Auf Nummer „versichert“ Wer den Schaden (noch) nicht hat… sollte für die Versicherung sorgen

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

Rosenberger-OSI GmbH & Co. OHG

FNT GmbH

BSI Bundesamt f. Sicherheit in der Informationstechnik

Uptime Institute

Manche Pannen sind unvermeidbar; auf Verluste trifft das aber schon 'mal nicht mehr zu. Für Letzteres gibt es ja die Versicherung. Wer es mit der Risikominderung richtig schlau anstellt, kann die Kosten der Versicherung senken.

Ein Unglück kommt selten allein. Aber es kommt ganz sicher dann, wenn man es am wenigsten gebrauchen kann – und meistens erleidet man es unverschuldet. Katastrophenfall-Vorsorge ist alles schön und gut, aber es gibt nun mal einen Punkt, an dem auch die Disaster-Recovery nicht mehr weiterhilft. Dieser Punkt ist spätestens dann erreicht, wenn die Hardware nicht mehr hochfährt.

Was so alles beim Betrieb von ITK-Anlagen schief gehen kann: elektrische Pannen, Materialfehler, Cyber-Attacken, Brände, Diebstahl, Überschwemmungen, Hagel, Stürme und Blitzeinschläge… Jedes Szenario zu versichern, ist finanziell nicht tragfähig. Das Risiko-Management ist daher eine Mischkalkulation, eine Gratwanderung zwischen Wunschdenken und einer gesunden Portion Realitätssinn.

Die IHK München und Oberbayern empfiehlt Unternehmen, vor dem Abschluss von Versicherungsverträgen eine eingehende Risikoidentifikation und -analyse durchzuführen. So lässt sich der Versicherungsbedarf ermitteln und Möglichkeiten der Risikominderung ausloten.

Im Übrigen: Gutes Risikomanagement kann die Versicherungsprämien senken. Eine ISO-Zertifizierung nach 14001 (Environmental Management) oder eine Tier-Klassifizierung des Uptime Instituts ist beim Vertragsabschluss gelegentlich bares Geld wert (zumindest unter den Versicherern, die am Allied Vendor Programme teilnehmen).

In Zukunft dürften betriebliche Metriken eine zentrale Rolle spielen.

Das leidige KRITIS-Pflichtenheft…

Für Unternehmen in Deutschland sind bestimmte Risiken versicherungspflichtig; Rechenzentren sind da keine Ausnahme. Das Pflichtenheft beinhaltet zum Beispiel die betriebliche Haftpflichtversicherung (Stichwort: Betriebshaftpflicht). Diese schützt Unternehmen vor Schadenersatzansprüchen Dritter, die sich auf die Geschäftstätigkeit des Unternehmens zurückführen lassen. Weitere Pflichten im Hinblick auf das Risiko-Management lassen sich unter anderem aus der KRITIS-Verordnung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und aus dem IT-Sicherheitsgesetz ableiten.

In der KRITIS-Verordnung des BSI ist keine Versicherungspflicht verbatim vorgesehen. Unternehmen, die unter die KRITIS-Verordnung des BSI fallen, können freiwillig unter anderem eine Cyber-Versicherung abschließen, um sich gegen finanzielle Folgen von IT-Sicherheitsvorfällen und anderen digitalen Pannen abzusichern.

Was die KRITIS-Verordnung vermissen lässt, macht das Zweite IT-Sicherheitsgesetz vom 18. Mai 2021 (a.k.a. IT-SiG2) deutlich. Das Interessante daran: IT-SiG2 betrifft alle Betreiber kritischer Infrastrukturen in Deutschland sowie bestimmte Anbieter von Telemediendiensten.

Die Qualifizierung

Der Begriff „kritische Infrastrukturen“ umfasst in diesem Zusammenhang Unternehmen und Einrichtungen aus verschiedenen Sektoren, die für das Funktionieren der Gesellschaft von entscheidender Bedeutung sind, wie Energie- und Wasserversorgung, Gesundheitswesen, Informationstechnik und Telekommunikation, Transport und Verkehr sowie Finanz- und Versicherungswesen.

Das IT-Sicherheitsgesetz 2.0 sieht keine allgemeine Versicherungspflicht für Betreiber kritischer Infrastrukturen vor. Es wird jedoch eine Versicherungsverpflichtung für Betreiber kritischer Infrastrukturen in den Bereichen Energie, Telekommunikation, Verkehr und Gesundheit eingeführt, die sich gemäß §8b IT-Sicherheitsgesetz 2.0 auf Grundlage von Kriterien wie der Unternehmensgröße oder der Bedeutung für die öffentliche Versorgung dafür qualifizieren.

