IT Prozesse

Cyberversicherung für Unternehmen – sinnvoll oder nicht?

12

.

03

.

2024

12

 min Lesezeit

Eine Frau im dunklen Raum vor dem Computerbildschirm mit Reflexion von Programmiercode auf ihrer Brille.

Durch die zunehmend digitale und cloudbasierte Arbeit in Unternehmen steigt neben der Flexibilität auch das Risiko für Cyberattacken. Je mehr Daten digital verarbeitet werden, desto größer ist auch die Angriffsfläche. Aufgrund der angespannteren IT-Sicherheitslage nehmen Cyberversicherungen für Unternehmen eine immer zentralere Bedeutung an. Denn: Cyberangriffe häufen sich und richten immer größeren finanziellen Schaden an. Besonders auch für kleine und mittelständische Unternehmen, die sich über lange Zeit sicher geglaubt haben, ist die Lage angespannter, so der BSI-Bericht zur Lage der IT-Sicherheit.  

Eine Cyberversicherung sichert Unternehmen gegen die finanziellen Folgen von Cyberangriffen ab. Sie gilt demnach heute als zentraler Bestandteil des Risikomanagements in Unternehmen. Es gelten allerdings Bedingungen rund um die Cyberversicherung, die sowohl organisatorische als auch technische Maßnahmen für die IT-Sicherheit erfordern. Wie eine Cybersicherung funktioniert, welche Fälle sie abdeckt, wie die Anforderungen aussehen und wie Unternehmen eine zu ihnen passende Versicherung finden, erklärt dieser Artikel.

Die immer größere Bedeutung der Cybersicherheit aufgrund der aktuellen Bedrohungslage  

Laut einer Befragung von Bitkom liegt der durchschnittliche jährliche Schaden durch Cyberattacken auf Unternehmen in Deutschland bei 203 Milliarden Euro. Fast 900 Cyberangriffe gab es allein im ersten Quartal 2023 im wöchentlichen Durchschnitt. Zwar ist nur ein Bruchteil dieser Attacken erfolgreich, die Folgen eines erfolgreichen Angriffs können jedoch weitreichend sein:  

  • Datenverluste
  • Finanzielle Schäden
  • Imageschäden
  • Einschränkung der Geschäftskontinuität

Umso relevanter wird demnach das Thema Cybersicherheit in jedem Unternehmen. Während das Risiko für Hackerangriffe immer weiter steigt, nehmen auch die die digitalen Abhängigkeiten vieler Unternehmen zu. Die digitale Verarbeitung von Daten, digitale Dienstleistungen und IT-Strukturen in der Cloud werden in immer mehr Firmen zum Standard. Eine zuverlässige Absicherung für den Ernstfall wird neben der Prävention durch IT-Sicherheitsmaßnahmen demnach immer wichtiger – an dieser Stelle kommt die Cyberversicherung ins Spiel.  

Was versichert eine Cyberversicherung?  

Eine Cyberversicherung ist dazu da, die Folgen eines Cyberangriffs finanziell abzufedern. Dabei unterscheiden viele Cyberversicherungen zwischen zwei Kategorien.  

  • Cyber-Eigenschadenabdeckung: Dem versicherten Unternehmen wird ein finanzieller Schaden durch einen Angriff zugefügt.  
  • Cyber-Haftpflichtversicherung: Ein anderes Unternehmen fordert Schadensersatz, weil ihm das versicherte Unternehmen einen Schaden zugefügt hat, etwa durch eine virenbehaftete Mail

Dabei können sowohl alle Mitarbeiter des Unternehmens selbst als auch freie Mitarbeiter und Subunternehmer versichert werden. Auch die Arbeit im Homeoffice kann weltweit abgesichert werden. Typische Leistungen einer Cyberversicherung umfassen beispielsweise diese Bereiche:  

  • Finanzielle und personelle Unterstützung bei Datenverlust
  • Übernahme von Vermögensschäden, die Dritten zugefügt wurden
  • Übernahme von Kosten für IT-Experten und -Forensiker
  • Übernahme von durch Erpressung verursachten Schäden
  • Virtuelle Unterstützung durch Spezialisten im Akutfall
  • Unterstützung durch Krisenmanager und PR-Experten
  • Übernahme gerichtlicher sowie außergerichtlicher Kosten
  • Schutz vor Bußgeldern gemäß DSGVO

Die meisten Cyberversicherungen beinhalten standardmäßig die Eigenschadendeckung sowie die Haftpflichtversicherung. Wer sich zusätzlich gegen die Folgen einer möglichen Betriebsunterbrechung absichern möchte, kann entsprechende Leistungen individuell hinzubuchen. Deckungssummen hängen in der Regel vom Jahresumsatz des Unternehmens ab – je höher der Umsatz, desto höher sollte auch die Versicherungssumme vereinbart werden.  

Infografik mit Bestandteilen einer Cyberversicherung

Ist eine Cyberversicherung für jedes Unternehmen notwendig?

Bei einer Cyberversicherung handelt es sich um keine Pflichtversicherung für Unternehmen. Grundsätzlich ist das Modell noch vergleichsweise neu, da die Risiken für Cyberangriffe erst in den letzten Jahren massiv zugenommen haben. Dennoch bietet eine solche Versicherung einen so umfassenden Cyberschutz, dass nahezu jedes Unternehmen von ihr profitiert – unabhängig von Größe und Branche. Denn mittlerweile kann ein Cyberangriff jedes Unternehmen treffen. Das Argument „Wir sind zu klein dafür“ gilt bereits seit einigen Jahren nicht mehr. Allerdings kann eine Cyberversicherung immer nur ein Baustein der IT-Sicherheit eines Unternehmens sein. Abwehrende und präventive Maßnahmen sind nicht nur für Firmen selbst unumgänglich, sondern mittlerweile bei den meisten Versicherungen Bedingung im Schadensfall.  

Voraussetzungen für den Abschluss einer Cyberversicherung  

Wer eine Cyberversicherung abschließen möchte, muss sich im ersten Schritt zwangsläufig mit dem Stand der eigenen IT-Sicherheit auseinandersetzen. Denn: Eine Cyberversicherung ist kein Ersatz für proaktives Sicherheitsmanagement der IT. Vielmehr sind auch die Auflagen der Versicherungsunternehmen an organisatorische und technische Sicherheitsmaßnahmen in den letzten Jahren zunehmend strenger geworden. Je nach Vertrag umfassen die technischen Anforderungen folgende Bereiche:  

  • Geräteinventarisierung  
  • Patch Management mit Update Zielen (z.B. innerhalb von 7 Tagen)
  • Mobile Device Management bei Verwendung mobiler Geräte mit Firmeninformationen
  • Anti-Malware Protection
  • Backup Dienste
  • Firewall Einstellungen
  • Identity & Access Management  
  • Multi Faktor Authentifizierung
  • granulare Berechtigungsstrukturen für Mitarbeiter-Konten  
  • starke Passwörter

Zusätzlich gibt es meist Auflagen für organisatorische Maßnahmen im Cyberschutz wie etwa die Erstellung eines Krisenplans oder eines Handlungsplans bei Sicherheitsvorfällen. Auch regelmäßige Schulungen und Awareness-Trainings, etwa in Form von Phishing-Simulationen, können Teil der Bedingungen sein. Bei der Zusammenstellung dieser Maßnahmen stehen jedoch auch viele Anbieter der Cybercrime Versicherung unterstützend zur Seite.  

Erklärungen, Hintergründe und Tipps für Unternehmen rund um ihre IT-Sicherheit und die Umsetzung technischer sowie organisatorischer Maßnahmen umfasst unser Ratgeber IT-Sicherheit in Unternehmen.

