IT-Sicherheit

Cyberversicherung für Unternehmen

Das ist bei der Cybercrime-Versicherung zu beachten

von 24.01.2022
Zu sehen ist ein Laptop im Sonnenlicht. Es geht um das Thema Cyberversicherung. Bild: Pexels/Lukas
Bedeutet eine Cyberversicherung im Ernstfall die Rettung? Bild: Pexels/Lukas

Die Zahl von Cyberangriffen steigt, die Nachfrage nach einer Cyberversicherung ebenfalls. Allerdings: Eine Cyberversicherung für Unternehmen ist zwar sinnvoll; sie ist aber nicht immer die Rettung. 

Wir erklären, was eine Cyberversicherung ist und was Unternehmen dabei beachten müssen.

Inhaltsverzeichnisexpand_more
  1. Cybercrime: steigende Bedrohung
  2. Was ist eine Cyberversicherung?
  3. Ist eine Cyberversicherung sinnvoll?
  4. Cyber-Versicherung: Standard-Leistungen
  5. Versicherungen reagieren auf Cyberattacken
  6. Kriterienkatalog für Cyberversicherung
  7. Mit IT-Experten zur Cyber-Versicherung

Cybercrime: steigende Bedrohung

Der Branchenverband Bitkom untersucht jedes Jahr aufs Neue, wie groß der wirtschaftliche Schaden ist, den Unternehmen durch Datendiebstahl, Sabotage und Industriespionage entstehen. Im Zeitraum von August 2023 bis Juli 2024 waren es insgesamt 267 Milliarden Euro. Dabei gingen mehr als zwei Drittel des gesamten Schadens – nämlich 178,6 Milliarden Euro – speziell auf das Konto von Cyberattacken. Zum Vergleich: Im Vorjahr fiel der durch Cyberangriffe verursachte Schaden mit 148,2 Milliarden Euro noch deutlich geringer aus. Der Grund dafür: Quantität und Qualität der Attacken steigen.

Um es kurz und knapp zusammenfassenden: Cybercrime stellt eine steigende Bedrohung für Unternehmen dar. Dementsprechend hat auch die Nachfrage nach sogenannten Cyberversicherungen (auch: Cyber-Versicherungen) einen ordentlichen Schub bekommen. Unternehmen wollen sich mit dem Abschluss einer solchen Cyberversicherung vor der Bedrohung durch Cyberangriffe absichern. Allerdings dürfen sich Unternehmen nicht völlig darauf verlassen. Denn: Auch IT-Security-Versicherungen reagieren auf die neue Situation und passen ihre Kriterienkataloge an die gestiegene Bedrohungslage an. Für Unternehmen gilt es, diese Kriterien zu erfüllen.

Aber was ist eine Cyberversicherung genau? Ist eine Cyber-Versicherung sinnvoll? Und was gilt es bei einer Cyberversicherung für Unternehmen zu beachten? Wir geben Antworten!

Zu sehen ist eine Büroszene mit Mitarbeitern am PC. Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Was ist eine Cyberversicherung?

Eine Cyberversicherung ist – wie alle anderen Versicherungen auch – dazu da, im Schadensfall die finanziellen Folgen für den Geschädigten zu begrenzen. Die Spezifikation dabei ist es, dass der Schadensfall durch einen Hacker- und Cyberangriff ausgelöst wird.

Vor dem Hintergrund einer zunehmenden Anzahl an Cyberattacken wird das Risiko eines solchen Schadensfalls für Unternehmen derzeit immer größer. Zur Veranschaulichung: Laut bitkom haben 80 Prozent der Unternehmen zwischen August 2023 und Juli 2024 eine Zunahme an Cyberattacken verzeichnet – und sie gehen davon aus, dass sich dies noch weiter steigern wird. Kein Wunder also, dass sich immer mehr Unternehmen mit einer Cyberversicherung absichern wollen und dass es sich bei Cyberversicherungen inzwischen um einen Milliardenmarkt handelt.

Der weltweit größte Rückversicherer Munich Re, früher als Münchener Rück bekannt, geht davon aus, dass dieser Markt bis 2025 ein Wachstum auf 20 Milliarden Dollar hinlegen wird. Björn Blender, Leiter Maklervertrieb bei der Plattform CyberDirekt, vermutet sogar, dass die Cyber-Versicherung die Kfz-Versicherung zukünftig als volumenstärkste Sparte ablösen könnte. Der Versicherungsmarkt hat sich darauf bereits eingestellt: Inzwischen tummeln sich zahlreiche Anbieter am Markt, mit sehr unterschiedlichen Tarifen in Bezug auf Preis und Leistung.

Ist eine Cyberversicherung sinnvoll?

Es ist bereits angeklungen: Vor allem vor dem Hintergrund der steigenden Bedrohung durch Cyberattacken ist der Abschluss einer Cyberversicherung sinnvoll. Schließlich sind die Folgen einer solchen Attacke weitreichend. Es kann zu Betriebs- und Produktionsausfällen, zu Datenverschlüsselung und Datendiebstahl, zu Datenschutzverstößen und Imageverlusten kommen. Unterm Strich sind finanzielle Schäden die Konsequenz. Eine Cyberversicherung macht dementsprechend Sinn, denn viele dieser möglichen Folgen deckt sie mit den Standard-Leistungen ab. Dazu gehen wir nachfolgend noch ausführlicher sein.

Nicht zu vergessen ist dabei allerdings, dass sich Unternehmen nicht allein auf die Cyberversicherung verlassen sollten. Der Grund dafür ist, dass so eine Versicherung viele grundlegende Probleme nicht verhindert. Dazu zählt beispielsweise der Reputationsverlust, den Unternehmen erleiden, wenn ein erfolgreicher Cyberangriff publik wird; und dazu gehört auch, dass bei einem Datendiebstahl auch eine Cyberversicherung nicht davor schützt, dass die Daten möglicherweise im Darkweb verkauft werden.

Das wiederum bedeutet, dass die IT-Sicherheit auch beim Abschluss einer Cyberversicherung keinesfalls zu vernachlässigen ist. Eine IT-Security-Versicherung ist also lediglich als zusätzlicher Schutz zu verstehen. Das zeigt auch der Blick auf die Standard-Leistungen.

Eine Frau arbeitet am Laptop im Home Office. Der Anbieter der Cyberversicherung wünscht eine sichere Verbindung. Bild: Pexels/George Milton

Anbieter von Cyberversicherungen achten auch auf sichere Verbindungen aus dem Home Office. Bild: Pexels/George Milton

Cyber-Versicherung: Standard-Leistungen

Wie erwähnt, variieren die Leistungen der verschiedenen Cyberversicherungen am Markt je nach Anbieter. Es gibt aber einige Leistungen, die bei Cyber-Versicherungen sozusagen Standard sind. Hier ein kurzer und knapper Überblick:

  • Entschädigung bei wirtschaftlichen Verlusten durch Betriebsausfälle
  • Erstattung der Kosten für Daten- und Systemwiederherstellung
  • Übernahme von Drittschäden (z.B. Schadensersatzforderungen durch Kunden)
  • Bezahlung der Kosten durch den Einsatz von IT-Forensik-Experten zur Analyse, Beweissicherung und Schadensbegrenzung
  • Erstattung der Kosten für eine Rechtsberatung durch Anwälte für IT- und Datenschutzrecht bei Datenschutzverstößen
  • Bezahlung für PR-Spezialisten für Krisenkommunikation zur Eindämmung des Image-Schadens

Was dagegen in der Regel nicht abgedeckt wird, sind potentiell entgangene Gewinne, finanzielle Schäden durch den Verlust von geistigem Eigentum, Kosten zur Wiederherstellung der Reputation sowie Kosten zur Verbesserung der internen IT als Reaktion auf einen Hackerangriff.

Versicherungen reagieren auf Cyberattacken

Die erhöhte Anzahl an Cyberattacken bekommen natürlich auch die Versicherer zu spüren: Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) mussten die zuständigen Versicherer im Jahr 2023 rund 180 Millionen Euro für Schäden durch Cyberangriffe zahlen – eine Steigerung um rund 50 Prozent im Vergleich zum Vorjahr. Insgesamt wurden etwa 4.000 Angriffe gemeldet, fast 19 Prozent mehr als im Jahr 2022. Besonders alarmierend: Der durchschnittliche Schaden pro Angriff stieg auf rund 45.370 Euro, ein Zuwachs von mehr als 8 Prozent.

Dabei ist laut GDV auch zu beobachten, dass mehr als zwei Drittel der befragten Firmen nicht einmal die Basisanforderungen an die IT-Sicherheit erfüllen – etwa bei der sicheren Aufbewahrung von Backups oder der Nutzung starker Passwörter. Solche gravierenden IT-Sicherheitslücken, besonders im Mittelstand, sind in der in der heutigen Zeit natürlich ein No-Go. Und da Versicherungen angesichts der gestiegenen Schadenssummen zunehmen an ihre Grenzen stoßen und die Prämieneinnahmen der Versicherungen nur noch gerade so die wachsenden Schäden decken, werden die IT-Security-Versicherungspolicen entsprechend angepasst.

Hier sind vor allem drei Bereiche zu nennen. Erstens: Beim Abschluss schauen die Versicherer im Zuge eines Sicherheitsaudits nun noch genauer hin und prüfen, ob Unternehmen ihren Kriterienkatalog erfüllen. Zweitens: Im Schadensfall wird häufig noch einmal eingehend bewertet, ob die gestellten Kriterien auch nach dem Abschluss der Versicherung durch das Unternehmen eingehalten worden sind. Drittens: Einige Versicherer ziehen die Versicherungsbeiträge deutlich an.

Ein Mann arbeitet am Laptop. Sein Unternehmen nutzt eine Cyberversicherung. Bild: Pexels/Kampus Production

Sind alle Kriterien für eine Cyberversicherung erfüllt? Die Versicherer achten darauf. Bild: Pexels/Kampus Production

Kriterienkatalog für Cyberversicherung

Stellt sich die Frage, welche Kriterien Unternehmen erfüllen müssen, um eine Cyberversicherung abschließen zu können. Bevor wir diese Kriterien auflisten, sei gesagt: Die Liste ist lang – und wird immer länger. Hier unsere Übersicht über die wichtigsten Punkte:

  • Backups:
    Unternehmen müssen vorweisen können, dass sie regelmäßig Sicherheitskopien ihrer Unternehmensdaten erstellen. Diese Kopien sind grundlegend dafür, nach einem erfolgreichen Hackerangriff verschlüsselte Daten wiederherstellen zu können. Dabei prüfen die Versicherungen auch, ob die Backups verschlüsselt und getrennt vom eigentlichen Netzwerk aufbewahrt werden. Auch die Frage danach, ob Backups offline oder in der Cloud hinterlegt sind, wird häufig gestellt.
  • Wiederherstellung:
    Hinsichtlich der Backups prüfen Versicherungen inzwischen auch, ob Unternehmen den Wiederherstellungsprozess beherrschen. Ziel dessen ist es, dass Unternehmen die Wiederherstellung im Ernstfall schnell durchführen können. Unternehmen sollten dafür einen Notfallwiederherstellungsplan vorhalten können.
  • Zwei-Faktor-Authentifizierung:
    Mit der Zwei-Faktor-Authentifizierung soll sichergestellt weren, dass nur befugte Nutzer per Fernzugriff auf das Firmennetzwerk zugreifen können. Auch für den Fall, dass Mitarbeiter von privaten Geräten auf ihr berufliches E-Mail-Konto zugreifen, verlangen Versicherer die Absicherung durch eine Zwei-Faktor-Authentifizierung. Zudem wird empfohlen, für externe Finanztransaktionen oder für Änderungen von Kontodaten die Zwei-Faktor-Authentifizierung zu implementieren.
  • Früherkennung:
    Anbieter von Cyberversicherungen legen Wert darauf, dass Unternehmen Systeme zur Früherkennung von Cyberangriffen einsetzen – sogenannte Intrusion-Detection- und Intrusion-Prevention-Systeme. Zudem gehören Antivirensoftware, die regelmäßige Suche nach veralteter Software und ein Rechte-Management zum Pflichtprogramm.
  • Mitarbeitersensibilisierung:
    Damit die „Schwachstelle Mensch“ nicht zum Einfallstor für Hackerangriffe wird, empfehlen immer mehr Versicherer, Schulungen zur Mitarbeitersensibilisierung durchzuführen. Ziel ist es, die Security Awareness zu verbessern.
  • Office 365:
    Unternehmen, die Office 365 einsetzen, sind dazu angehalten Office 365 Advanced Threat Protection einzusetzen. Und auch hier sind die Zugänge der Mitarbeiter durch die Zwei-Faktor-Authentifizierung abzusichern.

Die Kriterienliste ist also recht lang. Und jetzt Hand aufs Herz: Können Sie die einzelnen Punkte für Ihr Unternehmen problemlos abhaken? Oder sehen Sie noch Handlungsbedarf?

Mit IT-Experten zur Cyber-Versicherung

Falls aus Ihrer oder der Sicht einer Versicherungsgesellschaft noch ein solcher Handlungsbedarf bestehen sollte, können Sie sich ganz einfach Hilfe zur Seite holen. Denn: Es gibt spezialisierte IT-Dienstleister, die IT-Sicherheit im Allgemeinen und die zuvor genannten Kriterien im Besonderen für ihre Unternehmenskunden kompetent realisieren.

Fündig werden Sie bei der Suche nach solchen IT-Fachleuten zum Beispiel bei uns im IT-SERVICE.NETWORK. Bundesweit sind unserem Netzwerk mehr als 400 IT-Systemhäuser angeschlossen. Sie alle haben sich auf Firmenkunden fokussiert. Wir können Ihnen versichern: Sicherlich ist auch ganz in Ihrer Nähe ein Experte aus dem IT-SERVICE.NETWORK ansässig – nutzen Sie für Ihre Recherche ganz einfach unsere Dienstleistersuche.

Übrigens: Viele der IT-Systemhäuser in unserem Netzwerk arbeiten auch mit Anbietern von Cyberversicherungen zusammen und können Ihnen die entsprechenden Kontakte vermitteln. Klingt interessant? Dann melden Sie sich bei uns!

Weiterführende Links:
bitkom, SZ, tagesschau, Versicherungswirtschaft HEUTE, Versicherungsbote, CyberDirekt, gdv, Security Insider, Security Insider

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen