Cyber-Versicherung – Weil eine Cyber-Attacke jeden treffen kann

Cyberkriminalität ist mittlerweile leider kein kleines Problem mehr. Mehr als die Hälfte der deutschen Unternehmer wurde bisher Opfer einer Cyber-Attacke, die Tendenz ist im Zuge der zunehmenden Digitalisierung und Vernetzung von Unternehmen steigend. Gegen Datenverlust, Erpressung durch Schadsoftware oder ähnliche Szenarien können Unternehmer neben der Einrichtung einer sicheren IT allerdings etwas tun: nämlich eine Cyber-Versicherung abschließen, um die Folgeschäden einer Cyber-Attacke zu minimieren.

Was Cyber-Versicherungen und Cyber-Risiken sind und wogegen Sie sich schützen können (und sollten), erläutern wir Ihnen im Folgenden.

Was ist eine Cyber-Versicherung?

Jedes Unternehmen, das sich in der digitalen Welt bewegt, steht dem stetig steigenden Risiko gegenüber, Opfer einer sogenannten Cyber-Attacke zu werden. Umfassende IT-Sicherheitsmaßnahmen sind daher nicht mehr länger optional, sondern elementar – auch wenn es nie 100-prozentige Sicherheit geben kann. Das Problem: Selbst ungezielte Attacken aus dem Netz führen im Extremfall zum Ausfall der gesamten IT-Infrastruktur mit katastrophalen finanziellen Folgen. Um Folgeschäden zu minimieren, kann der Abschluss einer Cyber-Versicherung sinnvoll sein. Kommt es zu einem Angriff, zahlt die Versicherung nicht nur eine vereinbarte Entschädigung für den Umsatzausfall, sondern bietet auch Notfall-Serviceleistungen an.

Eine Cyber-Versicherung schützt Unternehmen und ihre Mitarbeiter also gegen Schäden, die durch Cyber-Angriffe entstehen können. Unter dem Begriff Cyber-Angriff werden verschiedenartige Informationssicherheitsverletzungen zusammengefasst, die sich hinsichtlich Art und Ausführung des Angriffes teilweise deutlich unterscheiden. Als Cyber-Risiken gelten insbesondere:

  • Erpressung und Datenverluste durch Ransomware
  • Datenschutzverletzungen und Ausspähen von Geschäftsgeheimnissen durch Phishing
  • Betriebsunterbrechung sowie Unterbrechung der IT-Systeme durch DoS-Angriffe

Wir haben Ihnen die wichtigsten Cyber-Risiken für Unternehmen zusammengestellt.

Eine Cyber-Versicherung sichert Unternehmen somit gegen Schäden ab, die aus diversen Cyber-Risiken entstehen; sie ist jedoch keine Investition in IT-Sicherheit, sondern vielmehr eine präventive Investition, um die durch einen möglichen Angriff entstehenden Kosten zu minimieren. Die Cyber-Versicherung hilft also nur, die finanziellen Schäden eines Angriffs zu verringern – sie verbessert jedoch nicht Ihre IT-Sicherheit und senkt auch nicht das Risiko, Opfer eines Cyber-Angriffs zu werden. Bevor Sie eine Cyber-Versicherung abschließen, sind zunächst also Investitionen in die IT-Infrastruktur zu empfehlen, um Ihre allgemeine IT-Sicherheit zu erhöhen.

Wie eine Cyber-Versicherung schützt

Jeden kann es treffen: Ende 2018 hatte die große Hotelkette Marriott für Schlagzeilen gesorgt. So wurde bekannt, dass Marriott Opfer einer Cyberattacke wurde, bei der Daten von bis zu einer halben Milliarde Gäste aus der Reservierungs-Datenbank von Starwood gestohlen wurden. Es wurden Zahlungsinformationen, Namen, E-Mail-Adressen, Telefonnummern und Passnummern gestohlen. Bei einigen Gästen seien auch verschlüsselte Kreditkartendaten betroffen gewesen.

Doch egal, ob es sich um große Konzerne oder den kleinen Handwerkerbetrieb handelt: Cyber-Angriffe können jeden treffen. Bei diesen Attacken werden – ähnlich wie im Fall Marriott – immer wieder sensible Daten gestohlen und vernichtet, Geschäftsvorgänge lahmgelegt und Geld erpresst. Besonders bei den kleineren Betrieben sitzt der Schreck nach einer Cyber-Attacke tief, denn oft stehen KMUs nicht die finanziellen und zeitlichen Ressourcen zur Verfügung, sich um den Aufbau und die Pflege einer umfassenden und sicheren IT-Infrastruktur zu kümmern, wodurch sie sich im Umkehrschluss angreifbarer für Cyber-Angriffe machen.

Solch ein Angriff hat sowohl Eigen- als auch Drittschäden zur Folge – beide werden von einer Cyber-Versicherung abgedeckt.

