Das “Silent Cyber” Risiko – Schweigen ist nicht immer Gold

Blog Gefahrenwarnung
Pic Source: Kristina Flour via Unsplash

Silent Cyber beschreibt ein “stilles” oder auch ein sogenanntes nicht-affirmatives Cyberrisiko. Dies bedeutet, dass die Deckung von Schäden, die infolge eines Cyberangriffs entstehen, in Versicherungspolicen nicht ausdrücklich ein- oder ausgeschlossen ist. Es wird sich also darüber ausgeschweigen. Das kann im Schadensfall problematisch werden.

In den letzten Jahren ist das Interesse an Cyberversicherungen gestiegen. Laut dem GDV sichern sich kleine und mittlere Unternehmen immer häufiger gegen Bedrohungen aus dem Internet ab. Im Jahr 2020 gaben immerhin 35 Prozent der kleinen Unternehmen (2-10 Millionen € Umsatz) und 43 Prozent der mittleren Unternehmen (10-50 Millionen € Umsatz) an, bereits eine Cyberversicherung zu haben oder den Abschluss einer solchen zu planen.

Im Umkehrschluss heißt dies allerdings, dass die meisten Unternehmen den Nutzen einer Cyberversicherung noch nicht erkannt haben. Dabei stellen Cyberangriffe inzwischen das größte globale Geschäftsrisiko dar (laut Allianz Risk Barometer).

Aktuell setzen viele Unternehmen auf konventionelle Sach- und Haftpflichtpolicen, die mitunter auch Cyberschäden abdecken. Wenn diese Schäden jedoch nicht ausdrücklich ein- oder ausgeschlossen sind, besteht das “Silent Cyber” Risiko.

In einer Studie der Rating-Agentur Assekurata erklärten 74 Prozent der befragten Anbieter von Cyber-Versicherungen, dass konventionelle Sach- und Haftpflichtdeckungen ein erhebliches „Silent Cyber“- Risiko beinhalten (Studie:  “Die große Cyberwelle kommt noch!”, 2019).

Konkrete Risiken von “Silent Cyber”

Was sind die Konsequenzen, wenn Cyberrisiken in einer Police nicht oder nur unzureichend berücksichtigt wurden, also “stille” Risiken sind? Dann ist bei Schäden aufgrund einer Cyberattacke nicht eindeutig, inwieweit diese Schäden abgedeckt sind. Oder ob sie überhaupt abgedeckt sind.

Das “Silent Cyber” Risiko betrifft sowohl Versicherungsunternehmen als auch Versicherte. So erklärt Marsh, ein internationales Industrieversicherungsmakler- und Risikoberaterunternehmen,  dass sich Versicherungsunternehmen mit einem nicht-affirmativen Police-Wortlaut einem erhöhten Risiko aussetzen. Denn durch die fehlende Berücksichtigung potenzieller Cyberrisiken wird weder das erhöhte Risiko der Versicherten berechnet, noch wird die potenzielle Risikoaggregation im eigenen Portfolio bewertet.

Die Versicherten tragen ebenfalls ein erhöhtes Risiko, da viele konventionelle Sach- und Haftpflichtpolicen keine Schäden abdecken, die infolge einer Cyberattacke entstehen. Damit die Versicherten dieses erhöhte Risiko erkennen, sollte es  jedoch explizit formuliert werden. Andernfalls glauben einige Versicherte, dass sie eine angemessene Deckung für Cyberrisiken haben, obwohl dies nicht der Fall ist.

Zudem können nicht-affirmative Formulierungen von den Versicherungsunternehmen unterschiedlich ausgelegt werden. Das kann im Schadensfall zu Rechtsstreitigkeiten führen.

Wie lassen sich Missverständnisse verhindern?

Für Versicherte empfiehlt es sich, zu überprüfen, ob Cyberschäden in ihren bestehenden Sach- und Haftpflichtpolicen explizit berücksichtigt und abgedeckt sind. Ist das nicht der Fall, empfiehlt es sich, dies nachzuholen. Zum Beispiel mit einer zusätzlichen, individuellen Cyberversicherung, die neben der finanziellen Schadensabdeckung auch sinnvolle Zusatzleistungen wie eine 24/7 Notfallhilfe oder präventive Schulungs- und Trainingsmaßnahmen bietet. Denn diese Maßnahmen helfen, Cyberangriffe einzudämmen oder im besten Fall ganz abzuwenden – und die besten Schäden sind immer die, die gar nicht erst entstehen.

Das sagt der Perseus-Experte

Milan Jarosch, Senior Channel Sales Manager und hauptsächlich verantwortlich für Versicherungsmakler, sagt dazu:

“Das Thema Silent Cyber ist ja hauptsächlich ein Versicherer-Thema, da sich hier ja potenzielle Risiken im Portfolio befinden, die zum einen aktuell (noch) nicht abschätzbar bzw. valide kalkulierbar sind und welche sich zum anderen nicht in der Prämie wiederfinden.

Für die Kunden ist das grundsätzlich erstmal positiv, da sie ja im Zweifel Versicherungsschutz für etwas genießen, wovon sie zumeist nichts wissen und für welchen sie auch nicht bezahlen. Negativ ist dies nur dann, wenn ein Kunde der Meinung ist, mit seiner Sach-/Haftpflichtpolice eine Cyberversicherung ‚abgeschlossen‘ zu haben. Dann könnte es natürlich ein böses Erwachen geben, da die Deckungsinhalte der gängigen Cyberversicherungen (oftmals weit) über die Deckung in diesem Bereich hinaus gehen. Dies ist in der Praxis jedoch eher ein theoretisches Szenario, da die Kunden ja in den meisten Fällen von ihrem betreuenden Makler entsprechend aufgeklärt wurden und sich somit der Deckungslücke im Bereich Cyber bewusst sein sollten.”

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited