Bedrohung

EDV-Versicherungen

Tipps zur EDV-Versicherung

Von Ralph Dombach, München

Denial-of-Service-Attacken (DoS) und Web-Vandalismus durch Cracker sowie Datenverlust durch Saboteure oder Viren bedrohen die schöne neue Welt des E-Commerce. Ausfall der Webserver und Wiederherstellung von Daten gehen schnell ins Geld. Aber man kann sich doch dagegen versichern - oder nicht?

Schäden, wie sie durch Computerviren (Datenverlust, Fehlfunktionen, Ressourcenverschwendung) und Crackerangriffe (Datendiebstahl, Lahmlegen von Diensten, mittelbar: Vertrauensverlust) entstehen, sind durch übliche Versicherungspolicen der Haftpflicht- oder Geschäftsversicherung nicht abgedeckt. Wer Schäden abfangen möchte, die beispielsweise durch die Nichterreichbarkeit der eigenen Webseiten entstehen, braucht eine entsprechende Zusatzversicherung.

Inzwischen bieten die meisten im deutschsprachigen Raum ansässigen Versicherungen entsprechende Zusatzpolicen an, mit denen der Versicherte seinen Schaden reduzieren kann. Einige Beispiele: Die TELA-Versicherung, als Elektronikversicherer bekannt, hat im Portefeuille unter anderem eine Datenträgerversicherung, eine Softwareversicherung und eine Versicherung "externer Netze". Je nach Versicherungsart sind dabei die Wiederherstellungskosten für den Daten- und Programmbestand abgedeckt oder auch die Aufwendungen, die bei der Wiederherstellung der Funktionalität anfallen. Eine Abdeckung des wirtschaftlichen Schadens durch entgangenen Gewinn kann man ebenfalls abschließen.

Beim Online-Makler Onsecure berechnet ein kleiner Online-Fragebogen die Prämien für EDV-Versicherungen.

Bei der Gothaer-Versicherung kann der vorsichtige Internet-Unternehmer eine so genannte "secusure" Internetversicherung abschließen. Dabei ersetzt die Gothaer Kosten für die Wiedereingabe oder Rekonstruktion von zerstörten Daten, aber auch entgangenen Gewinn, der durch den Ausfall eines manipulierten Servers ausbleibt. Der Online-Versicherungsmakler onsecure bietet unter anderem eine Datenversicherung gegen die Folgen von Computerviren an. Welche Versicherungsprämie für eine bestimmte maximale Schadenshöhe zu berappen ist, lässt sich auf der onsecure-Webseite online ermitteln. Aber auch andere Anbieter wie die Gerling Allgemeine Versicherung AG, die Axa-Colonia oder die Merkur-Assekuranz bieten ähnliche Policen an.

Ausruhen gilt nicht!

Mit dem Abschluss einer Police geht der Kunde aber auch Verpflichtungen bzw. Obliegenheiten ein. Einfach eine Versicherung abschließen und sich dann um nichts mehr kümmern müssen ist nicht drin! Je nach Komplexität der Police und der Höhe der Versicherungssumme sind bestimmte Bedingungen zu erfüllen. Das reicht vom Ausfüllen eines einfachen Fragebogens (vergleichbar mit dem einer Lebensversicherung) über die Verpflichtung zu eigenen Datenschutzmaßnahmen (Virenschutz, regelmäßiges Backup, Nutzung unterbrechungsfreier Stromversorgung etc.) bis hin zur Erfordernis einer individuellen Sicherheitsüberprüfung durch ein externes Unternehmen, um vorhandene Schwachstellen aufzudecken - und zu beheben, bevor der Versicherungsschutz greift. Aus einem solchen Sicherheits-Audit kann auch die Verpflichtung auf zusätzliche Maßnahmen als Bedingung für die Police resultieren. Achtung beim Vergleich: Nicht bei allen Anbietern sind die Kosten für die erforderliche Prüfung in den Prämien enthalten.

Umfangreiche Fragebogen wie hier bei der Merkur-Assekuranz sind bei der Risikobestimmung für EDV-Versicherungen nicht ungewöhnlich.

Gerade bei umfassenderen Versicherungen sind solche Maßnahmen aus Sicht des Versicherers erforderlich, um das jeweilige Risiko besser einschätzen zu können. Die Prämie orientiert sich dann natürlich am festgestellten Riskopotenzial (Absicherung der Dienste, Wahrscheinlichkeit eines Angriffs etc.), aber auch an der Höhe der Haftungssumme und an einer etwaigen Selbstbeteiligung.

Vor dem Abschluss einer EDV-Versicherung sollte man die folgenden Punkte berücksichtigen, damit man den bestmöglichen Nutzen aus der Police zieht:

Überprüfen Sie, welche EDV-Schäden durch bereits bestehende Versicherungen abgedeckt sind (Hardwareausfall, Diebstahl, Vandalismus,...).
Ermitteln Sie Ihre wahrscheinliche Höchstschadensumme, wie sie z. B. durch einen Virus (Verlust aller Dateien im Produktivsystem) oder einen DoS-Angriff (reduzierter Kundenkontakt, Verlust von Aufträgen,...) entstehen könnte.
Überprüfen Sie Ihre Basis-Schutzmethoden gegen EDV-Angriffe (aktuelle Virenschutz-Software, korrekt administriertes Firewall-System, Verschlüsselung,...)
Vergleichen Sie die Angebote der einzelnen Versicherungen bezüglich der Prämien, Versicherungsausschlüssen, Kündigungsmöglichkeiten, Selbstbeteiligung, Höchstversicherungssumme und der vorgeschriebenen Obliegenheiten.
Überprüfen Sie Ihre IT auf Schwachstellen wie beispielsweise Single-Points-of-Knowledge, fehlende Backups, ungenügende Protokollierungen oder fehlende Notfallpläne.
Überprüfen Sie Ihre Verträge mit Providern und anderen Dienstleistern bezüglich der dort genannten Schadensersatzansprüche bzw. Haftungsausschlüsse.

Volle Deckung?

So sinnvoll eine EDV-Versicherung erscheint, man sollte auch bedenken, dass man sich nicht gegen alles versichern kann: Eine Schädigung des Firmenimages und daraus resultierende "Sekundärschäden" lassen sich damit beispielsweise nicht abfedern. Eine Firma, die Online-Banking betreibt und erfolgreich gehackt wird, erleidet einen kaum zu beziffernden und wiedergutzumachenden Schaden an ihrem Image. Viele Kunden werden sich fragen, wie vertrauenswürdig und sicher ein Unternehmen ist, das durch Hacker infiltriert werden kann.

Schutz vor derartigen Gefahren bietet nur die Investition in vertrauenswürdiges, engagiertes und ausgebildetes Personal, das in der Lage ist, die komplexen Sicherheitsanforderungen umzusetzen, wie sie in der modernen IT erforderlich sind. Außerdem gilt es zu überlegen, wieviel Risiko überhaupt bleibt, wenn man alle Maßnahmen trifft, die manche Versicherungsbedingungen vorschreiben - und ob es lohnt, das Restrisiko noch auf einen Versicherer abzuwälzen.

Ralph Dombach ist Sicherheitsberater in München.