Cyber-Versicherung

Von Holger Esseling

Die Bedeutung der IT hat auch in Anwaltskanzleien in den letzten Jahren deutlich zugenommen. Gleichzeitig hat sich die Bedrohungslage völlig verändert: Waren vor zehn Jahren noch hauptsächlich politisch motivierte Hacker oder sog. „Script Kiddies“ als Hacker unterwegs, ist hieraus mittlerweile eine eigenständige kriminelle Industrie hervorgegangen, die in erster Linie mit Erpressung und Identitätsdiebstahl Geld erbeutet. Hinzu kommen Risiken durch vorsätzliches oder fahrlässiges Mitarbeiterfehlverhalten – von Datenschutzverstößen bis zum Datendiebstahl.  

Wo so viele neue Gefahren drohen, entsteht auch schnell ein neues Angebot zur Absicherung. Und so herrscht in der Versicherungsbranche trotz aller aktuellen Probleme in einem Bereich Goldgräberstimmung: bei der Cyber-Versicherung (oder auch Cyber-Risk Versicherung). Bei uns eine Seltenheit, ist diese Form der Abdeckung in den USA bereits weit verbreitet – ein entsprechendes Marktpotenzial sehen die Versicherer auch in Deutschland.

Doch welchen Nutzen bietet eine Cyber-Versicherung für Anwaltskanzleien und was sollte bei der Auswahl beachtet werden? Um es vorweg zu sagen: Die Beschäftigung mit dem Thema lohnt sich für jede Anwaltskanzlei, denn sie führt dazu, sich mit den elementaren IT-Risiken auseinanderzusetzen, diese konkret zu beziffern und entsprechende Maßnahmen zu treffen – die zunächst außerhalb der Versicherung liegen. Ob dann zusätzlich der Abschluss einer Cyber-Versicherung sinnvoll ist, hängt vom erwarteten Schaden, der Versicherungsprämie und der individuellen Risikoneigung ab.

Über welchen Schaden reden wir eigentlich?

Die Cyber-Versicherung bietet in der Regel eine Allgefahrendeckung für Sach- und Vermögensschäden, die aus der Nutzung von elektronischen Daten auf Informations- und Telekommunikationsgeräten entstehen. Gegenstand ist die Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit der Daten. Hinter dieser etwas kryptischen Formulierung stecken ganz handfeste Risiken, die es sich konkret zu beziffern lohnt, um den Nutzen einer Absicherung erwägen zu können:

  • Cyberangriffe: beispielsweise die Verschlüsselung des gesamten Datenbestandes und Erpressung von Lösegeld für die Entschlüsselung
  • Interner Datendiebstahl oder Manipulation von Daten durch Angestellte,
  • Systemausfälle durch Hardwaredefekt, Fehlbedienung oder Schadsoftware,
  • Identitätsdiebstahl und folgende Handlungen im eigenen Namen, zum Beispiel Einkäufe in Onlineshops,
  • Verstöße gegen den Datenschutz oder Verletzung von Verschwiegenheitspflichten.

Im Ergebnis gibt es ein wesentliches Risiko: Es ist zu beleuchten, welche Kosten entstehen, wenn die Kanzlei über Tage oder Wochen nicht arbeiten kann. Darüber hinaus ist die Frage zu stellen, in welcher Höhe ein Dritter Forderungen bei Veröffentlichung geheimer Informationen stellen könnte.

Nehmen wir an, die Verfügbarkeit der Kanzlei-IT fällt aus – zum Beispiel durch einen Cyberangriff. Für solche Fälle lohnt sich die Erstellung eines Datensicherungs- und Notfallplans. Nur so kann realistisch beurteilt werden, nach wie vielen Tagen die Kanzlei wieder den Betrieb aufnehmen kann. Durch entsprechende Vorkehrungen kann diese Zeit gleichzeitig deutlich verkürzt werden. So kann die Ersatzlieferung eines Servers heutzutage gerne mal ein paar Wochen dauern – alternativ kann in der Zwischenzeit innerhalb eines Arbeitstages ein Server in einem Rechenzentrum bereitgestellt werden. Grundvoraussetzung für beide Varianten ist eine professionelle Datensicherung, die kompromisslos geplant und umgesetzt werden sollte.

