Management und Wissen

Risikoabwälzung

Möglichkeiten und Grenzen von IT-Versicherungen

Von Herbert Matschulies, Frankfurt

Informationstechnik bewirkt heutzutage einen umfassenden Versicherungsbedarf. Eine Menge Risiken lassen sich abwälzen. Sie stellen jedoch hohe Anforderungen an den Versicherer und Versicherungsschutz und erfordern zudem ein Risikomanagement beim Versicherten.

Die rasante Entwicklung der Informationstechnik bedeutet auch für die Versicherung von IT-Risiken eine besondere Herausforderung. Durch den zunehmenden Werteverfall bei der Hardware und einer stark ansteigenden Abhängigkeit von Daten und Programmen hat sich die Risikosituation grundlegend verschoben. Verlagerung und Dezentralisierung der Risiken, verbunden mit einer nicht mehr wegzudenkenden Vernetzung der Unternehmen, machen Einzelrisiken komplexer und schwieriger lokalisierbar. Einen großen Stellenwert nimmt hierbei zunehmend die Verfügbarkeit von Diensten ein. Schäden an IT-Systemen können zu empfindlichen Störungen und Unterbrechungen des Betriebes führen.

Gefahrenquellen für die IT können klassische Sachgefahren wie Feuer, Einbruchdiebstahl oder Leitungswasser, technische Gefahren wie Überspannungen oder Fehlfunktionen oder auch Datenrisiken wie Hacker-, Viren- oder Denial-of-Service-Attacken sein. Ferner bestehen potenzielle Gefahren in Netzrisiken wie Strom- oder Netzausfällen. Nicht zuletzt liegt ein großes Gefahrenpotenzial im Menschen selbst: Bedienfehler sind eine häufige Ursache für Schäden an IT-Systemen.

Bei der Betrachtung von IT-Risiken muss man auch Vorfälle erwägen, die für die betroffenen Unternehmen mit echten Vermögensschäden verbunden sind. Hierzu zählen Betrugsfälle mittels EDV wie Manipulationen von Finanztransaktionen oder der Einkauf mit fremden Kreditkartennummern. Daneben kann auch der Diebstahl von Informationen zu erheblichen Vermögensnachteilen führen: zum Beispiel das Ausspionieren von Kreditkartennummern, Forschungsergebnissen oder Auftragsdaten. Auch die gezielte Streuung von falschen Informationen muss man in Betracht ziehen. Bekannte Fälle haben hier bereits zu massiver Beeinflussung von Aktienkursen geführt. Diesem Bereich zuzuordnen sind aber auch Verleumdungen, Beleidigungen oder ähnliches. Hinzu kommen die Verletzung geistigen Eigentums, etwa Urherberrechtsverstöße wie die Veröffentlichung geschützter Fotografien.

[Illustration]
Der Weg zum bedarfsgerechten IT-Versicherungsschutz

Erfassung der Risikosituation

Um einen bedarfsgerechten Versicherungsschutz zu finden, muss zunächst eine Erfassung und Analyse der individuellen Risikosituation des zu versichernden Unternehmens erfolgen, und zwar hinsichtlich möglicher Gefährdungen sowie der sich aus den jeweiligen Kunden- und Lieferantenbeziehungen ergebenden Haftungsgegebenheiten. Dabei darf man Versicherungsschutz für Risiken, die außerhalb des eigenen Zugriffsbereiches liegen, nicht vergessen, beispielsweise beim Outsourcing. Das Portefeuille eines guten IT-Versicherers sollte auch die Versicherung gegen finanzielle Nachteile aus der Nichtverfügbarkeit von IT-Systemen enthalten.

Darüberhinaus sollte der Versicherer Hilfestellung leisten, wenn es darum geht, Integrität, Vertraulichkeit und Verfügbarkeit von Daten zu bewerten. Der Prozess eines qualifizierten Underwritings (Indeckungnahme zu versichernder Risiken) von IT-Risiken wird dadurch abgerundet, dass am Ende ein auf die individuelle Risikosituation zugeschnittener Versicherungsschutz steht, sinnvollerweise mit modular zusammengestellten Versicherungsbausteinen.

Verfügbare Versicherungsbausteine

Zu den am Markt erhältlichen Versicherungsbausteinen für IT-Risiken zählen solche, die Versicherungsschutz gegen Beschädigung, Zerstörung oder Diebstahl von Hardware bieten: so die Elektronikversicherung oder andere Allrisk-Sachversicherungen. Gegen nachteilige Veränderungen oder Verlust von Daten und Programmen ist aus einer Erweiterten Datenversicherung ein Ersatz der Kosten für Rekonstruktion oder Wiedereingabe der Daten zu erreichen. Zu den versicherten Gefahren zählen unter anderem Hackerangriffe, technische Störungen und Bedienungsfehler von Mitarbeitern.

Eine Betriebsunterbrechungs-(BU-)Versicherung ersetzt fortlaufende umsatzunabhängige Kosten sowie entgangenen Betriebsgewinn, wenn in einem versicherten Unternehmen der Betriebsablauf gestört oder ganz unterbrochen wurde. Der Versicherungsmarkt bietet diese so genannten BU-Deckungen für die verschiedensten Gefahren an. Klassische BU-Deckungen sind geknüpft an einen Sachschaden am versicherten Gegenstand, zum Beispiel an der EDV-Anlage; zu nennen sind Feuer- oder Elektronik-BU-Versicherung. Daneben gibt es BU-Versicherungsschutz, bei dem weitere Gefahren eingeschlossen sind, zum Beispiel Datenrisiken (Hacker, Bedienfehler etc.) oder Netzrisiken (Ausfall eigener Netze etc.). Betriebsunterbrechungen durch den Ausfall "externer" Netze (z. B. Stromversorgungsnetz oder nicht-exklusiv bereitgestellte Tk-Netze) ist seit kurzem nicht mehr rückversicherbar, was sich auch auf die verfügbaren IT-Versicherungslösungen auswirken dürfte.

Versicherungsschutz für berechtigte Ansprüche gegen den Versicherungsnehmer bieten allgemeine und spezielle Haftpflichtdeckungen. Zu nennen ist hier die Betriebshaftpflichtversicherung als Basisschutz sowie Vermögensschadenhaftpflicht-Konzepte, die Ersatz leisten, wenn der Versicherungsnehmer durch Tätigkeit oder Nichttätigkeit bei seinen Kunden schuldhaft Vermögensschäden verursacht.

Grenzen der Versicherbarkeit

Die Grenzen der Versicherbarkeit von IT-Risiken werden durch verschiedene Aspekte gezogen: Zum einen ist es für den Versicherer sehr schwierig, unbekannte Risikopotenziale einzuschätzen, für die noch keine statistischen Zahlen existieren. Dazu zählen neue Geschäftsmodelle (z. B. PowerShopping) genauso wie unklare Rechtsgrundlagen. Zum anderen setzen politische Risiken, Kriege, Innere Unruhen oder Verfügungen von Hoher Hand Schranken. Außerdem gilt das für so genannte Kumulrisiken (Gefahren, bei denen durch ein Ereignis eine Vielzahl von Schäden eintreten, z. B. Erdbeben). Seit kurzem zählen hierzu auch Comüuterviren und andere Programme mit Schadfunktion. Ein weiterer Bereich sind Schäden, deren Bewertung für den Versicherer (und den Versicherungsnehmer) nicht objektiv möglich ist, zum Beispiel Imageschäden.

Risikomanagement als Voraussetzung

Bei der Betrachtung des Versicherungsmarktes fällt auf, dass es bei verschiedenen Versicherern verschiedene Ansätze und Angebote zur Absicherung von IT-Risiken gibt. Bei keiner Versicherungsmöglichkeit darf man jedoch Risikomanagementmaßnahmen außer Acht lassen: Versicherungsschutz kann Sicherheitsmaßnahmen nur ergänzen, aber nicht komplett ersetzen. Die meisten Versicherungslösungen setzen daher ein Risikomanagement beim zu versichernden Unternehmen voraus. Dabei liegt es auf der Hand, dass die Möglichkeiten des Versicherers bezüglich anzubietendem Versicherungsschutz und möglicher Prämiennachlässe umso größer sind, je umfassender der potenzielle Versicherungsnehmer Risikomanagement betreibt.

Herbert Matschulies arbeitet in der Abteilung Großkundenbetreuung, Risk Management & Consulting der WÜBA Niederlassung Frankfurt.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 44