Zusammengefasst bedeutet das: Es ist die Aufgabe eines jeden Unternehmens, umfassende IT-Sicherheitsmaßnahmen zum Schutz zu etablieren. Erst, wenn dieser Schutz im Ernstfall versagt, greift eine Cyberversicherung ein. Ein Risikomanagementsystem sowie spezifische Sicherheitskonzepte, die auf das Unternehmen zugeschnitten sind, sind damit unumgänglich – allerdings nicht nur aufgrund der Anforderungen einer Versicherung, sondern auch aus Eigeninteresse. Denn die Versicherung dient ausschließlich dazu, den finanziellen Schaden eines Cyberangriffs abzufedern. Verlorene Daten, beschädigte Strukturen und der mögliche Imageschaden bleiben auch bei Versicherungsschutz bestehen.  

Wie sehen typische Cyberschadensfälle und Versicherungsfälle aus?

Ein Versicherungsfall kann durch verschiedene Arten von Cyberattacken entstehen. Einige der häufigeren Schadensfälle haben wir hier zusammengestellt.  

  • Datenverlust durch gestohlenes Gerät: Auf einer Dienstreise wird einem Mitarbeiter sein Laptop geklaut. Hierauf gespeichert waren sensible Kundendaten, die jetzt missbräuchlich genutzt werden können. Das Unternehmen muss diesen Datenverlust an seine Kunden melden. Die Folgen daraus können Vertrauensverlust sowie Schadensersatzforderungen bei Datenmissbrauch sein. Eine Cyberversicherung unterstützt bei der öffentlichen Kommunikation, der rechtlichen Beratung und dem finanziellen Schaden.  
  • Cyber-Erpressung: Durch einen schädlichen Link kann ein Trojaner den Laptop eines Mitarbeiters befallen, über seinen Zugang auf alle Unternehmensdaten zugreifen, diese verschlüsseln und unbemerkt das gesamte Firmennetz befallen. Das Unternehmen wird erpresst: Die Daten werden erst nach erfolgter Zahlung eines hohen Lösegelds in Form von Kryptowährungen wieder freigegeben. Die Cyberversicherung unterstützt in diesem Fall mit IT-Spezialisten, die den Trojaner entfernen, die Daten entschlüsseln oder alternativ aus vorhandenen Backups einspielen. Vor allem der Ausfall der Geschäftskontinuität ist hier ein Risiko für das Unternehmen, kann allerdings durch die Cyber-Betriebsunterbrechung finanziell abgesichert werden.  

Eine besondere Gefahr für diese Art der Cyberangriffe geht von sogenannten Schattengeräten aus – nicht verwaltete Endgeräte, die der IT nicht bekannt sind und sich dennoch in das Firmennetzwerk einwählen. Ist ein solches Gerät befallen, kann sich ein Trojaner oder Virus unbemerkt im Netzwerk ausbreiten.

  • Phishing: Phishing-Mails sind eine der häufigsten Cyberattacken, die aktuell eingesetzt werden. Beispielsweise erhält ein Mitarbeiter aus dem Rechnungswesen eine Mail, in der er seine Daten bei einer Bank durch Klick auf einen Link überprüfen soll. Da es sich um eine gefälschte Website handelt, werden seine Login-Daten abgefangen und können im Anschluss von den Betrügern verwendet werden. Dem Unternehmen entsteht vor allem ein finanzieller Schaden, sobald Betrüger die Zugangsdaten für ihre Zwecke nutzen.  

So finden Unternehmen die passende Cyberversicherung  

Wie bei jeder anderen Versicherung gilt auch bei der Cybersecurity Versicherung: Informieren Sie sich umfassend, was Sie benötigen und welches Unternehmen welche Leistungen bietet. Wir haben 5 Tipps zusammengestellt, die Ihnen bei der Wahl der richtigen Cyberversicherung helfen:  

Unabhängige Recherche

Um Ihren Bedarf zu definieren und sich einen Überblick zu verschaffen, ist es sinnvoll, zunächst unabhängig eine eigene Recherche durchzuführen. Für die abschließende Auswahl des passenden Versicherers empfiehlt sich die Beauftragung eines sachkundigen Versicherungsmaklers mit Spezialisierung. Um potenzielle Befangenheit auszuschließen, sollte der Makler auf Honorarbasis statt provisionsbasiert arbeiten. Alternativ ist zudem die Beauftragung eines Cybersecurity Experten oder Unternehmens empfehlenswert. Dieses nimmt eine Prüfung vor und kann Empfehlungen hinsichtlich Versicherungen aussprechen.

Versicherungssumme & Selbstbeteiligung

Definieren Sie die nötige Versicherungssumme und achten Sie bei der Auswahl auf die Selbstbeteiligung, die der Anbieter veranschlagt. Die Versicherungssumme orientiert sich in der Regel am Unternehmensumsatz. Wichtig: Berücksichtigen Sie bei der Deckungssumme nicht nur direkte Schäden wie Reparatur und Wiederherstellung, sondern auch langfristige Folgeschäden wie Datenverlust, Störung der Geschäftskontinuität oder Projektausfall mit finanziellen Schäden, ebenso wie Kosten für die PR-Krisenkommunikation im Ernstfall.

Prävention & Leistungsupdates

Viele Versicherungen bieten ihren Versicherten Unterstützung bei präventiven Maßnahmen wie Cybertrainings der Mitarbeiter oder Krisenplänen an. So können Sie sich sicher sein, dass Sie die von der Versicherung vorgegebenen Voraussetzungen für den Schadensfall erfüllen. Außerdem: Achten Sie darauf, dass Sie von Leistungsupdates profitieren und eine entsprechende Garantie im Versicherungsvertrag festgehalten ist.  

Bedingungen & Auflagen lesen und verstehen

Der wahrscheinlich wichtigste Tipp rund um die Cybercrime Versicherung lautet: Nehmen Sie sich Zeit, die Versicherungsbedingungen und Auflagen gründlich zu lesen und zu verstehen. Hier kann es auch sinnvoll sein, sich durch externe Experten oder einen Versicherungsmakler beraten zu lassen.  

Prüfung der aktuellen IT-Sicherheitsmaßnahmen

Vor Abschluss einer Cyberversicherung sollten Sie sich unbedingt externe Beratung zur Umsetzung der technischen und organisatorischen Maßnahmen einholen. Diese Beratung kann durch einen IT-Dienstleister durchgeführt werden, der ein Cybersecurity Assessment zur Prüfung der bestehenden Sicherheitsmaßnahmen durchführt. Neben der Versicherbarkeit kann er zusätzlich die technischen Auflagen des Anbieters überprüfen.  

Die Cyberversicherung als wichtige Säule des IT-Risikomanagements

Die heutige digitale und vernetzte Geschäftswelt erfordert immer mehr präventive Maßnahmen rund um die Cybersicherheit. Ein durchdachtes Risikomanagement bildet die zentrale Grundlage für die IT-Sicherheit jedes Unternehmens. Neben organisatorischen und technischen Maßnahmen wie der Erstellung eines Krisenplans für Sicherheitsvorfälle, konsequenter Multi-Faktor-Authentifizierung oder Anti-Malware-Protection nimmt eine Cybersecurity Versicherung als Absicherung für den Ernstfall eine zentrale Rolle ein. Sie federt finanzielle Schäden ab und bietet Unterstützung bei der Wiederherstellung von Daten sowie der PR-Kommunikation mit der Öffentlichkeit und den Kunden.

Unabhängig von Größe und Branche des Unternehmens ist es heute demnach sinnvoll, eine Cyberversicherung abzuschließen. Wichtig ist jedoch, im Vorfeld gründlich zu recherchieren und eine Versicherung zu finden, die zu den individuellen Anforderungen des Unternehmens passt.  

ÜBER DEN AUTOR / DIE AUTORIN

Tobias Linden

Seit 2019 ist Tobias als Geschäftsführer bei der computech GmbH im Bereich Marketing, Produktentwicklung und New Business Development tätig. Aufgrund seiner beruflichen Erfahrung im Bereich Design und Marketing, insbesondere im UX/UI Design, liegt Tobias die Arbeit mit Menschen zur Schaffung von digitalen Lösungen am Herzen. Im firmeneigenen Blog teilt er Tipps, Erfahrungen und Einblicke aus dem prozessorientierten IT Bereich, um Digitalisierung zugänglicher und verständlicher zu machen.