Cyberversicherung - Schutzschild für Unternehmen im digitalen Zeitalter | Folge 39

Shownotes

In dieser Folge von „WeTalkSecurity“ geht es um Cyberversicherungen: warum sie für Unternehmen immer relevanter werden, was sie tatsächlich leisten, wo typische Ausschlüsse liegen und weshalb es im Schadenfall häufig zu Streit kommt. Christian Lueg spricht mit Dr. Jens Eckhardt über die aktuelle Bedrohungslage durch Cyberkriminalität, die wirtschaftlichen Risiken von Cyberangriffen, rechtliche Rahmenbedingungen wie BSI-Gesetz, DSGVO und DORA sowie darüber, worauf Unternehmen beim Abschluss und bei der Prüfung bestehender Policen unbedingt achten sollten. Außerdem: Anforderungen der Versicherer an die IT-Sicherheit, Erfahrungen aus der Schadenpraxis, Ransomware, Social Engineering und die Frage, wie sich der Markt für Cyberversicherungen weiterentwickeln wird.

Über den Gast: Dr. Jens Eckhardt ist Fachanwalt für Informationstechnologierecht, Datenschutzauditor sowie IT-Compliance-Manager bei der Düsseldorfer Kanzlei pitc Legal. In seiner täglichen Praxis berät er Unternehmen an der Schnittstelle zwischen IT-Vorfall, Datenschutz und regulatorischer Verantwortung. Ein besonderer Fokus liegt dabei auf der Frage, wann aus einem Cyberangriff ein Haftungsfall wird – insbesondere für Geschäftsführer.

Gastgeber: Christian Lueg

Schwerpunkte und Inhalte der Episode: Aktuelle Bedrohungslage & wirtschaftliche Risiken: Cyberkriminalität nimmt weiter zu, Schäden wachsen exponentiell. Unternehmen müssen davon ausgehen, dass Angriffe stattfinden – es ist keine Frage des „Ob“, sondern des „Wann“. Bereits kurze Betriebsunterbrechungen können existenzbedrohend sein und auch persönliche Haftungsrisiken für Geschäftsleitungen auslösen.

Warum Cyberversicherungen an Bedeutung gewinnen: Neben der finanziellen Absicherung spielen Unterstützungsleistungen eine zentrale Rolle: Incident Response, IT-Forensik, rechtliche Beratung, Krisen-PR und Unterstützung bei Meldepflichten. Viele Unternehmen sind organisatorisch nicht auf Cyberkrisen vorbereitet.

Was Cyberversicherungen typischerweise abdecken: Je nach Police u. a. Kosten für Forensik und Wiederherstellung, Management von Datenschutzverletzungen, System- und Wiederbeschaffungskosten, erhöhte Betriebskosten sowie teilweise Schäden aus Betriebsunterbrechungen. Entscheidend ist immer der konkrete Versicherungsvertrag.

Grenzen & Ausschlüsse: Häufig nicht oder nur eingeschränkt gedeckt sind Social-Engineering-Betrug, Reputationsschäden, Verlust von Geschäftsgeheimnissen oder geistigem Eigentum sowie bestimmte staatliche oder „kriegerische“ Angriffe. Die genaue Definition des versicherten „Cybervorfalls“ ist zentral.

Typische Streitpunkte in der Schadenregulierung: Erfüllung der Sicherheitsvoraussetzungen („Stand der Technik“), Vorwürfe grober Fahrlässigkeit, Angemessenheit von Kosten sowie die Frage, ob eigene oder von der Versicherung vorgegebene Dienstleister eingesetzt werden dürfen.

Anforderungen der Versicherer an die IT-Sicherheit: Versicherer orientieren sich zunehmend an gesetzlichen Mindeststandards, insbesondere aus BSI-Gesetz, DSGVO und DORA. Ohne nachweisbare technische und organisatorische Maßnahmen ist Versicherungsschutz gefährdet.

Für wen ist diese Folge besonders relevant? Geschäftsführer & Vorstände IT-Leitung, IT-Security- und Compliance-Verantwortliche KMU, Mittelstand & regulierte Unternehmen Organisationen mit bestehenden oder geplanten Cyberversicherungen Unternehmen mit erhöhtem Ransomware- oder Lieferkettenrisiko

Besondere Empfehlungen aus der Folge:

1. Bestehende Versicherungen prüfen: Was ist wirklich abgedeckt, was nicht?
2. IT-Sicherheitsniveau realistisch bewerten und dokumentieren.
3. Vertragsbedingungen, Ausschlüsse und Definitionen genau lesen.
4. Melde- und Incident-Prozesse vorab festlegen.
5. Cyberversicherung als Teil eines ganzheitlichen Resilienz-Konzepts verstehen – nicht als Ersatz für IT-Sicherheit.

Weiterführende Links:

• Kanzlei pitc Legal: https://pitc-legal.de/
• ESET Whitepaper Versichert heißt nicht abgesichert":