Katastrophen-Vorsorge per IT-Versicherung
Artikel erschienen in Swiss IT Magazine 2002/37
Die IT-Infrastruktur ist für die meisten Unternehmen ein unabdingbarer Erfolgsfaktor und muss entsprechend versichert sein. Genügen zur Versicherung von Hardware und Software die ohnehin abgeschlossenen Versicherungen, oder braucht es gesonderte Policen für die IT? Und was ist mit neuartigen Risiken wie Virenbefall oder Hackerangriffen, die von klassischen Betriebsversicherungspolicen nicht abgedeckt werden? Einige Versicherer offerieren spezielle Lösungspakete für diese sogenannten "E-Risiken" - wer braucht eine "IT-Versicherung", was decken entsprecheden Angebote ab und wo liegen die Fallstricke?
Am Beispiel Computerviren wird es deutlich: IT-Probleme sind nicht mehr ein vernachlässigbares Detail, das allenfalls für einige Programmierer von Belang ist. Fälle wie Melissa, "I love you" und erfolgreiches Hacking im Pentagon haben es in die Ränge der Top-News geschafft: Durch unbenutzbare oder fehlerhaft arbeitende IT-Systeme verursachte Betriebsunterbrüche bringen der Wirtschaft Millionenverluste und vermindern die ohnehin angekratzte Glaubwürdigkeit staatlicher Institutionen zusätzlich. Gemäss einem White Paper der Basler Versicherung verdoppeln sich die finanziellen Verluste durch nicht vorhersehbare IT-spezifische Gefahren im E-Business-Bereich derzeit jedes Jahr.
Viren und ihre Folgen bilden aber nur einen kleinen Teil der E-Risiken. Eine von der Basler Versicherung zitierte FBI-Studie aus dem Jahr 2000 zeigt, dass 24 Prozent der durch E-Risiken verursachten Schäden durch Diebstahl geschützter Informationen entstehen. Finanzieller Betrug, zum Beispiel Kreditkartenbetrügereien bei E-Commerce-Transaktionen, machte 21 Prozent aus, gefolgt von Virenbefall und Internet-Missbrauch (je 11%), Sabotage (10%) und unautorisiertem Zugriff durch Firmeninsider (9%). Das klassische Risiko Laptop-Diebstahl schlägt demgegenüber mit nur gerade vier Prozent zu Buche.
Bei der Versicherung der IT-Anlagen ist zwischen verschiedenen Risikokategorien zu unterscheiden. Da wären einmal die traditionellen, schon vom Privatbereich bei der Hausratversicherung her bekannten Risiken wie Feuer, Wasser, Einbruchdiebstahl und Elementarschäden. Für diese Risiken schliesst die Firma üblicherweise eine Sachversicherung ab, die neben den eigentlichen Schäden an Mobiliar und technischem Gerät - dazu gehört auch die IT-Infrastruktur - meist auch den Schaden durch Betriebsunterbruch deckt.
Eine separate, durch die übliche Sachversicherung nicht abgedeckte Risikoklasse bilden "innere und äussere Einwirkungen auf elektronische Anlagen", wie zum Beispiel die Zürich die Schäden am IT-Equipment unterscheidet. Zu diesen inneren Einwirkungen zählen sämtliche Störungen und Schäden, die durch die Geräte selbst verursacht werden, wie zum Beispiel der Headcrash einer Harddisk oder der Ausfall eines Prozessors.
Äussere Einwirkungen entstehen durch menschliches Fehlverhalten oder anderweitige geräteunabhängige Vorgänge - Beispiele sind ein Bildschirm, der herunterfällt, Fehlbedienung durch die Benutzer oder das fast schon klassische Verschütten des Morgenkaffees über die Tastatur, aber auch Schäden durch Stromschwankungen und Spannungsspitzen.
Solche hardwarespezifischen Risiken bei Bürogeräten und IT-Equipment sind durch die allgemeine Sachversicherung nicht abgedeckt. Praktisch alle Versicherer bieten aber in Ergänzung zur üblichen betrieblichen Schadensabdeckung, die heute ohnehin meist im Baukastensystem aus Modulen für verschiedene Risiken zusammengesetzt und nicht als fixes Gesamtpaket angeboten wird, optionale Module zur Versicherung des Geräteparks an. Bei der Zürich zum Beispiel gibt es das Modul "Büroelektronik", die Winterthur offeriert entsprechende Deckung als Teil des "WinProfessional"-Konzepts, bei Generali spricht man vom "massgeschneiderten Zusatz Elektronische Anlagen" zur Betriebsversicherung "Modula", und die Allianz kennt die "Versicherung elektronischer Datenverarbeitungsanlagen EDVA", die neben den Hardware-Risiken auch die klassischen Risiken umfasst.