Eben diese Betreiber kritischer Infrastrukturen müssen abhängig von ihrer Einstufung eine Versicherung zur Deckung von Schäden im Zusammenhang mit IT-Sicherheitsvorfällen abschließen, die beispielsweise durch Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit von informationstechnischen Systemen entstehen können. Die Versicherung muss dabei in der Lage sein, die Kosten für die Wiederherstellung des IT-Systems sowie für Betriebsunterbrechungen und den entstandenen Vermögensschaden zu übernehmen.

Feuer und Flamme

Je nach individuellem Risikoprofil des RZs sind die Verantwortlichen möglicherweise auch bereits aus freien Stücken „Feuer und Flamme“ für erweiterten Versicherungsschutz. Besonders relevant für Rechenzentrumsbetreiber sind die Elektronikversicherung und die Cyber-Versicherung.

Eine Elektronikversicherung für Rechenzentren deckt in der Regel Schäden ab, die durch Feuer, Blitzschlag, Explosion, Wasser (einschließlich Leitungswasser), unsachgemäße Handhabung, Bedienungsfehler (auch etwa durch Wartungstechniker), Vorsatz Dritter – jedoch nicht Vorsatz des Versicherungsnehmers oder seiner Vertreter –, Überspannung, Konstruktions-, Material- oder Ausführungsfehler, Diebstahl, Raub und Plünderung entstehen. Nicht versichert sind Kriegsereignisse, innere Unruhen und Erdbeben.

Mit einer Daten- und Softwareversicherung sind Ereignisse abgedeckt, sofern der Verlust, die Veränderung oder die Nichtverfügbarkeit von Daten oder Programmen eingetreten sind, wie Schaden am Datenträger, Blitzeinwirkung oder Ausfall des Speichersystems. Die Summe der Entschädigung setzt sich zusammen aus zeitabhängiger Mietkosten für die Nutzung anderer Einrichtungen, die Anwendung anderer Arbeitsverfahren, externe Dienstleistungen sowie zeitunabhängige Mehrkosten wie einmalige Umrüstung, Umprogrammierung oder dergleichen andere Maßnahmen.

Cyber-Gefahren

Eine Cyber-Versicherung für ein Rechenzentrum zielt darauf ab, die Auswirkungen von Cyber-Sicherheitsvorfällen zu mildern. Sie kann verschiedene Risiken abdecken, die im Zusammenhang mit der Nutzung von IT-Systemen und der Speicherung von Daten in einem Rechenzentrum auftreten können. Sie umfasst typischerweise Ereignisse wie Cyber-Angriffe, Hacking, Datenverlust, Datenmissbrauch, Betriebsunterbrechungen, Rufschädigung und dergleichen anderes. Der Schadensersatz kann die Kosten für die Wiederherstellung von IT-Systemen und Daten, die Abwehr von Angriffen, Rechtsbeistand und Beratung durch IT-Sicherheitsexperten zur Aufklärung von IT-Sicherheitsvorfällen decken.

Die Deckungssumme variiert je nach Versicherungsanbieter und dem Kleingedruckten in der Police. Es empfiehlt sich, eine Cyber-Versicherung mit einem erfahrenen Versicherungsmakler oder einem Rechtsanwalt zu verhandeln, um sicherzustellen, dass sie angemessenen Schutz bietet und den individuellen Anforderungen des Rechenzentrums Genüge leistet.

Die IHK München und Oberbayern empfiehlt, zuerst diejenigen Risiken zu versichern, bei denen ein Schaden die höchsten finanziellen Folgen haben oder gar die Unternehmensexistenz bedrohen könne. Im Weiteren seien Risiken zu betrachten, bei denen Schäden mit hoher Wahrscheinlichkeit zu erwarten seien, aber das Ausmaß weniger weitreichend sein dürfte. Jedoch gilt: Je risikofreudiger ein Unternehmen ist, desto weniger Versicherungen seien angebracht und desto stärker müssten unternehmensinterne Maßnahmen und Kontrollen zum Tragen kommen, um potenzielle Risiken in den Griff zu bekommen.

Die Betriebshaftpflicht

Die Betriebshaftpflicht wird oftmals mit einer Umwelthaftpflicht kombiniert. Diese trifft bei finanziellen Schadensersatzansprüchen ein, wenn der Verursacher den Boden, Wasser und Luft verunreinigt haben sollte.

Eine Gebäudeversicherung sollte für Schäden aufkommen, die infolge von Brand, Leitungswasserschaden oder Sturm entstehen können und explizit auch Aufräumungs-, Abbruch- und Feuerlöschkosten abdecken. Wenn sich die Schäden auf das Innere ausweiten sollten, käme eine ergänzende Gebäude-Inhalteversicherung wie gerufen. Zusätzliche Frostschäden können nachträglich witterungsbedingt entstehen; auch hier gilt, eine lückenlose Police schafft von vornherein Klarheit und Vorhersehbarkeit.

Die Einbruchdiebstahlversicherung soll bei einem Einbruch für den materiellen Schaden sowie Instandsetzungskosten des Geschäftsbetriebs aufkommen. Durch die Beschäftigung von Mitarbeitern entsteht Versicherungspflicht, vor allem im Zusammenhang mit der Sozialversicherung. Bei der D&O oder 'Managerhaftpflichtversicherung' (wobei D&O für Directors & Officers steht) handelt es sich im Gegensatz dazu um eine spezielle betriebliche Haftpflichtversicherung, die das Unternehmen für ihre Geschäftsführer und Vorstände abschließt, um das Risiko der persönlichen Haftung der für das Unternehmen handelnden Personen gegenüber Dritten abzusichern.

In der Ruhe liegt die Kraft

Ob Datacenter-Ausfälle zunehmen oder nicht, hängt offenbar davon ab, wen man fragt. Zu diesem Schluss kommen jedenfalls die Analysten des Uptime Instituts in ihrem Bericht „Annual outages analysis 2023“.

Die Daten des Uptime Instituts deuten darauf hin, dass die Anzahl der Ausfälle von Jahr zu Jahr medienwirksam zunimmt. Die Analysten führen diesen Anstieg auf das anhaltende Wachstum der Rechenzentrumsbranche zurück, nicht auf Schlampigkeit. Die Brache expandiere demnach schneller, als die Ausfälle zunehmen würden. Noch eine gute Nachricht: 'signifikante', 'ernsthafte' und 'schwerwiegende' Vorfälle nehmen seit dem Jahr 2021 anteilsweise ab.

Datacenter-Ausfallanalyse 2023 des Uptime Institute

Ausfallrate sinkt langsam – Kosten pro Ausfall steigen

Diese an sich erfreuliche Tatsache hat einen Wermutstropfen: Daten über die Häufigkeit von Ausfällen und deren Dauer legen nahe, dass die tatsächliche Leistung vieler Anbieter hinter den Service-Level-Vereinbarungen (SLAs) zurückbleibt.

Die Abhängigkeit von Premium- und hoch redundanten Rechenzentren, die teilweise mit einer passiven Backup-Site trumpfen konnten, verlagert sich hin zu komplexeren, verteilten Architekturen. Obwohl sich letztere letztendlich als widerstandsfähiger erweisen könnten, sei die Branche immer erst noch dabei, zu lernen, wie sie Ausfälle in solch großen und komplexen Netzwerken handhaben könne.

Interessant sind die Ursachen der Ausfälle. Sie sind auffallend konsistent mit Erkenntnissen aus den Erhebungen in den vorangegangenen Jahren. Probleme mit der Stromversorgung vor Ort sind mit großem Abstand die häufigste Ursache für signifikante Standortausfälle.

Wie in den Vorjahren auch im Jahre 2022 alle anderen Ausfallursachen weitaus seltener auf. Es gibt jedoch drei weitere häufige Ursachen, die die Analysten als besonders besorgniserregend herausstellen: Pannen der Kühlung, Fehler in der Software/IT-Systemen und Netzwerkprobleme.

Feuer oder das Versagen von Brandschutzsystemen waren im Jahre 2022 für gerade einmal 2 Prozent aller signifikanten Datacenter-Ausfälle als primäre Ursache verantwortlich. Sicherheitsprobleme haben sich mit einem Anteil von 4 Prozent rund doppelt so oft in bedeutsamer Downtime niedergeschlagen.

Betrachtet man allerdings öffentlich gemeldete Vorfälle, zeichnet sich ein etwas anderes Bild ab. In 7 Prozent der Fälle war ein Brand der Auslöser, in 11 Prozent waren es Cyber-Attacken.

Die übrigen Probleme ließen sich mehr oder weniger als handwerkliches Missgeschick qualifizieren: Konfigurationsprobleme im Netzwerk, streikende Software, ein Zusammenbruch der Stromversorgung, unzureichende Kapazitäten, ein Versagen eines externen ITK-Dienstleisters (in rund 13% der gravierendsten Fälle auf Grund einer Cyberattacke) und derart andere.

(ID:49431017)