  • Zu den Eigenschäden zählen zum Beispiel Schäden infolge einer Betriebsunterbrechung. Hier springt die Cyber-Versicherung ein und zahlt einen individuell vereinbarten Tagessatz, um diese kritische Phase zu überbrücken. Darüber hinaus werden auch die Kosten für die Beauftragung eines IT-Forensikers zur Analyse und Bereinigung der IT-Systeme, die Wiederherstellung von Daten oder die Aufwendungen für die Beseitigung eines erlittenen Image-Schadens in der Öffentlichkeit übernommen.
  • Drittschäden sind Schäden, die aufgrund gesetzlicher Haftungsbestimmungen von einem Dritten in Anspruch genommen werden. Art und Höhe der abgedeckten Schäden sind vom Tarif, der Wahl der Zusatzoptionen und der gewünschten Versicherungssumme abhängig.

Übrigens: Kommt es zu einer Cyber-Attacke, sollten betroffene Unternehmen keine Zeit verlieren. Viele Cyber-Versicherer verfügen hierfür über eine Hotline, die 365 Tage im Jahr und rund um die Uhr für 24 Stunden erreichbar ist und so im Notfall sofort Hilfe bieten kann.

Für welche Unternehmen ist eine Cyber-Versicherung besonders sinnvoll?

Jedes Unternehmen, das elektronische Systeme zur Datenverarbeitung und Kommunikation einsetzt, ist grundsätzlich von Cyber-Risiken bedroht. Am schwersten trifft es dabei die kleinen und mittleren Betriebe. Der einfache Grund: Während Großunternehmen eigene IT-Abteilungen und umfangreiche Sicherheitsvorkehrungen unterhalten, sind KMUs in diesem Bereich oft nicht ausreichend auf Cyber-Angriffe vorbereitet und unterschätzen vielfach die Bedrohung für den eigenen Betrieb. Häufig fehlen Zeit oder Ressourcen, um sich im nötigen Umfang abzusichern. Dabei ist ein effektiver Schutz gerade für kleinere Unternehmen von hoher Bedeutung, da ein erfolgreicher Cyber-Angriff gravierende Schäden verursachen und in einigen Fällen sogar die Existenz bedrohen kann.

Was kostet eine Cyber-Versicherung bzw. wovon hängen die Kosten ab?

Die Beitragshöhe hängt wie bei jeder anderen Versicherung vom Risiko ab, das mit ihr abgedeckt werden soll. Für die Beitragshöhe spielen je nach Branche und Betrieb verschiedene Kriterien eine Rolle, weshalb ein exakter Kostenbeitrag für Ihr Unternehmen nur schwierig genannt werden kann. Einen ersten Anhaltspunkt liefern Ihnen folgende Kriterien:

  • Branche
  • Umsatzhöhe
  • Mitarbeiterzahl
  • Bestehende IT-Sicherheitsvorkehrungen
  • Bereits zurückliegende Vorfälle

Weiterhin sind die Kosten, die im Versicherungsfall übernommen werden, stark vom jeweiligen Tarif abhängig. Sie sollten deshalb genau prüfen, welcher Tarif Ihrem individuellen Risiko entspricht. Folgende Kosten, die in Verbindung mit der entstandenen Informationssicherheitsverletzung stehen, können beispielsweise erstattet werden:

  • IT-Forensik zur Analyse und Beseitigung des Schadens
  • Anzeige und Bekanntmachung von Datenrechtsverletzungen
  • Anwaltshonorare
  • Dateninhaberbenachrichtigungskosten
  • Behördliche Meldeverfahrenskosten
  • Call-Center-Kosten
  • Erstattung des Ertragsausfalls bei Betriebsunterbrechung
  • Krisenmanagement und PR-Maßnahmen
  • Übernahme von Vertragsstrafen bei Verletzung von Kreditkartenverarbeitungsvereinbarungen
  • Wiederherstellung beschädigter Software und/oder Datenbanken
  • Sicherheitsanalyse und -verbesserung

Was ist beim Abschluss einer Cyber-Versicherung zu beachten?

Auf dem deutschen Markt gibt es zahlreiche Anbieter von Cyber-Versicherungen. Der Vergleich der verschiedenen Cyber-Versicherungen ist dabei nicht immer einfach, denn diese variieren mitunter stark. Zudem sind die Policen häufig in Modulen aufgebaut, sodass es umso wichtiger ist, die Angebote der Versicherer auf die individuelle Unternehmensstruktur hin zu prüfen, um das optimale Angebot zu ermitteln. Weiterhin sollten Sie vor Abschluss einer Cyber-Versicherung auch auf die entsprechenden Mindest-Voraussetzungen des Versicherers beachten sowie Ihren Bedarf im Vorhinein ermitteln.