Nehmen wir nun weitergehend an, die Kanzlei-IT kann bei vollständigem Verlust der Daten oder des Servers innerhalb von einer Woche wiederhergestellt werden: Welche versicherbaren Kosten könnten dann entstanden sein? Am Beispiel einer 10-Mann-Kanzlei kann das wie folgt aussehen:

  • Umsatzausfall: Bei einem Jahresumsatz von 1 Mio. Euro ca. 20.000 Euro für eine Woche. Hierbei ist noch nachzuweisen, dass wirklich ein Schaden in dieser Höhe entstanden ist.
  • Hardwarekosten für einen neuen Server: ca. 5.000 Euro, Software und Lizenzen lassen sich weiterverwenden.
  • Kosten für IT-Dienstleistungen: ca. 10.000 Euro
  • Krisenmanagement und Kommunikationskosten: ca. 10.000 Euro
  • IT-Forensik zur Schadenfeststellung: ca. 5.000 Euro
  • Abwehr unberechtigter Ansprüche: ca. 5.000 Euro

Im Ergebnis erhalten wir also im schlimmsten anzunehmenden Fall einen Schaden, der deutlich unter 100.000 Euro liegt. Um es noch einmal deutlich zu sagen: Das gilt, wenn IT-Sicherheit und insbesondere Datensicherung professionell aufgestellt sind. Die Kosten für einen vollständigen und endgültigen Verlust von Daten sind erheblich höher und daher aus gutem Grund nicht versicherbar: Ein Datenverlust kann bei korrekter Datensicherung nicht passieren.

Die Leistungskataloge der Anbieter ähneln sich stark: Bezahlt werden Sach- und Vermögensschäden, Personenschäden spielen in der Regel keine Rolle. Darüber hinaus wird eine Reihe von Services angeboten, die unter anderem die Bereitstellung anwaltlicher Unterstützung enthalten, was für Anwaltskanzleien meist kein überzeugendes Verkaufsargument darstellt. Im Ergebnis bietet die Cyber-Versicherung dennoch eine gute Möglichkeit, entsprechende Schäden abzusichern, die schnell im fünfstelligen Euro-Bereich liegen. Die Versicherungsprämie liegt je nach Vertragsausgestaltung und Rahmenbedingungen erfahrungsgemäß zwischen 30 und 100 Euro pro Monat für unsere angenommene 10-Mann-Kanzlei. Dabei staffeln manche Versicherer nach Mitarbeiterzahl, andere nach Jahresumsatz und wieder andere nur nach Versicherungssumme.

Was sollte bei der Auswahl der Versicherung beachtet werden?

Die Qualität einer Versicherung lässt sich letztlich erst im Schadensfall zuverlässig beurteilen. Und da diese Art der Versicherung recht neu ist, gibt es hierzu kaum Erfahrungen. Es empfiehlt sich daher, zunächst Kontakt zum Versicherungspartner seines Vertrauens aufzunehmen und diesen in die engere Auswahl zu nehmen, sofern er eine gute Police im Angebot hat. Darüber hinaus sollten mindestens zwei weitere Angebote eingeholt und verglichen werden. Folgende Parameter sollten dabei berücksichtigt werden:

  • Versicherungssumme: Mehr ist besser. Aber ein Richtwert von 100.000 Euro pro 1.000.000 Euro Jahresumsatz dürfte sinnvoll sein – Versicherer werden natürlich immer zu mehr raten. 100.000 Euro sind jedoch gleichzeitig die Untergrenze auch für kleinere Kanzleien.
  • Zeitwert versus Neuwert: Manche Versicherer ersetzen Sachschäden nur zum Zeitwert oder verlangen eine Zusatzprämie für die Neuwertversicherung.
  • BYOD (Bring your own device): Sind Privatgeräte mitversichert, die von Mitarbeiterinnen und Mitarbeitern genutzt werden?
  • Jahreshöchstentschädigung: Die vereinbarte Versicherungssumme gilt pro Versicherungsfall. Darüber hinaus gibt es eine jährliche Höchstgrenze, die häufig bei der zweifachen Versicherungssumme liegt.
  • Selbstbeteiligung: Durch eine Eigenleistung im Schadensfall lassen sich die Prämien senken –eine sinnvolle Maßnahme, wenn nur der Notfall abgesichert werden soll.

Welche Voraussetzungen verlangen die Versicherer?

