# Cyberversicherung

**Was deckt eine Cyberversicherung ab?**

Eine Cyberversicherung deckt finanzielle Folgen von Angriffen auf die IT eines Betriebs ab. Sie besteht in der Regel aus einer Eigenschadendeckung, etwa für Betriebsunterbrechung und Wiederherstellung, und aus einer Haftpflichtdeckung für Ansprüche Dritter. Der genaue Umfang steht in der Polizze.

Cyberpolizzen sind modular aufgebaut und werden auf den Betrieb abgestimmt. Zur Eigenschadendeckung zählen typischerweise die Kosten für die Wiederherstellung von Daten und Systemen, der Ertragsausfall durch eine Betriebsunterbrechung, die forensische Untersuchung des Vorfalls, also die technische Aufklärung des Hergangs, sowie Krisenkommunikation und Beratung. Manche Produkte umfassen zusätzlich Leistungen im Zusammenhang mit Erpressung. Die Haftpflichtdeckung greift bei Ansprüchen Dritter, etwa nachdem Kundendaten abgeflossen sind. Welche Bausteine tatsächlich gelten, ergibt sich aus der jeweiligen Polizze.

Vor Abschluss stellt der Versicherer Risikofragen, etwa zu Datensicherung, Aktualität der Systeme, Virenschutz, Zwei-Faktor-Authentifizierung und Berechtigungen. Diese Fragen sind wahrheitsgemäß zu beantworten. Verträge enthalten zusätzlich Obliegenheiten, also Pflichten während der Laufzeit. Werden sie verletzt, kann der Versicherer die Leistung kürzen oder verweigern. Dieser Teil der Bedingungen verdient eine genaue Lektüre.

Der Nutzen einer Polizze setzt ein, nachdem der Schaden eingetreten ist. Sie ersetzt Kosten und Ertragsausfall im vereinbarten Umfang. Wie lange der Betrieb stillsteht, hängt von der eigenen Vorbereitung ab, also davon, ob eine geprüfte Sicherung vorliegt und ob festgelegt ist, in welcher Reihenfolge die Systeme wieder hochgefahren werden.

Der erste sinnvolle Schritt ist daher, den eigenen Stand zu kennen, bevor der Antrag ausgefüllt wird. Dazu gehören eine Sicherung nach der Drei-zwei-eins-Regel, also drei Kopien der Daten auf zwei verschiedenen Medien und eine Kopie außer Haus, mit dokumentiertem Rückspieltest, Zwei-Faktor-Authentifizierung an allen von außen erreichbaren Zugängen, aktuelle Systeme und ein Überblick über die vergebenen Berechtigungen. Der IT-Check prüft acht Bereiche mit über 100 Prüfpunkten und hält Ergebnis und Maßnahmenplan in einem Befund fest, den Sie innerhalb von 14 Werktagen erhalten. Damit lassen sich die Risikofragen belegt beantworten und offene Punkte vorab schließen.

Für den Ernstfall gehören die Meldewege der Versicherung in den Notfallplan, gemeinsam mit den Kontaktdaten für die Schadenmeldung. Polizzen verlangen zum Teil, dass der Versicherer früh eingebunden wird, mitunter bevor externe Dienstleister beauftragt werden. Die Meldepflichten aus der DSGVO bestehen unabhängig davon weiter.

## Verwandte Begriffe
- [Ransomware](https://vetosec.at/it-sicherheit/ransomware/)
- [Backup und Wiederherstellung](https://vetosec.at/it-sicherheit/backup-wiederherstellung/)
- [Notfallplan](https://vetosec.at/it-sicherheit/notfallplan/)
- [Meldepflicht bei einer Datenpanne](https://vetosec.at/it-sicherheit/meldepflicht-datenpanne/)

## Quelle
https://vetosec.at/it-sicherheit/cyberversicherung/ (vetosec, recht)