Welche Voraussetzungen muss man mitbringen?

Bei jedem Anbieter von Cyber-Versicherungen können Sie die entsprechenden Versicherungsbedingungen einsehen und dann selbst einschätzen, ob Sie diese Voraussetzungen erfüllen oder vor Versicherungsabschluss ohnehin noch nachbessern müssen. Zu den grundlegenden Mindest-Voraussetzungen gehören jedoch:

  • Virenschutz: Alle Geräte im Unternehmen müssen mit aktuellster Anti-Viren-Software ausgestattet sein.
  • Firewall: Zur Sicherung der ein- und ausgehenden Kommunikation und Unterdrückung unerwünschter Verbindungen benötigen Sie eine leistungsstarke Firewall.
  • Zugriffsrechte: Um Löschung/Missbrauch interner Daten zu verhindern, müssen allen Mitarbeitern klare Zugriffsrechte zugewiesen werden.
  • Back-ups: Regelmäßige Back-ups auf externe, nicht durch Kabel oder WLAN verbundene Systeme ist Pflicht, denn nur so kann das System im Schadensfall schnell wiederhergestellt werden.

Jede Cyber-Versicherung analysiert vor Vertragsabschluss den neuen Kunden zudem genauestens. So wird umfangreich geprüft, ob der Kunde sein Möglichstes getan hat, um Cyber-Angriffen entgegenzuwirken. Folgende Aspekte werden bei Versicherungsanfragen durchleuchtet:

  • Branche (Bearbeitung von personenbezogenen Daten/Finanzsektor o. Ä.)
  • Lokalisation (national/international tätig)
  • Mitarbeiteranzahl
  • Kunden (privat/Handel/Staat)
  • Technik (IT-Infrastruktur)
  • Zertifizierungen o. Ä.
  • Sicherheitsmaßnahmen
  • Umsetzung gesetzlicher Vorgaben (DSGVO o. Ä.)
  • Krisenmanagement

Durch diese Analyse kann der Versicherer einen umfangreichen Einblick zum unternehmensinternen Risiko, Opfer eines Cyber-Angriffs zu werden, gewinnen. Im Anschluss an diese Analyse werden zudem noch sogenannte Pen-Tests (von Penetration i. S. v. Durchlässigkeit des Sicherheitssystems) durchgeführt, die eventuelle Schwachstellen der IT offenlegen. Zu guter Letzt werden noch vergangene Vorfälle in puncto IT-Sicherheit in Betracht gezogen. All diese Aspekte werden schlussendlich dazu verwendet, die Police individuell an die Risikokalkulation anzupassen – im schlimmsten Fall sieht die Versicherung von einem Vertragsabschluss ab und Sie müssen erst einmal deutlich nachbessern.

    Wie ermittelt man den Bedarf für eine Cyber-Versicherung?

    Hier ist es wichtig, dass Sie sich der Sicherheitsrisiken in Ihrem Unternehmen bewusst sind. Stellen Sie sich selbst die folgenden Fragen:

    • Wie umfangreich will ich mich gegen die verschiedenen Formen von Cyber-Angriffen absichern, d. h. welche Angriffswege sollen abgedeckt sein?
    • Welche zusätzlichen Dienstleistungen sind mir bei Eintritt eines Schadensereignisses wichtig?
    • Bis zu welcher Schadenshöhe will ich mich absichern?
    • Arbeite ich mit sensiblen Kundendaten, brauche ich also eine Abdeckung für Drittschäden oder genügt mir ein Schutz gegen Eigenschäden?

    Fazit: Cyber-Versicherung – Eine sinnvolle Ergänzung?

    Grundsätzlich sollten in jedem Unternehmen größtmögliche Sicherheitsvorkehrungen bezüglich der IT getroffen werden. Denn ohne eine gute IT bringt Ihnen auch die beste Cyber-Versicherung nichts, da diese Sie nur nach einer Cyber-Attacke und nicht davor schützt. Da die Folgen einer Cyber-Attacke verheerend sein und bei kleinen Unternehmen sogar existenzbedrohendes Ausmaß annehmen können, ist eine Cyber-Versicherung ein effektiver und sinnvoller Baustein in Ihrem ganzheitlichen Risikomanagement – denn nur so können Sie sich und Ihr Unternehmen gegen die nur schwer kalkulierbaren Folgeschäden eines Cyber-Angriffs absichern.

    Vergleichen Sie vor Abschluss einer Cyber-Versicherung die jeweiligen Anbieter im Detail und prüfen Sie auch, ob für Ihr Unternehmen ein Versicherungsbedarf für andere mögliche Betriebsrisiken besteht; eine Berufshaftspflichtversicherung deckt beispielsweise ebenfalls einige Schadensansprüche nach Cyber-Attacken ab.