Der Markt für Cyber-Versicherungen ist einer der wenigen aktuellen Wachstumsbereiche für Versicherer. Dementsprechend sind die Hürden für einen Eintritt zurzeit sehr gering. In der Regel genügt die Beantwortung eines Fragebogens in Verbindung mit ein paar Nachweisen, um einen Vertrag abzuschließen. Dabei gibt es vier Bereiche, die von den Anbietern besonders beachtet und überprüft werden – und damit eine wertvolle Hilfestellung bieten, worauf IT-Verantwortliche in der Kanzlei genauestens achten sollten:

  • Datensicherung: Hier wird von den Anbietern ein Nachweis verlangt, dass die Datensicherung den wichtigsten Anforderungen genügt, also mindestens automatisiert, verschlüsselt, georedundant in mehreren Generationen mit Archiven und regelmäßiger Rekonstruktion erfolgt. Das lässt sich am besten über einen Datensicherungsplan nachweisen, der in jeder Kanzlei auch ohne Berücksichtigung der Cyber-Versicherung vorliegen sollte.
  • Grundlagen der IT-Sicherheit: Die Versicherung möchte in der Regel sicherstellen, dass alle maßgeblichen Updates unverzüglich eingespielt werden und dass eine gängige Firewall eingesetzt und professionell betreut wird. Hierfür werden häufig keine Nachweise verlangt. Werden allerdings in der Selbstauskunft unwahre Aussagen getätigt, ist im Schadensfall der Versicherungsschutz in Gefahr.
  • Zutrittskontrolle und Rechtemanagement: Wer hat Zugang zum Serverraum, wer kann auf welche Daten wie zugreifen? Solche Informationen möchte der Versicherer ebenfalls gerne im Vorfeld einholen. Am besten kann man ihm ein vollständiges IT-Konzept inklusive Rechtestruktur übergeben. Aber auch hier wird häufig auf die Selbstauskunft des Versicherten vertraut – mit dem Damoklesschwert, dass diese im Schadensfall als unwahr enttarnt wird.
  • Regelmäßige Mitarbeiterschulung und -sensibilisierung: Eine Standardfrage in den Bögen der Versicherer betrifft den Informationsstand der Menschen in der Kanzlei. Regelmäßige Schulungen zu IT-Sicherheit und Datenschutz zeugen von einer hohen Sensibilität für dieses Thema und die Erkenntnis, dass viele Gefahren mindestens mittelbar von den handelnden Personen ausgehen. Da auch die EU-DSGVO jährliche Schulungen verlangt, dürfte das in der Theorie kein Hindernis sein. Dass es in der Praxis anders aussieht, ist ein offenes Geheimnis.

Fazit: Cyber-Versicherung zwingt zur Beschäftigung mit IT-Risiken

Die Beschäftigung mit Cyber-Versicherungen lohnt sich für jede Kanzlei. Der größte Nutzen zu Beginn ist, dass die Kanzlei gezwungen wird, sich mit den eigenen IT-Risiken konkret zu befassen. Wenn hier Lücken bestehen, sollte zunächst in die technische Behebung investiert werden – insbesondere in eine tadellose Datensicherung und umfassende IT-Sicherheitskonzepte. Die dann noch bestehenden Risiken können über eine Cyber-Versicherung abgedeckt werden. Mit relativ geringen Versicherungssummen und einer Selbstbeteiligung lassen sich die Versicherungsprämien so gering halten, dass ein gutes Preis-Leistungs-Verhältnis entstehen kann.

Weitere Beiträge

Dipl.-Kfm. Holger Esseling ist Geschäftsführer der Michgehl & Partner GmbH, einem IT-Dienstleister mit über 30 Jahren Erfahrung in seiner einzigen Zielgruppe: Anwaltskanzleien. Als Berater für Kanzlei-Strategie, Digitalisierung und IT-Sicherheit kennt er sich nicht nur bestens im relevanten Berufs- und Strafrecht aus, vor allem verfügt er über einen reichen Erfahrungsschatz an IT-Pannen und Best-Practices.

MkG Spezial

MKG Magazin-Spezial: Die wichtigsten Versicherungen für Anwältinnen und Anwälte

Beim Berufsstart und im Zuge der BRAO-Reform müssen sich viele Anwältinnen und Anwälte mit einem eher unpopulären Thema auseinandersetzen: Versicherungen. Im MkG-Spezial „Die wichtigsten Versicherungen für Anwältinnen und Anwälte“ werden vier Versicherungen und ihre Notwendigkeit genauer unter die Lupe genommen.

Hier gratis downloaden

Bild: Adobe Stock/©VideoFlow

Das kostenlose MkG-Magazin-Abo:
Keine Ausgabe mehr verpassen!

  • Themen, die Sie weiterbringen: Aktuelle Gesetzesänderungen,
    Tipps zur optimalen Abrechnung, Karrierechancen, Kanzleiführung u. v. m.

  • Pünktlich zur Veröffentlichung per Mail

  • Sechs Ausgaben pro Jahr