Die detaillierte Risikoliste der Allianz-Lösung EDVA zeigt exemplarisch, worin sich die IT-spezifische von der herkömmlichen Sachversicherung unterscheidet. Sie deckt einerseits sämtliche auch von der Sachversicherung erfassten Risiken:
Brand, Blitzschlag, Explosionen
Elementarschäden
Einbruchdiebstahl, Raub
Wasser
Zusätzlich sind bei der EDVA aber auch die folgenden Risiken versichert:
Versengen, Verschmoren (typisch für elektronische Geräte)
einfacher Diebstahl (zum Beispiel Entwenden mobiler Computer oder sonstiger nicht fest installierter Geräte durch Besucher)
Zusammenstossen, Anprallen, Umstürzen und andere gewaltsame äussere Einwirkungen
Erschütterungen
Fremdkörper
Bedienungsfehler, Ungeschicklichkeit, Fahrlässigkeit, vorsätzliche Beschädigung und andere Fälle menschlichen Versagens
Kurzschluss, Überspannung, Überstrom, Induktion
Je nach Wunsch können im Hinblick auf diese Risiken zusätzlich zur Grunddeckung verschiedene Zusatzleistungen vereinbart werden, darunter die Vergütung der Kosten für die Wiederaufbringung verlorener Daten bei Datenträgerschäden und die Mehrkosten zur Weiterführung oder Aufrechterhaltung der Datenverarbeitung infolge eines versicherten Ereignisses.
Die eigentlichen E-Risiken treten naturgemäss erst auf, seit die meisten Unternehmen über einen Internetanschluss verfügen. Die etwas träge Versicherungsbranche hat denn auch erst teilweise auf die neue Bedrohungslage reagiert: Versicherungslösungen für E-Risiken gibt es nur bei wenigen Anbietern, und sie werden je nach Produkt nicht allen Kunden angeboten. Matthias Biri von der Basler in einem White Paper zu den entsprechenden Baloise-Lösungen: "Diese neuen Risiken im Zusammenhang mit Internet und den damit verbundenen neuen Geschäftsprozessen können nicht mit herkömmlichen Versicherungslösungen abgedeckt werden. Die Versicherung von IT-Risiken ist eine völlig neuartige und vor allem zusätzliche Dienstleistung."
Das Paradebeispiel für eine IT-Versicherungslösung mit Beschränkung des Kundensegments ist "Business IT" von der Zürich. "Im Moment wird diese Deckung nur für Unternehmen der IT-Branche angeboten", merkt Stefano Via an, Leiter des Produktmanagements für allgemeine Haftpflicht bei der Zürich. Man habe zwar ursprünglich geplant, analoge Lösungen künftig auch für andere Branchen anzubieten; mit der strategischen Neuausrichtung der Zürich stünden konkrete Produkte aber noch in den Sternen.
Business IT bietet IT-Dienstleistern, und nur diesen, Versicherungsdeckung in drei Hauptbereichen: Die wichtigste Komponente ist eine umfassende Haftpflichtversicherung, die zum Beispiel die Mehrkosten beim Kunden nach einer fehlgeschlagenen Installation der durch den IT-Dienstleister angebotenen Lösung oder zur Wiedererfassung von Daten, die durch einen Implementierungsschaden gelöscht wurden, übernimmt.
Der optionale Zusatz "Computermissbrauch" deckt die oben als E-Risiken bezeichneten Schäden aus der Beeinträchtigung der eigenen Programme und Daten des IT-Dienstleisters selbst, die aufgrund von Hacking, Virenbefall, Zugriffsverlust oder -verweigerung, unerlaubter Nutzung sowie fehlerhafter Bedienung entstehen. Darin inbegriffen ist auch die Vergütung des Ertragsausfalls, der durch solche Schadensfälle verursacht wird.
Optional enthält das Business-IT-Paket schliesslich noch verschiedene Leistungen der Personalvorsorge, Unfall- und Krankenversicherung inklusive Administration dieser Bereiche im Outsourcing - das IT-Unternehmen, oft eine kleine Firma mit viel Informatik-, aber wenig Verwaltungs-Know-how, kann diese ungeliebten Aktivitäten damit aus dem eigenen Haus verbannen und sich auf sein Kerngeschäft konzentrieren.
