Home -

Cyberpolicen für Handwerker Versicherungsschutz nur mit IT-Sicherheitskonzept?

Zugehörige Themenseiten:
Digitalisierung

Versicherer trommeln für günstige Cyber-Policen. Doch die Policen haben viele Fallstricke. Und ohne umfassendes IT-Sicherheitskonzept dürften viele Handwerker trotz neuem Versicherungsschutz auf wackeligen Füßen stehen.

Von Uwe Schmidt-Kasparek
Versicherungen gegen Hacker-Angriffe setzen ein aktuelles IT-Sicherheitskonzept im Betrieb voraus. - © MF3d/iStockphoto.com

Cybercrime, DDOS-Attacken, Viren, Erpressungssoftware – die Liste der digitalen Gefahren wird ständig länger. Mehr als die Hälfte der Unternehmen in Deutschland sind in den vergangenen Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Das belegte eine 2017 veröffentlichte Studie des Digitalverbands Bitkom . Experten schätzen, dass die Opfer in drei von vier Fällen Mittelständler und kleine Firmen sind. „Wenn der Handwerker nicht mehr an seine Computerdaten kommt, steht heute auch bei ihm der Betrieb fast sofort still“, sagt Sten Musfeld vom Cyberrisk-Team der R+V Versicherung. Es könnten kaum noch Material geordert oder wichtige Kundendaten abgerufen werden. Oft, wenn ein Virus schon länger im System wütet, sei auch ein externes Back-up befallen.

Dreimal stand nach einer Datenattacke alles still

Das galt zum Glück nicht für die Firma Hubert Mayer (Name von der Redaktion geändert) aus der Nähe von Mannheim, obwohl sie gleich dreimal Opfer einer Datenattacke wurde. „In allen Fällen stand plötzlich auf den Bildschirmen eine Geldforderung eines Erpressers“, so Handwerksmeister Mayer. Für den Elektriker, der gleichzeitig ein Fachgeschäft führt, stand jedes Mal die Welt still. „ Nichts ging mehr im Betrieb. Die Kundendaten für die Reparaturaufträge waren weg. Im Geschäft konnten wir keine Kreditkarten mehr annehmen, weil das System mit der Kasse gekoppelt ist“, erinnert sich Mayer.

Dreimal rief er die IT-Firma Zebes aus Heddesheim zu Hilfe. „Jedes Mal war die Ursache eine neue Trickmail, die ein Mitarbeiter geöffnet hatte“, sagt Zebes-Chef Kristian Mansfeld. Entfernung und Rückeinspielung der Daten aus dem Back-up dauerten in den ersten zwei Fällen jeweils rund fünf Stunden. Erst nach dem zweiten Fall war der Handwerker bereit, in eine Verbesserung des Systems zu investieren. Beim dritten Fall ging dann alles ganz flugs. Grund: Auf Anraten von Zebes war das Back-up von der Wochenendsicherung auf einen minütlich greifenden Schutz umgestellt worden. Rund 10.000 Euro musste der Handwerksbetrieb insgesamt an Kosten für die Wiederherstellung zahlen. Doch Kosten und Einnahmeverluste beim Betriebsausfall wären höher gewesen.

Versicherungsschutz scheinbar billig

Eine Cyber-Versicherung hätte alle Schäden getragen. Betriebe können dann auf Kosten der Assekuranzen Spezialfirmen anfordern, die das IT-System wieder in Gang setzen und Viren ausmerzen. Kosten bis zu 300.000 Euro können abgesichert werden. Versicherbar sind Eigenschäden, also die Kosten für die Wiederherstellung von Daten und Programmen nach einem Cyber-Angriff, der Ersatz von Ertragsausfällen oder Mehrkosten sowie die Verluste von Geld und Waren nach einem Computerbetrug. Üblich sind Jahresprämien von 500 bis 1.500 Euro.

Doch in den Schutz zu kommen ist nicht so ganz einfach. „V ersicherungen sind nicht unproblematisch. Sie verlangen meist auch von Handwerkern, einen mehrseitigen Fragebogen auszufüllen, in dem der Kunde angeben muss, welche IT-Sicherheitsmaßnahmen er aktuell durchführt“, sagt Experte Mansfeld. Die Anforderungen gehen vom ständigen Passwortschutzwechsel über den Einsatz einer Firewall bis hin zu einem regelmäßigen Back-up. Mansfeld: „Da werden dann Fragen mit Begriffen benutzt, die hat noch nie ein Handwerker gehört, wenn er nicht gerade ein IT-Spezialist ist.“

