AssCompact suche
Home
Management & Wissen
3. April 2020
Home-Office: Welchen Schutz bieten gewerbliche Cyberversicherungen?

Home-Office: Welchen Schutz bieten gewerbliche Cyberversicherungen?

Firmen, die ihre Mitarbeiter nun ins Home-Office schicken, sollten prüfen, was das im Hinblick auf Cyberrisiken bedeutet. Hanno Pingsmann, Geschäftsführer von CyberDirekt, erklärt, was zu beachten ist, was das eigene Angebot leistet und worauf Vermittler in der Beratung zu Cyberpolicen hinweisen müssen.

Während der Corona-Krise haben sich viele Unternehmen dazu entschieden, eine intensivere Nutzung von Home-Office und mobilem Arbeiten für ihre Mitarbeiter zu ermöglichen. Der kurzfristige Umzug ins Home-Office hat dabei in vielen Unternehmen neue Angriffsflächen geschaffen. Gleichzeitig nutzen Kriminelle die aktuelle Situation für neue Angriffsmuster und gezielte Cyberattacken auf Mitarbeiter mit Remote-Arbeitsplätzen aus. Das hauseigene Netzwerk und die private Internetverbindung sind perfekte Einfallstore für Cyberangriffe, um Zugang zu vertraulichen Firmendaten zu erhalten. Aktuell ist ebenfalls ein deutlicher Anstieg von Phishing-Attacken zu beobachten und auch gezielte Cyberangriffe sind denkbar.

Häufig kam die Umstellung für viele Unternehmen, gerade für kleine und mittelständische, unvorbereitet und kurzfristig: Viele Mitarbeiter, die bisher nur im Büro arbeiten durften, werden mit Firmenlaptops nach Hause geschickt oder müssen gar mit eigenen Rechnern arbeiten, die über keine ausreichende oder nur veraltete Sicherheitssoftware verfügen. Neben geeigneten Maßnahmen zum Schutz der Mitarbeiter im Home-Office kommt der Cyberversicherung für Unternehmen in diesen Zeiten eine besondere Bedeutung zu.

Was Vermittler bei der Beratung zu Cyberversicherungen beachten müssen

Das Risiko eines Hackerangriffs auf Mitarbeiter im Home-Office lässt sich grundsätzlich auch mit einer gewerblichen Cyberversicherung absichern. Die Voraussetzungen sowie der Umfang des Versicherungsschutzes sind jedoch nicht in jedem Tarif gegeben.

Zunächst muss beim Gegenstand der Versicherung geprüft werden, ob im Umfang IT-Systeme eingeschlossen sind. Hierbei sind in den Versicherungsbedingungen Formulierungen üblich, die lediglich IT-Systeme „der Versicherungsnehmerin” oder „einer versicherten Gesellschaft” einschließen. Damit wird der private PC eines Mitarbeiters nicht vom Versicherungsschutz getragen, auch wenn dieser zur beruflichen Tätigkeit verwendet wird. Eine Attacke auf einen Firmenrechner wäre jedoch abgesichert, wenn dieser sich im Eigentum des Unternehmens, das heißt der Versicherungsnehmerin befindet.

Einen besseren Schutz bieten Tarife, die auf grundsätzliche Angriffe von „IT-Systemen der Versicherten” abzielen. Hierbei kann auch eine Cyber-Attacke auf den privaten PC versichert sein, wenn dieser zu betrieblichen Zwecken verwendet wird. Darüber hinaus können sich im Bedingungswerk auch weitergehende Regelungen zur Nutzung privater Geräte befinden, die Vermittlern und Kunden höchste Transparenz zum Deckungsumfang für das Arbeiten im Home-Office bieten.

Das Kriterium „Bring your own Device“

Im CyberDirekt-Vergleichsrechner etwa lässt sich anhand des Kriteriums „Bring your own Device“ prüfen, ob der Versicherer private Geräte im Versicherungsschutz miteinschließt.

CyberDirekt hat zusammen mit dem Assekuradeur VICTOR das Cyberprodukt „CyberVlex“ auf den Markt gebracht. Alexander Arias, Mitglied der Geschäftsleitung/Leiter Underwriting, VICTOR Deutschland GmbH, kommentiert hinsichtlich eines möglichen Schadenfalls: „Ausgangslage für einen Schadenfall ist stets eine Informationssicherheitsverletzung. Dies ist geregelt in der Klausel 1.1 der Bedingungen von CyberVlex: „Eine Informationssicherheitsverletzung ist jede unberechtigte Nutzung der Informations- und Kommunikationstechnologie (IKT) des Versicherungsnehmers, inklusive privater Geräte der Versicherten [...].“

Hiermit wird klar zum Ausdruck gebracht, dass Basis für einen Versicherungsfall jede unberechtigte Nutzung der IT des Versicherungsnehmers ist, und zwar unabhängig davon wo die unberechtigte Nutzung eingetreten ist. „Mit VICTOR gehen wir vor allem hinsichtlich der genutzten Geräte die Extrameile für unsere Kunden. Denn: Strittig könnte im Rahmen der Haftungsfrage sein, ob Schäden aufgrund einer Informationssicherheitsverletzung durch die Nutzung eigener Geräte im Home-Office – zum Beispiel das reine ‚VPN-Dial-In‘ in die Netzwerke des Versicherungsnehmers durch das Internet – auch wirklich versichert sind. Viele Bedingungswerke im Markt haben diesen wichtigen Passus nicht geregelt und öffnen damit Haftungsrisiken für ihre Kunden.“

Vermittler müssen die IT-Sicherheitsstandards ansprechen

Vermittler, die angesichts der aktuellen Situation ihre Kunden gezielt auf Cyberversicherungen ansprechen, sollten neben den Leistungsmerkmalen des jeweiligen Tarifs unbedingt auf die notwendigen IT-Sicherheitsstandards achten, die fast ausschließlich aus den Risikofragen hervorgehen. Die Angaben, die der Kunde in diesem Zusammenhang macht, müssen auch bei Arbeit im Home-Office erfüllt sein, um den Versicherungsschutz nicht zu gefährden. Diese umfassen Folgendes:

  • Alle Versicherer fordern Virenschutz und Firewalls, die auf allen IT-Systemen eines Versicherten vorhanden sein müssen.
  • Unabdingbar für den Abschluss einer Cyberversicherung ist eine regelmäßige Datensicherung, die auch auf den im Home-Office eingesetzten Geräten vorhanden sein muss.
  • Darüber hinaus kann ein zusätzlicher Schutz für die Verbindung mit dem Firmennetzwerk gefordert sein (z. B. durch einen VPN-Client).
  • Ein geregelter oder automatisierter Prozess zum Aufspielen von Updates und Patches wird durch Betriebssysteme meistens angeboten und muss daher auch auf externen Geräten der Mitarbeiter durchgeführt werden.

Ein weiterer und nicht zu vernachlässigender Aspekt für sicheres Arbeiten im Home-Office ist die Sensibilisierung der Mitarbeiter für das erhöhte Risiko einer Cyberattacke. Das Angebot von Cybertrainings für Mitarbeiter, das für alle Tarife auf der CyberDirekt-Plattform inkludiert ist, kann den versicherten Unternehmen hierbei eine schnelle und einfach umzusetzende Unterstützung bieten.

Von Hanno Pingsmann, Gründer und Geschäftsführer von CyberDirekt

Bild: © CyberDirekt