Cyberversicherung und Incident Response: Das Zusammenspiel im Ernstfall

1 Min. Lesezeit

Im Ernstfall greifen Cyber-Versicherung und Incident Response ineinander – oder aneinander vorbei. Die Versicherung stellt Forensiker, Anwälte und Krisenkommunikation. Doch wer nicht weiß, wie der Prozess abläuft, verliert wertvolle Stunden an Abstimmung statt an Schadensbegrenzung. Ein Durchlauf durch die Mechanik des Ernstfalls.

Das Wichtigste in Kürze

Cyber-Versicherungen stellen in der Regel ein komplettes IR-Panel (Forensik, Recht, PR)
Hotline-Nummer der Versicherung muss offline verfügbar sein – nicht nur im E-Mail-System
Eigenständige Maßnahmen VOR Rücksprache können Deckung gefährden
Dokumentation jeder Maßnahme ist essenziell für die Schadensregulierung

Was die Versicherung im Ernstfall liefert

Die meisten Cyber-Policen inkludieren ein Incident-Response-Panel: vorab vereinbarte Dienstleister für Forensik (Mandiant, CrowdStrike, Kroll), IT-Recht (Breach-Notification, Datenschutzaufsicht), Krisenkommunikation und Verhandlungsführung bei Ransomware. Die Versicherung koordiniert und bezahlt – der Versicherte muss nicht im Ernstfall Angebote einholen.

Entscheidend: Die Panel-Dienstleister sind vorab geprüft und vertraglich gebunden. Wer einen eigenen, nicht-gelisteten Dienstleister beauftragen will, braucht in der Regel die vorherige Zustimmung des Versicherers – sonst droht Deckungsverlust.

Der Ablauf: Vom Alarm zur Schadensregulierung

Stunde 0-1: Vorfall erkennen, Versicherungs-Hotline anrufen (Nummer offline vorhalten!), erste Eindämmungsmaßnahmen abstimmen. Stunde 1-24: Forensik-Team wird aktiviert, erste Beweissicherung, Scope-Assessment. Tag 1-7: Forensische Analyse, Containment, DSGVO-Meldung an Aufsichtsbehörde (72h-Frist), interne und externe Kommunikation.

Tag 7-30: Wiederherstellung, Remediation, fortlaufende Forensik. Tag 30-90: Abschlussbericht, Schadensregulierung, Lessons Learned. Der Forensik-Bericht ist die Grundlage für die Schadensregulierung – ohne ihn keine Leistung.

Fallstricke: Was die Deckung gefährden kann

Vier häufige Fehler: Erstens, eigenständig Systeme herunterfahren, bevor der Forensiker Beweise sichert – Beweisvernichtung kann als Mitwirkung am Schaden gewertet werden. Zweitens, nicht-autorisierte Dienstleister beauftragen – selbst wenn sie schneller verfügbar sind.

Drittens, verspätete Meldung an den Versicherer – viele Policen fordern eine Meldung innerhalb von 24-72 Stunden nach Kenntnisnahme. Viertens, unvollständige Dokumentation – jede Maßnahme, Entscheidung und Kommunikation muss nachvollziehbar protokolliert werden.

Vorbereitung: Was VOR dem Ernstfall zu tun ist

Fünf Vorbereitungsmaßnahmen: Hotline-Nummer der Versicherung physisch ausdrucken und an drei Stellen hinterlegen (IT-Leiter-Schreibtisch, Geschäftsführer-Safe, Notfall-Ordner). Tabletop Exercise mit dem Versicherer durchführen – viele Versicherer bieten das kostenlos an. Eskalationsmatrix mit Versicherer abstimmen: Wer ruft wen an?

Policy-Review: Ausschlüsse und Obliegenheiten kennen – was darf ich tun, was muss ich tun, was darf ich nicht tun? Und schließlich: die technischen Voraussetzungen sicherstellen – Backups, Logging, IR-Playbook – damit die Forensik überhaupt arbeiten kann.

Key Facts

Meldepflicht: 24-72h an den Versicherer nach Kenntnisnahme

Panel-Kosten: Forensik, Recht, PR – typischerweise 200.000-500.000 EUR, von der Police gedeckt

Deckungsverlust-Risiko: 18 Prozent der Schadensansprüche werden wegen Obliegenheitsverletzungen gekürzt (Marsh)

Häufige Fragen

Was mache ich, wenn ich die Hotline-Nummer nicht finde?

Deshalb: physisch ausdrucken und an mindestens drei unabhängigen Orten hinterlegen. Im Ernstfall kann das E-Mail-System verschlüsselt sein – die Nummer im Outlook-Kontakt nützt dann nichts. Makler-Nummer als Backup, da der Makler die Versicherer-Kontakte kennt.

Muss ich bei jedem Vorfall die Versicherung informieren?

Bei vermuteten oder bestätigten Sicherheitsvorfällen mit potenziell versichertem Schaden: ja. Im Zweifel: melden. Eine Meldung, die sich als unbegründet herausstellt, hat keine negativen Konsequenzen. Eine verspätete Meldung bei tatsächlichem Schaden schon.

Kann ich meinen eigenen Forensik-Dienstleister wählen?

Möglich, aber riskant. Die meisten Policen haben ein Panel – wenn Sie außerhalb bestellen, brauchen Sie vorherige Genehmigung. Vorteil des Panels: vorab verhandelte Stundensätze, schnelle Verfügbarkeit, und der Versicherer übernimmt die Kosten ohne Diskussion.