Unter dem Label "WinProfessional" bieten die Winterthur Versicherungen eine umfassende, modulare Versicherungslösung für KMU an. Neben Sachversicherung und Komponenten für Haftpflicht, Geschäftsreisen, Personen, Fahrzeuge, Finanzen und Vorsorge enthält WinProfessional auch eine "e-Business-Versicherung" mit vier Deckungsbausteinen.
Versichert ist zunächst das Risiko der Veränderung eigener Daten durch Fremdeinwirkung wie Viren und Hacker. Die Versicherung zahlt Leistungen sowohl für die Wiederherstellung der Daten als auch für den durch den Betriebsunterbruch entstandenen Ertragsausfall.
Ebenfalls versichert: der strafbare Missbrauch und Fehlmanipulationen an eigenen und fremden, E-Business-bezogenen Daten durch die eigenen Mitarbeiter. Hier sind neben eigenen Vermögensschäden auch Schäden gedeckt, die bei Dritten, also bei den Geschäftspartnern des Versicherungsnehmers, anfallen.
Interessant, da den oft vernachlässigten, in Zeiten zunehmender Globalisierung des hiesigen Geschäftslebens jedoch immer wichtigeren juristischen Problemkreisen gewidmet, sind der dritte und vierte Baustein. "Widerrechtliche Publikation" sichert ab gegen Ansprüche, die aufgrund europäischer gesetzlicher Haftpflichtbestimmungen erhoben werden, zum Beispiel bei Ehr- und Persönlichkeitsverletzungen, Datenschutz- und Urheberrechtsverletzungen, unlauterem Wettbewerb sowie Marken-, Firmen- und Namenrechtsverletzungen: Es geschieht zu rasch und meist aus Unkenntnis der internationalen Rechtslage, dass per E-Mail oder auf der eigenen Website ein Gesetz verletzt wird.
Der vierte Baustein versichert allgemeine Rechtsstreitigkeiten, die im Rahmen des Online-Geschäftsverkehrs und über die dafür nötige Hardware und Software vorkommen können; gedeckt sind Rechtsberatung sowie die Kosten für Anwälte, Gutachten, Prozessentschädigung, Inkasso, Strafkautionen und Gerichtskosten.
Die Basler Versicherungen offerieren sowohl eine spezielle Lösung namens Baloise IT Solution für IT-Firmen mit Kerngeschäft in Erstellung und Vertrieb von Software als auch eine allgemeine E-Risiko-Versicherung für "stark IT-abhängige" Firmen anderer Branchen, die Baloise Net Solution. Beide Pakete sind als Ergänzung zu bestehenden Sach- und Rechtsschutz-Versicherungen konzipiert und bestehen aus Modulen für Eigenschäden, Haftpflicht und Strafrechtsschutz.
Die versicherten Leistungen umfassen die Wiederherstellungskosten von Daten, die Mehrkosten und den Umsatzausfall bei Betriebsunterbruch sowie die Kosten für ungewollten Leistungsbezug - zum Beispiel, wenn ein Hacker für Zigtausende über die Telefonanlage der Firma telefoniert.
Die Eigenschaden-Versicherung deckt Hacking-Schäden, zu denen neben Sabotage und Spionage auch die unerlaubte Nutzung von Systemressourcen und die Veröffentlichung vertraulicher Daten zählen. Ebenfalls gedeckt sind mangelnde Verfügbarkeit von Systemen durch beeinträchtigten Zugriff, Schäden durch Virenbefall und fehlerhafte Bedienung.
Das Haftpflicht-Modul schützt über die Eigenschäden hinaus auch vor Ansprüchen Dritter, die aufgrund von Hacking, Weitergabe von Computerviren, mangelnder Systemverfügbarkeit sowie durch die Verletzung von Schutzrechten entstehen - zum Beispiel bei unerlaubter Veröffentlichung auf dem Internet und Verletzung von Urheber- und Markenrechten. Kommt es gar zu einem Strafverfahren, sind mit dem Strafrechtsschutz-Modul auch die damit verbundenen Kosten gedeckt.
