Cyberversicherung: Was Betriebe vorher klären sollten
Bevor ein Betrieb über eine Cyberversicherung spricht, sollte er wissen, welche Systeme und Daten er hat, wer darauf zugreift, wie gesichert wird und wer im Ernstfall entscheidet. Der Grund ist einfach: Versicherer knüpfen die Annahme an Voraussetzungen und stellen dazu Risikofragen, deren Beantwortung Teil des Vertrags wird. Eine Deckung ersetzt keine Vorsorge, sie setzt sie voraus, und was im Einzelfall verlangt wird, steht in den Bedingungen.
Was eine Cyberpolice grundsätzlich leistet
Der Baustein richtet sich auf Vorfälle, bei denen Systeme oder Daten eines Betriebs beeinträchtigt, entwendet oder unbrauchbar gemacht werden. Dazu gehören der Zugriff von außen, die Verschlüsselung von Daten, der Ausfall von Systemen und Fehler beim Umgang mit Informationen im eigenen Haus.
Typisch ist, dass neben der finanziellen Seite auch die Organisation der Bewältigung Teil der Leistung ist. Der Versicherer stellt Kontakte zu Fachleuten her, die den Vorfall analysieren und die Wiederherstellung begleiten. Für viele Betriebe ist dieser Zugang im Ernstfall wertvoller als die reine Kostenübernahme, weil in der akuten Lage die Zeit fehlt, geeignete Unterstützung zu suchen.
Was der Baustein nicht leisten kann, ist die Wiederherstellung verlorenen Vertrauens oder von Daten, die nirgends gesichert waren. Auch der Aufwand, den die eigene Belegschaft während eines Vorfalls trägt, bleibt beim Betrieb. Der Vertrag mildert die Folgen, er hebt sie nicht auf.
Welche Voraussetzungen erfüllt sein müssen
- Ein aktuelles Verzeichnis der Systeme, Anwendungen und Zugänge
- Regelmäßige Sicherungen, die getrennt aufbewahrt und deren Rückspielung geprüft wird
- Zeitnahes Einspielen von Aktualisierungen für Betriebssysteme und Anwendungen
- Zugriffsrechte nach dem Grundsatz, dass jeder nur erhält, was er braucht
- Eine zusätzliche Bestätigung beim Zugang von außen
- Ein schriftlicher Ablauf für den Notfall mit benannten Zuständigkeiten
- Eine regelmäßige Sensibilisierung der Belegschaft
Diese Punkte sind keine Kür, sondern werden im Antrag abgefragt. Ein Betrieb, der sie nicht beschreiben kann, kann die Fragen nicht zutreffend beantworten.
Eigenschaden, Drittschaden und Stillstand
Zur Sortierung gehören drei Bereiche. Der Eigenschaden betrifft alles, was im eigenen Haus anfällt: Analyse, Wiederherstellung von Systemen und Daten, Kommunikation und die Erfüllung von Meldepflichten gegenüber den zuständigen Stellen.
Der Drittschaden betrifft Ansprüche anderer, etwa wenn Daten von Kundschaft oder Geschäftspartnern betroffen sind. Der dritte Bereich ist der Stillstand: Wenn Systeme ausfallen, ruht der Betrieb, während laufende Kosten weiterlaufen. Wie lange ein Betrieb das tragen kann, ist die zentrale Frage, und sie ist unabhängig von jeder Versicherung zu beantworten.
Diese drei Bereiche sind in den Bedingungswerken unterschiedlich zugeschnitten. Manche Verträge decken alle ab, andere setzen Schwerpunkte oder schließen einzelne Konstellationen aus, etwa Vorfälle bei einem Dienstleister, dessen Technik Sie nutzen. Wer ausgelagert arbeitet, sollte diesen Punkt gezielt ansprechen.
Warum die Risikofragen sorgfältig zu beantworten sind
Die Antworten im Antrag beschreiben den Zustand, auf dessen Grundlage der Versicherer das Risiko einschätzt. Sie sind wahrheitsgemäß und vollständig zu geben. Weichen sie von der Wirklichkeit ab, kann der Versicherer im Leistungsfall Rechte geltend machen, die bis zur Leistungsfreiheit reichen. Das trifft den Betrieb dann, wenn er die Deckung am dringendsten braucht.
Hinzu kommt, dass viele Bedingungen laufende Pflichten enthalten. Was im Antrag zugesagt wurde, muss während der Vertragslaufzeit eingehalten werden. Wer Sicherungen einstellt oder Aktualisierungen aussetzt, verändert die Grundlage des Vertrags, ohne dass ihm das im Alltag auffällt.
Sinnvoll ist deshalb, die im Antrag zugesagten Maßnahmen als betriebliche Aufgabe zu behandeln und regelmäßig zu prüfen, ob sie noch gelebt werden. Wer dafür eine Zuständigkeit benennt, verhindert, dass ein zugesagter Zustand mit der Zeit unbemerkt verfällt.
Was vor dem Antrag im Haus zu klären ist
Sinnvoll ist eine ehrliche Bestandsaufnahme entlang von drei Fragen: Was würde ein Ausfall unserer wichtigsten Systeme für die nächsten Arbeitstage bedeuten, wer trifft in dieser Lage die Entscheidungen, und wie erreichen wir Kundschaft und Partner, wenn die üblichen Wege nicht funktionieren. Wer darauf keine Antwort hat, sollte damit beginnen, nicht mit der Vertragsauswahl.
Die Antworten helfen doppelt: Sie verbessern die Ausgangslage im Ernstfall und sie machen das Gespräch mit einer Beraterin oder einem Berater konkret. Erst danach lässt sich beurteilen, welcher Zuschnitt zum Betrieb passt.
Fazit
Eine Cyberversicherung ist die Ergänzung zu vorhandener Vorsorge, nicht ihr Ersatz. Klären Sie zuerst Bestand, Sicherung, Zugriffe und Notfallablauf, beantworten Sie die Risikofragen zutreffend und halten Sie die zugesagten Maßnahmen dauerhaft ein. Was für Ihren Betrieb sinnvoll ist, hängt vom Einzelfall ab, die Bedingungen sind maßgeblich, und die individuelle Prüfung gehört zu einer unabhängigen Beratung.