Crime Protect: Das Deckungskonzept von Allianz + Euler Hermes

Die Cyberkriminalität wird immer komplexer und professioneller, Eindringlinge bleiben oft monatelang unentdeckt, bis der eigentliche Angriff startet. Diese Zeit nutzen Angreifer zum Beispiel, um das IT- und Email-System kennenzulernen und auszuspähen. Auch die Arten der Schäden werden immer variantenreicher. Daher ist es mit dem einfachen Abschluss eines einzelnen Versicherungsproduktes nicht getan.

Um Ihnen einen kleinen Eindruck der Vielfältigkeit von Schadenszenarien und deren versicherungstechnischen Folgen zu geben, hier zwei Praxisbeispiele, die ähnlich aussehen, aber ganz verschieden versichert werden müssen

Beispiel 1, Online-Lebensmittelhandel

Eines Montagmorgens wird die Telefonzentrale von einem Anrufer überrascht, der sein iPad umtauschen möchte. Trotz diverser Erklärversuche der Mitarbeiterin beharrt der Anrufer darauf, dass er in der Nacht von Sonntag auf Montag ein iPad günstig über den Onlineshop gekauft und bezahlt hat.

Was war passiert? Ein Hacker hatte sich Zugang zu dem Onlineshop verschafft und die Plattform und das gute Image des Händlers genutzt, um für knapp 100.000 € über Nacht Elektronikartikel zu verkaufen, die es natürlich nicht gab. Die Bezahlungen wurden auf ausländische Konten umgelenkt.

Folgen: Mehrere Tage kein Verkauf, bis die IT gesichert war, IT-Kosten für externe Forensiker, Anwaltskosten in der Kommunikation mit der Staatsanwaltschaft und mit geschädigten Käufern, Kreditkartenmonitoring.

Beispiel 2, Man-in-the-middle, Warenhandel

Ein seit Jahrzehnten erfolgreiches Handelsunternehmen bezieht seit vielen Jahren einen Teil seiner Waren aus Indien. Die Kommunikation läuft per E-Mail und Telefon problemlos, man kennt und vertraut sich, es hat noch nie Differenzen gegeben, bis zu dem einen verhängnisvollen Auftrag.

Wieder wurden Waren geordert, die Termine abgestimmt, der Preis ausgehandelt, die Ware geliefert und das Geld bezahlt. Nur dass kurz vor der Auslieferung der indische Lieferant per E-Mail mitteilte, dass sich die Kontonummer geändert habe, sonst war alles wie immer.

Es vergingen einige Wochen bis sich durch Zufall Händler und indischer Lieferant auf einer Messe begegneten. Der Lieferant fragte vorsichtig nach, warum denn bisher die Rechnung noch nicht bezahlt worden sei. Es folgten großes Erstaunen und dann Entsetzen.

Was war passiert? Irgendwann hatte sich ein Angreifer in den E-Mailverkehr gehackt und hatte als Man-in-the-middle alle E-Mails mitgelesen und erst ganz zum Schluss des Deals eine einzige Mail um die falsche Kontonummer ergänzt, so dass das Geld auf ein falsches Konto überwiesen wurde. Das Geld war natürlich verloren, da bis zur Entdeckung des Betrugs viel zu viel Zeit vergangen war.

Diese zwei Beispiele zeigen, wie unterschiedlich Angriffe aussehen können und, das ist jetzt das fatale, wie unterschiedlich die Auswirkungen von Versicherungen gesehen werden.

Beispiel 1 ist ein typischer Fall für eine Cyber-Versicherung mit Betriebsunterbrechung. Eine Cyberversicherung ist vom Grunde her eine Vermögensschadenhaftpflicht, die Datenschutzverletzungen versichert. Da der Schaden, sowohl der Eigenschaden im Unternehmen als auch die Datenschutzverletzung der Verbraucher und die Kosten für das Kreditkartenmonitoring eindeutig durch einen Hackerangriff verursacht wurden, greift sie hier.

Beispiel 2 hingegen ist kein Fall für eine Cyber-Versicherung, sondern für eine Vertrauensschadenversicherung. Warum? Weil hier nicht festgestellt werden kann, wo, wann und wie es zu dem Angriff kam, da seit dem Angriff und der Entdeckung Monate, ja vielleicht Jahre vergangen sind, in denen sich der Hacker still verhalten hatte und alle Spuren längst verwischt sind. Das Geld wurde durch einen Betrug auf ein falsches Konto überwiesen, nicht durch eine Datenmanipulation (IT) des deutschen Unternehmens.

Ähnliche Beispiele gibt es viele, denkt man an Man-in-the-cloud oder Fake President Fraud, die Grenzen sind oft schwer zu ziehen. Eine persönliche Beratung und Analyse der Gefährdungssituation in Ihrem Unternehmen ist daher unbedingt geboten.

Eine Bemerkung zum Schluss: Hat ein Geschäftsführer oder eine Geschäftsleitung nicht genug Augenmerk auf die IT-Sicherheit und auf den Umgang mit Kundendaten gelegt, haftet er für seine Fehler, persönlich! Daher ist eine D&O-VERSICHERUNG für jede Kapitalgesellschaft ein absolutes MUSS!