber weilt zu dieser Zeit tatsächlich in China und hat bereits in der Vergangenheit Zahlungsanweisungen per E-Mail gesendet. Der Mitarbeiter überweist den Geldbetrag. Erst nachdem der Inhaber die Überweisung in den Finanzunterlagen entdeckt, fliegt der Schwindel auf. Die E-Mail war gefälscht. Die Vermögensschadenversicherung deckt in diesem Fall den finanziellen Schaden.

Deckungen analysieren, um die richtige Versicherungslösung zu finden

Zwischen den beiden Versicherungen bestehen Überschneidungen, beispielsweise hinsichtlich Phishing, bei dem persönliche Daten (z.B. Kreditkarten, Logindaten) über gefälschte Webseiten, E-Mails oder Kurznachrichten erlangt und anschliessend auf kriminelle Weise missbraucht werden. Dieser Fall kann sowohl durch eine Cyber- oder eine Vertrauensschadenversicherung gedeckt sein. Es empfiehlt sich daher, bei einer Versicherungsstrategie für Cyberrisken die nötigen Deckungen genau zu analysieren und beispielsweise eine Cyberversicherung um Zusatzversicherungen aus dem Bereich der Vertrauensschadenversicherung zu ergänzen. Bei hohen Vermögensverlustrisiken ist eine zusätzliche Vertrauensschaden-/Cybercrimeversicherung prüfenswert.