Viele Handwerker kennen IT-Risiken nicht

Viele Mittelständler sind daher auf Unterstützung in der IT angewiesen. Das ist auf jeden Fall notwendig, wenn überprüft werden soll, ob die Sicherheitsmaßnahme, zum Beispiel das Back-up, auch wirklich funktioniert oder die Antivirensoftware regelmäßig ihre Updates einspielt. Wird der Fragebogen des Versicherers falsch beantwortet, hat der Handwerker später im Ernstfall ein Problem. Dann kann es sein, dass er eben nicht die vom Versicherer verlangte Firewall hatte. Der Versicherer hat schon hier die Möglichkeit, wegen eines Verstoßes im Antrag, die Zahlung gänzlich zu verweigern.

Tatsächlich untersuchen nur wenige Mittelständler ihre IT-Risiken systematisch. Das hat die VdS Schadenverhütung GmbH aus Köln festgestellt. Dafür wurden die anonymen Angaben von 2.000 Unternehmen ausgewertet, die bis Februar 2017 den VdS-Quick-Check (vds-quick-check.de) genutzt haben. Der kostenlose Schnelltest soll vor allem mittelständischen Firmen eine ehrliche Selbsteinschätzung der IT-Sicherheit ermöglichen. Die aktuelle Auswertung zeigt, dass 46 Prozent der Unternehmen im Bereich des Cloud-Computing noch nicht sicher aufgestellt sind.

Technische Vorsorge gegen Cyber-Bedrohungen ist Voraussetzung

Doch nur wer umfassend technische Vorsorge betreibt und seine Cyber-Bedrohung minimiert, hat überhaupt eine Chance, eine Police zu bekommen. „Handwerksunternehmen sollten sich technisch und organisatorisch in der IT-Sicherheit beraten lassen und dann prüfen, ob und wie das Restrisiko versichert werden kann“, sagt Achim Fischer-Erdsiek vom Versicherungsmakler NW Assekuranzmakler ProRisk aus Hannover. Der Diplom-Ökonom ist Mitglied des Vorstandes des Bundesverbandes Deutscher Versicherungsmakler (BDVM). Sein Unternehmen hat sich auf Cyberschutz spezialisiert. Und ist derzeit recht unzufrieden mit dem Angebot für Handwerker durch deutsche Assekuranzen. „Die Anbieter von Allianz , HDI , R+V oder Signal-Iduna nutzen in der Regel für den Schutz von gewerblichen Kleinbetrieben die Musterbedingungen des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV), kurz AVB Cyber, genannt“, erläutert der Versicherungsmakler. „Der dort verwendete Begriff der Gefahrerhöhung stellt mittelständische Unternehmen und Handwerker im IT-Bereich in der Praxis vor unlösbare Probleme“, glaubt Fischer-Erdsiek. „Daher besteht die Gefahr, dass im Schadensfall der Handwerksbetrieb seine Sicherheit nicht auf dem Stand der Technik hatte und die Assekuranz den Schaden ablehnt.“ Das sieht auch IT-Experte Mansfeld so: „ Hier gibt es gefährlichen Auslegungsspielraum für die Assekuranzen.“

Klar, dass Windows-XP-Systeme nicht mehr eingesetzt werden sollten, weil es keine Sicherheitsupdates mehr gibt. Aber muss der Handwerker jedes Jahr seine IT vollkommen erneuern? Experten warnen davor, dass sich wegen problematischer Klausel n Versicherungsschutz am Ende als Mogelpackung entpuppt. Unterdessen verkaufen viele Versicherer ihren Cyberschutz auch am Bankschalter, wo möglicherweise wenig Beratung stattfindet.

Gefahrerhöhung vermeiden

Die Kreishandwerkerschaft Osnabrück setzt beispielsweise auf ein klassisches deutsches Cyber-Schutzkonzept der Signal-Iduna. Der berufsständische Versicherer hat gemeinsam mit dem Start-up Perseus Technologies ein „Digitales Schutzschild“ für kleine und mittelgroße Betriebe entwickelt. „Es ist eine Kombination aus Vorsorge und Absicherung“, so die Signal-Iduna. Notfalls würden die Kosten bei Betriebsausfällen übernommen, ebenso wie Sachschäden und Ansprüche von Dritten. Hier bleibt Makler Fischer-Erdsiek skeptisch. „Auch die gut gemeinten und richtigerweise eingesetzten Assistenz-Leistungen helfen im Schadensfall leider nicht, wenn mit Verweis auf Gefahrerhöhung der Schaden abgelehnt werden kann.“

Zwar wollen sich die Versicherer im Schadensfall kulant zeigen. Doch Fischer-Erdsiek, der Vorstand des Bundesverbandes Deutscher Versicherungsmakler (BDVM) ist, weiß aus Berichten vieler Kollegen, dass gerade sogenannte Obliegenheitsverletzungen in der Schadenregulierung einen immer größeren Stellenwert einnehmen.

