Cyberversicherer verlangen bereits bei der Erstellung eines Angebots für eine Cyberversicherung aber auch später als vertragliche Obliegenheiten während der Vertragslaufzeit erhöhte Anforderungen an Sicherheitsmaßnahmen, die die Unternehmen zu erfüllen haben.
Unrichtige Angaben und eine Verletzung von vertraglichen Obliegenheiten können spätestens im Schadenfall den Versicherungsschutz gefährden.
Die gestiegenen Sicherheitsanforderungen machen es Unternehmen zunehmend schwerere, eine Cyberversicherung mit passenden Konditionen abzuschließen. Besonders mittelständige Unternehmen stehen vor der Herausforderung, angemessenen Sicherheitsvorkehrungen nachzuweisen, um überhaupt eine Versicherung abzuschließen.
Die Komplexität der Fragebögen und Risikobewertungen stellt aufgrund von Fachbegriffen und technischen Details eine Hürde dar, die ohne entsprechendes Vorwissen und Hintergrundwissen häufig nicht nachvollziehbar sind, z.B.:
• IT-Infrastruktur:
Fragen zur bestehenden IT-Infrastruktur, Serverstandorte, Nutzung von Cloud-Dienstleistungen und der Netzwerkarchitektur
• Sicherheitsmaßnahmen:
Abfragen zur Art und Weise, wie das Unternehmen seine Systeme schützt (Firewalls, Virenschutz, Verschlüsselungs- und Intrusion-Detection-Systeme)
• Zugriffs- und Identitätsmanagement:
Fragen zur Verwaltung von Benutzerzugriffen und -rechten, insb. zur Multi-Faktor-Authentifizierung, der Protokollierung von Zugriffsversuchen
• Mitarbeiterschulungen:
Fragen, ob das Unternehmen seine Mitarbeiter regelmäßig hinsichtlich der Sensibilisierung für Cybersicherheit schult. Hier verwenden Cyberversicherer häufig auch Auflagen zulasten der Unternehmen, derartige Schulungen nach Vertragsschluss innerhalb einer bestimmten Zeit nachzuweisen
• Notfall- und Wiederherstellungspläne:
Umfangreicher Fragenkatalog zu den vorhandenen Plänen innerhalb des Unternehmens für den Fall eines erfolgreichen Cyberangriffs oder eines Datenverlusts (z.B. Backup-Verfahren, Fähigkeit zur schnellen Wiederherstellung von Daten und Systemen)
Oftmals sind IT-Dienstleistungen an externe Unternehmen ausgelagert. Hier sollte auch das zu versichernde Unternehmen noch einmal die Vertragsunterlagen mit seinem Dienstleister prüfen, insbesondere was dessen Haftung für versäumte Aktualisierungen von Updates und das rechtzeige Aufspielen von Patches anbelangt. Im Schadenfall ist dies leider oft auch ein Diskussionspunkt mit dem Cyberversicherer.