Muss Cyber-Versicherungsschutz mit der IT-Abteilung abgestimmt werden? (Teil 1)

Interessanterweise wird die Absicht, eine Cyberversicherung abzuschließen, oft vorab mit der IT-Abteilung oder dem IT-Dienstleister besprochen und deren Meinung dazu eingeholt. Wir wollen hier diskutieren, inwiefern eine Abstimmung mit den IT-Verantwortlichen sinnvoll ist.

Vorab möchten wir festhalten, dass es im Rahmen des Abschlusses meist unumgänglich sein wird, sich mit der den eigenen IT-Verantwortlichen kurzzuschließen – dies ergibt sich meist im Rahmen der Abklärung der zu erfüllenden technischen Voraussetzungen. Diese Abklärung dieser Voraussetzungen ist hier jedoch nicht gemeint, sondern die Einbindung der Abteilung in die Entscheidung hinsichtlich des Versicherungsschutzes selbst.

Versicherungsschutz ist Angelegenheit der Führungsebene

Grundsätzlich sollte Versicherungsschutz immer eine Entscheidung der Führungsebene sein, da mit passendem Versicherungsschutz in erster Linie der Weiterbestand eines Unternehmens abgesichert werden soll und die Geschäftsführung die Verantwortung für den adäquaten Versicherungsschutz des Unternehmens trägt.

Die notwendige Kommunikation mit der IT-Abteilung bzw. dem IT-Dienstleister sollte mit Fingerspitzengefühl erfolgen: Gerade in der Zeit als Cyberversicherungen neu auf dem Markt angeboten wurden, sahen manche IT-Abteilungen eine Cyberversicherung als “Einmischung” in Ihre Verantwortlichkeit, was teilweise auch nicht von der Hand zu weisen ist. Im Schadensfall sind laut den meisten Bedingungswerken die Bewältigungsmaßnahmen mit dem Krisendienstleister des Versicherers abzustimmen, was in der Regel durch die IT-Abteilung erfolgen wird und gerade in Stresssituationen bei den Betroffenen für zusätzliche Belastung sorgt.

Im Vorfeld des Abschlusses werden im Rahmen der Risikoevaluation oft Sicherheitsrisiken aufgedeckt – was die verantwortlichen Personen oft in die Defensive drängt. Die Reaktion der Verantwortlichen die offenbarten Sicherheitsrisiken ist oft ein guter Hinweis darauf, wie es um die eigene Risikoeinschätzung geht. In diesem Zusammenhang sind pauschale Aussagen hinsichtlich der Sicherheit der eigenen Systeme kritisch zu hinterfragen – auch natürlich unter dem Hintergrund, dass absolute Sicherheit nicht möglich ist. Wenn man die IT-Abteilung und die Geschäftsführung davon überzeugen kann, dass die Evaluation der IT-Sicherheit auch als kostenloses Audit verstanden werden darf, das im Regelfall sehr kostspielig ist, ist man bereits auf einem guten Weg.

In großen Unternehmen, die über eine eigene IT-Abteilung verfügen , wird es durchaus sinnvoll sein, den Versicherungsschutz mit der eigenen Abteilung abzustimmen. Die Fähigkeiten und die bereits getroffenen Sicherheitsmaßnahmen der eigenen IT-Abteilung bestimmen das Ausmaß des notwendigen Versicherungsschutzes mit (notwendige Versicherungssummen, vereinbarte Wartezeiten, vereinbarte Selbstbehalte, Bausteine). Wenn durch die IT-Abteilung bereits Redundanzen geschaffen wurden und dies zu geringen Ausfallzeiten im Falle eines Angriffs führen wird, hat das Unternehmen möglicherweise geringere Anforderungen an den Versicherungsschutz als ein vergleichbares Unternehmen ohne diese Vorkehrungen. Die Geschäftsführung sollte in diese Entscheidung auch die bisherigen Erfahrungen mit der eigenen IT-Abteilung einfließen lassen – evtl. hat es in der Vergangenheit ja bereits Krisensituationen (Systemausfall, Systemumstellungen, etc.) gegeben, welche nicht zwingend mit einem Cybervorfall zu tun hatten, aber ggfls. zeigen wie die IT im Krisenmodus funktioniert. 

Wenn externe IT-Dienstleister für den Betrieb der IT verantwortlich sind, ist gerade bei Kleinunternehmen sehr oft zu sehen, dass diese sich komplett in die Hand des IT-Dienstleisters begeben haben, da die Expertise und die Ressourcen für eine eigene Abteilung oder einen verantwortlichen Mitarbeiter nicht im Unternehmen vorhanden sind und auch nicht aufgebaut werden sollen. Bei externen Dienstleistern sollte auch immer bedacht werden, dass hier durchaus Risiken vorhanden sind, welche nicht durch eine Cyberversicherung abgedeckt werden können – diese Risiken sollten ebenfalls bedacht und durch entsprechende Vorkehrungen abgesichert werden.

Dazu zählen beispielsweise die Liquidität des IT-Dienstleisters, der vereinbarte Servicelevel bzw. die zugesicherte Verfügbarkeit der Systeme und nicht zuletzt auch die Regelungen, welche getroffen wurde, um im Notfall auf die eigenen Daten Zugriff zu erhalten. Auch den Versicherungsschutz des IT-Dienstleisters sollte man entsprechend hinterfragen (insbesondere im Bereich Cyber- und Vermögensschadenhaftpflichtversicherung), da dieser gerade bei einem IT-Dienstleister über den Weiterbestand des Unternehmens entscheiden kann.

Auch der Nachweis des Versicherungsfalls im Zusammenhang mit einem externen IT-Dienstleister kann sich durchaus als problematisch erweisen, da Sicherheitsvorfälle den betroffenen IT-Dienstleistern Ihre Geschäftsgrundlage entziehen können und deshalb die Kommunikation zu den eigenen Klienten in der Regel sehr zurückhaltend und vorsichtig erfolgen wird. Wenn der IT-Dienstleister zur Aufklärung des Versicherungsfalls nicht beiträgt, kann es schwer werden, Ansprüche gegenüber dem Versicherungsunternehmen durchzusetzen – beweispflichtig für das Vorliegen eines Versicherungsfalls ist ja meist der Versicherungsnehmer. Hier sollten entsprechende vertragliche Regelungen mit dem IT-Dienstleister (Meldepflicht bei Sicherheitsvorfällen) getroffen werden.

Grundsätzlich kann gesagt werden, dass IT-Dienstleister und -Abteilungen wertvollen Input bei der Gestaltung der Cyber-Versicherungsvariante liefern können und daher der Input zum Thema sehr wertvoll und auch gewünscht ist. Gleichzeit kann aber die Entscheidung über den notwendigen Versicherungsschutz nicht der IT-Abteilung überlassen werden sondern muss von der Führungsebene getroffen werden.

Im nächsten Monat werden wir einen weiteren Artikel zu dem Thema veröffentlichen und wie im Vertrieb auf Einwände von IT-Verantwortlichen eingegangen werden kann.