Heute bieten die meisten Versicherungsgesellschaften eine Cyber-Versicherung an. Die früheren IT-Versicherungen waren von geringem Nutzen, da praktisch alle wahrscheinlichen Vorkommnisse (z. B Virenbefall) nicht versichert waren. Vor wenigen Jahren war die Deckung dieser damals neuen Cyber-Versicherungen noch deutlich besser, wenn nicht sogar grosszügig, und teilweise war auch die Lösegeldzahlung inkludiert. Aufgrund der massiven Zunahme der Schadenfälle wurden auch die Deckungslimits massiv nach unten angepasst. Die Variantenvielfalt ist gross, und somit empfiehlt sich, hier genau zu prüfen, was versichert ist und was nicht.
Wirtschaftliche Schäden durch Betriebsunterbrüche
Kosten für die Datenwiederherstellung
Kosten für die Systemwiederherstellung
Datenmissbrauch (Schadenersatzansprüche Dritter)
Lieferverzug
Serviceausfall und -verzug
Verfügungstellung von IT-Forensikexperten zur schnellen Problemlösung
Rechtsschutz (spezialisierte Rechtsanwälte aus den Bereichen IT und Datenschutz)
Unterstützung durch Kommunikations- und PR-Spezialisten
Übernahme der Lösegeldzahlung bei Cyber-Erpressung
Zugang zu Online-Awareness-Programmen für Mitarbeitende
Präventive Cyber-Assistance in Form von Hotlines oder Checklisten
Regelmässige Datensicherung auf externe Medien (idealerweise Offline-Backup). Besonders wichtig sind regelmässige Wiederherstellungs-Tests, um zu prüfen, ob die Daten zuverlässig wieder eingespielt werden können.
Zeitnahe Installation von verfügbaren Updates (regelmässiges Einspielen aller Sicherheits-Patches zur Verhinderung von Schwachstellen)
Virenschutz auf allen Systemen, Clients wie Server
Firewall zur Einschränkung des eingehenden und ausgehenden Datenverkehrs
Zugriffskonzept (Einschränkung der Berechtigungen auf die zur Erfüllung der Aufgaben nötigen Informationen)
Notfallplanung: Überlegungen, was zu tun ist, falls doch einmal etwas passiert, idealerweise szenarienbasiert, z. B. bei Ausfall der Server-Systeme resp. der Serviceprovider, Abfluss sensitiver Informationen (Geschäftsgeheimnisse, Kundendaten) und Cyber-Erpressung
Weiter ist zu beachten, dass keine Überschneidungen mit Leistungen bestehender Versicherungen wie z. B. einer Betriebsausfall-Versicherung vorliegen.
Wie immer gilt es beim Versicherungsabschluss korrekte Angaben zu machen, um nicht im Schadensfall Leistungseinbussen hinnehmen zu müssen.
Ist ein Security Operation Center (SOC) Teil des Sicherheitskonzepts, muss bei einem Vorfall die Aufgabenteilung zwischen Versicherung und SOC klar definiert sein.
Eine Cyber-Versicherung ersetzt in keinem Fall die vorgängig beschriebenen Mindest-sicherheitsmassnahmen, sondern ergänzt diese im Schadensfall.