IT-Sicherheits-Zertifizierung lohnt

Der Versicherungsmakler NW Assekuranzmakler ProRiskhat daher für Handwerker spezielle Cyber-Schutz-Bedingungen ausgehandelt. „Auf Basis dieser Bedingungen müssen Handwerker lediglich ein gängiges Virenschutzprogramm und eine Firewall nachweisen, um eine Cyber-Police zu erhalten“, sagt Fischer-Erdsiek. Hier gebe es keine „offene Hintertür“ für die Schadenablehnung. Das gelte auch für andere ausländische Anbieter wie Hiscox , AIG oder Markel. Zudem haben Handwerker bei diesen Versicherern einen 24-stündigen Hotline-Schutz. Bei der Pro-Risk-Police läuft die Notrettung über die Crawford & Company Deutschland. Der Dienstleister hat sich verpflichtet innerhalb von 1,5 Stunden mit den Maßnahmen zur Abwehr des Cyber-Krisenfalls zu beginnen.

Zur Absicherung des Versicherungsschutzes können sich größere Handwerksbetriebe nach der VdS 3473 oder der ISO-Norm 27001 zertifizieren lassen. „Mit dem sogenannten IT-Sicherheits-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder der extra für KMU geschaffenen Richtlinie der VdS, kann man schlechte Klauseln, wie die Gefahrerhöhung, bei einigen Versicherern wegverhandeln“, so Experte Fischer-Erdsiek.

Auflagen für Abschluss der Versicherung

Ohne diese Punkte gibt es keinen Versicherungsschutz: Die in der Tabelle auf der nächsten Seite verglichenen Versicherungen verlangen diese Voraussetzungen hinsichtlich der IT-Sicherheit für den Abschluss einer Police.

  • Alle Versicherer:
    Abgestuftes Rechtekonzept mit administrativen Kennungen ausschließlich für IT-Verantwortliche; Firewallstrukturen an allen Netzübergängen zu externen Netzen; regelmäßige Datensicherung auf separierten Systemen oder Datenträgern; Virenschutz auf allen Servern und Systemen mit aktuellen Virensignaturen; täglich Datensicherungen auf separierten Systemen oder Datenträgern; Verschlüsselung aller mobilen Geräte, einschließlich Laptops, Tablets, Smartphones und Memorysticks.
  • Nur R+V:
    Die Systeme müssen einzelne Nutzer- und Befugnisebenen unterscheiden. Hierzu sind individuelle Zugänge für alle Nutzer erforderlich, die mit ausreichend komplexen Passwörtern gesichert werden. Administrative Zugänge sind ausschließlich Administratoren und ausschließlich zur Erledigung administrativer Tätigkeiten vorbehalten. Die Systeme müssen mit einem zusätzlichen geeigneten Schutz gegen unberechtigten Zugriff ausgerüstet sein, wenn diese einem erhöhten Risiko ausgesetzt sind. Ein erhöhtes Risiko besteht bei Geräten, die über das Internet erreichbar oder im mobilen Einsatz sind; über einen geeigneten Schutz gegen Schadsoftware verfügen, der automatisch auf dem aktuellen Stand gehalten wird; einem Patch-Management-Verfahren unterliegen, das eine zeitnahe Installation von relevanten Sicherheitspatches sicherstellt. Systeme und Anwendungen mit bekannten Sicherheitslücken dürfen nicht ohne zusätzliche Maßnahmen zur Absicherung eingesetzt werden; die Systeme müssen einem mindestens wöchentlichen Sicherungsprozess unterliegen, wobei die Sicherungsdatenträger physisch getrennt aufbewahrt werden, um sicherzustellen, dass im Versicherungsfall auf Originale und Duplikate nicht gleichzeitig zugegriffen oder diese manipuliert oder zerstört werden können. Der Versicherungsnehmer hat eine ordnungsgemäße Funktion des Sicherungs- und Wiederherstellungsprozesses durch regelmäßige Prüfung nach einem festgelegten Turnus sicherzustellen.
  • Nur NW Assekuranzmakler ProRisk: In allen Informations- und Kommunikations-Systemen müssen Anti-Viren-Programme und Firewalls regelmäßig aktualisiert werden.


keyboard_arrow_left Zurück zur Startseite