Wie sinnvoll ist eine "Cyberversicherung" ?

[Soulblader356]

Hallo zusammen,

ich möchte hier im Forum fragen, wie sinnvoll eine Cyberversicherung für ein Unternehmen ist.

Kurz zu unserem Unternehmen: Wir sind ein mittelständisches Handwerksunternehmen und nutzen ein bei Strato gehostetes Rechnungsprogramm. Täglich führen wir ein Backup aller erstellten Dokumente durch.

Die Backups werden sowohl in der Cloud als auch lokal gespeichert, wobei wir Acronis und einen Cloud-Anbieter verwenden.

Was denkt ihr über den Nutzen einer Cyberversicherung in unserem Fall?

PS: Diese wurde von unserem Makler angeboten und als ganz wichtig erachtet.

 

[c-mate]

Die Sinnhaftigkeit ist die gleiche wie bei allen Versicherungen, am Ende weiß man es nur wenn der Schadenfalleintritt, ob die Versicherung sinnvoll war und gleichzeitig hofft man, dass es nie eintrifft.
Du schreibst, dass ihr Backups erstellt, das ist die ansolute Grundvoraussetzung, die immer gemacht werden sollte.
Aber eine Cyberversicherung geht weit darüber hinaus bzw kann weit darüber hinaus gehen, je nachdem welche Bausteine ihr einkauft.
Das geht von Prävention zb durch Schulungen, über Unterstützung im Schadenfall bis hin zu finanziellem Ausgleich des Schadens.
Zb spielt dabei auch eine Rolle wie gut ihr IT technisch aufgestellt seid, was traut ihr euch selbst zu, wie lange könnt ihr euch einen Stillstand des Geschäftbetriebs leisten etc.
Ein Cyberangriff ist ja weit mehr, als nur dass die Daten weg sind und man einfach ein Backup zurückspielt.

 

[_killy_]

Führt ein Ausfall der IT auch zum Ausfall der Produktion/Ergbringung der Dienstleistung? Oder können "nur Rechnungen" nicht an die Kunden ausgestellt werden?

Je nach dem ist die IT mal wichtig und mal weniger wichtig. Ein normaler Handwerkbetrieb, der am PC Kostenvoranschläge und Rechnungen schreibt, der schafft es auch mal ein paar Wochen ohne PC auszukommen. Wenn aber die IT zur Leistungserbringung zwingend erforderlich ist, dann sieht es ganz anders aus.

Mittelständisches Handwerksunternehmen trifft ja auch auf 200 Mitarbeiter zu ... da kann die IT Systemlandschaft ganz anders aussehen als bei einem 10 Mann Betrieb. Ne?

Weiterhin muss man sich die Frage stellen, was beinhaltet diese Cyberversicherung? Was passiert im Leistungsfall und wie würde dann weiterhin die Recovery-Strategie aussehen?

 

[BeBur]

Was denkt ihr über den Nutzen einer Cyberversicherung in unserem Fall?

Ich denke, das kommt komplett darauf an, wann genau die einspringt, welche Schäden die bezahlt und was die Voraussetzungen sind. Mit diesen Infos kann man das auch beurteilen. Mag aber sein, dass es da "übliche Konditionen" gibt. Ich vermute aber tendenziell eher nicht, zumal der Teufel ja im Detail steckt.

 

[Ranayna]

Die Cyberversicherung mussten wir abschliessen, weil unser Umfeld, also vorallem unsere Kunden, darauf bestehen das wir im Fall der Faelle Kontinuitaet bieten koennen.
Da ist die Cyberversicherung ein nuetzlicher Baustein, in mehrerer Hinsicht.

Nicht nur das offensichtliche, das die Versicherung im Schadenfall zumindest einen Teil des Schadens ausgleicht oder sogar erfahrenes Personal "ausleiht" um schnell zu recovern.
Die Versicherungsbedingungen wohl der allermeisten Versicherungen bringen auch den Zwang mit, das Systeme unter Support sein muessen und aktuell zu halten sind.
Keiner mehr der sagt: Ach, der Server 2012 tuts doch noch, lass den laufen.
Keiner mehr der sagt: Wofuer brauchen wir den Supportvertrag fuer die Switche, wir legen einfach einen als Ersatz auf Lager.
Wenn jemand so argumentiert, ist die Antwort: Die Versicherung besteht darauf. Das Argument lassen dann alle gelten. Frueher hat man oft gegen die Wand gesprochen wenn man alten Scheiss upgraden oder abloesen wollte.

 

[Nazrael]

PS: Diese wurde von unserem Makler angeboten und als ganz wichtig erachtet.

Ist natürlich der klassische Interessenskonflikt, generell schon schwer zu sagen, bei einem IT-Dienstleister ist's halt ne andere Geschichte.

Ihr solltet euch den Worst-Case sachlich einmal verschriftlichen und dann die Leistungen den Beiträgen gegenüberstellen, so ne kleine Risikoanalyse ist dafür schon hilfreich. Oft schließt sich nämlich auch ein wie schon hier genannt wurde Rattenschwanz der ganzen Sache an der zusätzliche Kosten veranschlagt.

Wenn ihr eure IT nämlich wirklich nur zur Abwicklung des internen und externen Rechnungswesens nutzt und beispielsweise die Versicherung als Grundvorraussetzung eine 27001 Zertifizierung veranschlagt, kann das kostentechnisch den vernünftigen Rahmen sprengen.

 

[Dukey]

Derartige Versicherungen setzen meist voraus dass alle Systeme auf dem aktuellen Stand sind, also alle Updates und Patches eingespielt wurden. Zudem können auch moderne Sicherheitsmaßnahmen wie MFA, Conditional Access usw. vorausgesetzt sein. Könnt ihr das als Unternehmen leisten bzw. habt ihr das schon?
Heißt im Umkehrschluss, dass wenn es z.B. einen Breach auf einem Altsystem gibt (genug Unternehmen nutzen noch Windows Server 2003/2008, usw.), die Versicherung nicht bezahlt.
Also; aufmerksam die Policy/AGBs lesen, bevor man so eine Versicherung abschließt.