Über die wohl interessanteste Frage zu den Prämienkosten schweigen sich die Anbieter mit Verweis auf den individuellen Charakter einer IT-Versicherung aus. Stefano Via von der Zürich gibt nur einen generellen Hinweis: "Die Prämien berechnen sich aufgrund der jeweiligen Vollwert- oder Erstrisikosummen. Bei 'Computermissbrauch' kann höchstens eine Erstrisikosumme von 50'000 Franken pro Police abgeschlossen werden." Via macht keine näheren Angaben zur Höhe der Prämien. Ähnlich argumentiert Matthias Biri, Leiter Marketing und Produktentwicklung im Geschäftsbereich Business von der Basler: "Das Risiko wird von der Basler je nach Wirtschaftsbranche und geschäftlicher Ausrichtung des Kunden unterschiedlich tief analysiert und individuell beurteilt. Hierzu dient als erste Abklärung der Antrag. Aufgrund der Risikoanalyse wird auch die Prämienberechnung vorgenommen. Die Prämienbestimmung erfolgt also sehr individuell und risikospezifisch pro Kunde." Bei dem von uns angefragten Berechnungsbeispiel für ein Unternehmen mit 25 Arbeitsplätzen, eigenem Mail-Server und Internetanbindung fehlen laut Biri zusätzliche Angaben wie der Firmenzweck.
Der Net-Solution-Antragsbogen der Basler enthält denn auch eine schier unerschöpfliche Liste detailliertester Fragen über das zu versichernde Unternehmen, darunter zur genauen Art des Betriebs und zu den Einsatzbereichen der IT, zu sämtlichen wichtigen Kennzahlen sowie in einer zweiseitigen Aufzählung zu Sicherheitsthemen von "Gibt es einen Verantwortlichen für IT-Sicherheit?" über "Haben Sie einen aktiven Virenscanner eines renommierten Herstellers?" bis "Sehen Sie wesentliche Veränderungen?". Nicht zuletzt wird auch nach bereits erlittenen Schäden im IT-Bereich gefragt - das Ganze erinnert stark an ein Antragsformular für eine private Krankenversicherung.
Es versteht sich nicht erst nach der Lektüre eines Versicherungsantrags, dass die Anbieter nicht alle Unternehmen gleich gern versichern: Prämien und Leistungen sind stark von den Security-Massnahmen abhängig, die der Kunde bereits getroffen hat. Zwar legen die Versicherer nicht bis ins Detail fest, welche Firewall und welche Virenschutzlösung der Kunde einzusetzen hat, aber, so Stefano Via: "In den Vertragsbestimmungen gibt es bestimmte Obliegenheiten und Ausschlüsse. So sind zum Beispiel Schäden nicht versichert, die darauf zurückzuführen sind, dass keine oder nicht dem Stand der Technik entsprechende Sicherheitsmassnahmen getroffen wurden."
Bei der Basler ist man sich bewusst, dass die korrekte Implementierung von Sicherheitsmassnahmen viele Unternehmen überfordert. Biri: "In den Unternehmen besteht ein erheblicher Mangel an Wissen um die eigene 'Exposure' und folglich ein immenser Aufklärungsbedarf für IT- und Telekommunikationsrisiken. Lediglich grössere Firmen aus dem Bankensektor und Unternehmen, die im IT-Dienstleistungssektor tätig sind, sind sich einiger weniger Risiken bewusst." Den Verkauf der Net Solution wickelt die Basler deshalb über spezialisierte Unternehmensberater ab, und die Risikoanalyse erfolgt in Zusammenarbeit mit einer führenden IT-Firma.
Konkreter wird die Winterthur, die auf ihrer Website eine Checkliste zur Netzwerk- und Internet-Sicherheit mit organisatorischen und technischen Massnahmen publiziert hat. Darüber hinaus offeriert die Winterthur einen auf KMU-Bedürfnisse zugeschnittenen Sicherheits-Check, der durch die Firma Axus Secure Networking durchgeführt wird. Er zeigt in verständlicher Form auf, wo Schwachstellen liegen und welche Massnahmen zu ergreifen sind und ist in zwei Varianten, mit und ohne Überprüfung von E-Business-Komponenten wie Firewall, Mail-Server und Internetanbindung, erhältlich. Der Check wird allen Interessenten zu Fixkosten von 1100 beziehungsweise 1900 Franken offeriert; Kunden der Winterthur-E-Business-Versicherung erhalten einen Rabatt.
Zudem in der Print-Ausgabe: Die IT-Policen der grossen Schweizer Versicherer