eine Cyberpolice ist heute für jedes Unternehmen so wichtig wie eine Versicherung gegen Feuer. Viele Unternehmen haben noch keine. Und die, welche versichert sind, erleben manchmal komische Sachen. Dies ist die Story einer wirklich dämlichen Aktion eines Cyberversicherers. Es geht um Obliegenheiten und der Angst vor hohen Schäden. Und es geht darum, unsere Gewerbekunden vor solch willkürlichen Rundumschlägen zu bewahren.
IT-Sicherheitslücke mit Folgen für die Cyberpolice
Es beginnt, wie es immer beginnt: Harmlos. Im März 2021 warnt das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, vor einer Schwachstelle bei Microsoft Exchange Servern. Daran können Sie sich sicher noch erinnern. Das Ganze ging komplett durch die Medien, Panik herrschte. Wenn es sowas wie kalte Füße gibt, dann haben viele Cyberversicherer die in diesem Moment bekommen. Denn ein Cyberschaden läuft anders ab als ein Feuerschaden. Wenns brennt, kommt die Feuerwehr. Wenn Sie gehackt werden, brennen Sie sprichwörtlich bis auf die Grundmauern runter. Der Schaden ist fast immer ein Totalschaden. An der Stelle schieben wir einen kleinen Exkurs in eine andere Versicherungssparte ein, um die Arbeitsweise von Versicherern zu illustrieren.
Exkurs Solaranlagenversicherung
Erinnern Sie sich noch an den ersten Solarhype Anfang der 2000-er Jahre? Damals boomte der Bau von Photovoltaikanlagen und die Versicherungsbranche riss sich drum. Nach einigen Jahren merkten die jedoch: Holla, die Dinger sind ja doch zerstörbar. Ab diesem Moment stiegen die Prämien und plötzlich waren auch innere Betriebsschäden nicht mehr versicherbar. Anlagen auf landwirtschaftlichen Gebäuden? Scheute die Versicherungswirtschaft plötzlich wie der Teufel das Weihwasser. Versuchen Sie heute mal eine 10 Jahre alte PV-Anlage zu versichern, der Markt dafür ist sehr ausgedünnt. Versicherer reißen sich um neue Themen und ziehen sich sehr schnell zurück, wenn die Schadensquoten steigen. Bei Cyber jubelte die Branche lange Zeit wegen der gigantischen Abschlußmöglichkeiten. Und heute haben sie die Höschen nass.
Schwachstelle ist der Versicherer?
Zurück zu unserem Paradebeispiel. Wie reagierte der Versicherer nun auf die Gefahr durch die Sicherheitslücke in Microsoft Exchange? In unserem Fall das von uns bevorzugte Unternehmen mit einem exzellenten Preis/Leistungsverhältnis? Es geriet in Panik. Unsere Kunden bekamen folgenden, zu unterschreibenden, Passus zugesandt:
Man könnte sagen: Okay, sicher ist sicher. Nur für uns und den Kunden sieht das eher so aus, als habe der Versicherer die Hosen voll und kenne seine eigenen Verträge nicht. Denn im Antragsprozedere zur Cyberpolice werden ja genau diese Sicherheitsobliegenheiten ausgesprochen. Wenn der Kunde sie nicht erfüllt, ist er ohnehin raus aus dem Leistungsanspruch. Warum also werden die nun nochmal abgefragt?
Geschwafel
Unsere Nachfrage beim Versicherer brachte keine schlüssige Antwort. Nur Drumherumreden. Auf das erste Anschreiben hin riefen wir natürlich unseren Ansprechpartner beim Versicherer an. Dessen Antwort lautete, es gäbe diese Schreiben nur in einigen Ausnahmefällen. Warum gerade dieser Kunde eine Ausnahme sei, blieb offen. Komischerweise erhielten wir am selben Tag noch drei weitere „Ausnahmen“. Der Protest aus der Maklerschaft führte jedoch dazu, dass dieses Verfahren kurz darauf eingestellt wurde. Lag also die Schadenswahrscheinlichkeit doch nicht so hoch?
Log4j treibt die Produzenten der Cyberpolice in den Wahnsinn
Es kam wies kommen musste. Der Irrsinn gewann an Qualität. Die nächste Sicherheitslücke hier Log4j und rief bei unserem Versicherer eine neue Aktion hervor. Um es vorweg zu sagen, uns platzte nun die Hutschnur. Denn nach einem Neuantrag zu einer Cyberpolice, mit korrekt beantworteten, ausführlichen Sicherheitsabfragen, bekommt unser Kunde diese Obliegenheit ausgesprochen:
…ergänzend zum oben genannten Versicherungsschein teilen wir Ihnen mit, dass ab Versicherungsbeginn die folgende Obliegenheit ergänzend vereinbart gilt: Von Software-Dienstleistern bereitgestellte Sicherheitsupdates werden nach Bereitstellung unverzüglich durch den Versicherungsnehmer oder einem von ihm beauftragten Spezialisten in allen relevanten Datenverarbeitungssystemen installiert und auf ihre Funktionstüchtigkeit geprüft.
Wahnsinn Ende.
Razertech GmbH eingeschaltet
Es reichte. Hier musste ein Profi ran. Also baten wir unseren eigenen IT-Dienstleister, die Razertech GmbH, um eine Stellungnahme zu dieser Obliegenheit. Unsere Fragen waren Folgende:
- wie kann ein Sicherheitsupdate auf Funktionstüchtigkeit geprüft werden?
- was bedeutet im Sinne unseres Kunden: alle relevanten Datenverarbeitungssysteme? (hier ein schönes Beispiel für einen Hackerangriff über ein Aquarium) Ist ein Aquarium ein relevantes Datenverarbeitungssystem?
Denn wir sind der Meinung, dass diese ausgeprochenen Obliegenheiten vom Kunden so nicht erfüllt werden können. Sie sind einfach zu schlecht definiert.
Razertech GmbH nimmt Anbieter der Cyberpolice auseinander
Hier die ausführliche Antwort unseres Dienstleisters, die wir umgehend an den Versicherer weitergegeben haben:
- wo ist definiert, was Funktionstüchtigkeit bedeutet?
- muss das Update nur ohne auftretenden Fehlercode installiert werden, oder geht die Definition tiefer?
- soll der Kunde intern testen, also sich selbst hacken, um eine offene Lücke zu finden? Dies ist nicht machbar, außer über immensen Kosten- und Zeitaufwand
Die Antwort des Versicherers darauf:
- Es ist nicht zu testen, dass das Update die Lücke beheben kann. Es muss nur aufgespielt werden und der Betrieb muss danach weiterlaufen, störungsfrei
Keine Antwort auf weitere Fragen
Auf die Frage, was alle relevanten Datenverarbeitungssysteme denn nun seien, erhielten wir keine Antwort mehr. EIn Telefonat „eine Etage höher“ beim Versicherer, brachte keine weiteren Erkenntnisse. Uns wurde eine erweiterte Definition zum Thema Test von Updates zugesagt, die aber nie ankam. Wir hakten nochmal gezielt nach: Was sind relevante Datenverarbeitungssysteme? In einer KFZ-Werkstatt hat inzwischen sogar der Bremsenprüfstand eine Onlineschnittstelle. Wie definiert der Versicherer dieses Problem.
Sicherheit runter – Cyberpolice leistet??
Unsere Aufforderung, die ausgesprochene, unsinnige und schwammig formulierte Obliegenheit zurückzuziehen, blieb bislang unbeantwortet. Die lustigste Aussage in diesem Zusammenhang kam eben genau aus der „höheren Etage“ des Versicherers. Nämlich, dass der Versicherer davon ausgehe, das der Kunde irgendwann seine vertraglichen Obliegenheiten, die er im Antrag unterschreiben musste, nicht mehr erfüllt. Und dann müssen die leisten. Was für ein Quatsch! Jede Feuerversicherung ist von der Leistung frei wenn vorgeschriebene Brandschutzmaßnahmen nicht eingehalten werden. Aber die Cyberpolice muss leisten, wenn der Kunde die Sicherheitsmaßnahmen runterfährt? Es scheint in der „höheren Etage“ beim Versicherer doch recht dünne Luft das Denken zu beeinträchtigen.
Unabhängige Versicherungsmakler tun mehr als Abschlüsse anstreben
Wir sehen uns als Ihr Dienstleister! Das obige Beispiel soll nicht nur mal wieder den tagtäglichen Wahnsinn beleuchten, dem Sie ausgesetzt sind, sondern auch unsere Schlagkraft. Wir schauen eben nach Abschluss des Vertrages auch noch hin. Deshalb sind wir gerne Ihr Partner bei der Wahl und der Betreuung Ihrer Unternehmensversicherung, auch der Cyberpolice.
Digitale Anfrage zur Cyberpolice
Wir haben einen digitalen Erfassungsbogen entworfen, mit dem Sie bei uns Ihr Business beschreiben und nach einer Cyberversicherung anfragen können. Diesen Fragebogen hier direkt öffnen und ausfüllen (der Link ist hinter dem Bild)
Wir können Cyberversicherung
Wir sind unabhängiger Versicherungsmakler und für Sie da.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren