IT-Sicherheit

Cyberversicherung für Unternehmen

Das ist bei der Cybercrime-Versicherung zu beachten

von 24.01.2022
Zu sehen ist ein Laptop im Sonnenlicht. Es geht um das Thema Cyberversicherung. Bild: Pexels/Lukas
Bedeutet eine Cyberversicherung im Ernstfall die Rettung? Bild: Pexels/Lukas

Die Zahl von Cyberangriffen steigt, die Nachfrage nach einer Cyberversicherung ebenfalls. Allerdings: Eine Cyberversicherung für Unternehmen ist zwar sinnvoll; sie ist aber nicht immer die Rettung. 

Wir erklären, was eine Cyberversicherung ist und was Unternehmen dabei beachten müssen.

Inhaltsverzeichnisexpand_more
  1. Cybercrime: steigende Bedrohung
  2. Was ist eine Cyberversicherung?
  3. Ist eine Cyberversicherung sinnvoll?
  4. Cyberversicherung und NIS2: Prävention wird Pflicht
  5. Cyber-Versicherung: Standard-Leistungen
  6. Versicherungen reagieren auf Cyberattacken
  7. Kriterienkatalog für Cyberversicherung
  8. Mit IT-Experten zur Cyber-Versicherung

Cybercrime: steigende Bedrohung

Der Branchenverband Bitkom untersucht jedes Jahr aufs Neue, wie groß der wirtschaftliche Schaden ist, den Unternehmen durch Datendiebstahl, Sabotage und Industriespionage entstehen. Im Zeitraum von August 2023 bis Juli 2024 waren es insgesamt 267 Milliarden Euro. Dabei gingen mehr als zwei Drittel des gesamten Schadens – nämlich 178,6 Milliarden Euro – speziell auf das Konto von Cyberattacken. Zum Vergleich: Im Vorjahr fiel der durch Cyberangriffe verursachte Schaden mit 148,2 Milliarden Euro noch deutlich geringer aus. Der Grund dafür: Quantität und Qualität der Attacken steigen.

Kurz und knapp zusammengefasst: Cybercrime stellt eine steigende Bedrohung für Unternehmen dar. Dementsprechend hat auch die Nachfrage nach sogenannten Cyberversicherungen (auch: Cyber-Versicherungen) einen ordentlichen Schub bekommen. Unternehmen wollen sich mit dem Abschluss eines solchen Versicherungsschutzes vor der Bedrohung durch Cyberangriffe absichern. Allerdings dürfen sich Unternehmen nicht völlig darauf verlassen. Denn: Auch IT-Security-Versicherungen reagieren auf die neue Situation und passen ihre Kriterienkataloge an die gestiegene Bedrohungslage an. Für Unternehmen gilt es, diese Kriterien zu erfüllen.

Aber was ist eine Cyberversicherung genau? Ist eine Cyber-Versicherung sinnvoll? Und was gilt es bei einer Cyberversicherung für Unternehmen zu beachten? Wir geben Antworten!

Zu sehen ist eine Büroszene mit Mitarbeitern am PC. Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Was ist eine Cyberversicherung?

Eine Cyberversicherung ist – wie alle anderen Versicherungen auch – dazu da, im Schadensfall die finanziellen Folgen für den Geschädigten zu begrenzen. Die Spezifikation dabei ist es, dass der Schadensfall durch einen Hacker- und Cyberangriff ausgelöst wird.

Vor dem Hintergrund einer zunehmenden Anzahl an Cyberattacken wird das Risiko eines solchen Schadensfalls für Unternehmen derzeit immer größer. Zur Veranschaulichung: Laut bitkom haben 80 Prozent der Unternehmen zwischen August 2023 und Juli 2024 eine Zunahme an Cyberattacken verzeichnet – und sie gehen davon aus, dass sich dies noch weiter steigern wird. Kein Wunder also, dass sich immer mehr Unternehmen mit einer Versicherungsschutz gegen Cyberrisiken absichern wollen und dass es sich bei Cyberversicherungen inzwischen um einen Milliardenmarkt handelt.

Der weltweit größte Rückversicherer Munich Re, früher als Münchener Rück bekannt, geht bis 2025 von einem Marktwachstum auf 20 Milliarden Dollar aus. Björn Blender, Leiter Maklervertrieb bei der Plattform CyberDirekt, vermutet sogar, dass die Cyber-Versicherung die Kfz-Versicherung zukünftig als volumenstärkste Sparte ablösen könnte. Der Versicherungsmarkt hat sich darauf bereits eingestellt: Inzwischen tummeln sich zahlreiche Anbieter am Markt, mit sehr unterschiedlichen Tarifen in Bezug auf Preis und Leistung.

Ist eine Cyberversicherung sinnvoll?

Tatsache ist: Die Folgen einer erfolgreichen Cyberattacke können extrem weitreichend sein. Es kann zu Betriebs- und Produktionsausfällen, zu Datenverschlüsselung und Datendiebstahl, zu Datenschutzverstößen und Imageverlusten kommen. Unterm Strich sind finanzielle Schäden die Konsequenz. Eine Zahl dazu: Die Studie „Cyber Insurance and Security: Meeting the Rising Threat“ von KnowBe4 geht pro Datenpanne von einer durchschnittlichen Schadenssummen von etwa 4,88 Mio. USD aus.

Vor allem vor dem Hintergrund der steigenden Qualität und Quantität von Cyberattacken ist der Abschluss einer Cyberversicherung daher absolut sinnvoll, denn viele der zuvor genannten möglichen Folgen deckt sie mit ihren Standard-Leistungen ab. Tatsächlich hat sich eine solche digitale Sicherheitsversicherung von einer optionalen Absicherung zur betrieblichen Notwendigkeit entwickelt. Oder anders formuliert: Sie sind längst kein „Nice-to-have“ mehr, sondern ein „Must-have“ – und zwar besonders für KMU.

Aber: Unternehmen sollten sich keinesfalls allein auf eine Cyberversicherung verlassen, dann sie kann einige grundlegende Probleme, die im Zuge einer erfolgreichen Cyberattacke entstehen, nicht verhindern. Dazu zählt beispielsweise der Reputationsverlust, den Unternehmen erleiden, wenn ein Cyberangriff publik wird; und eine Cyberversicherung schützt auch nicht davor, dass gestohlene Daten möglicherweise im Darkweb verkauft werden. Eine umfassende IT-Sicherheit bleibt daher nach wie vor essenziell – die Versicherung ist nur als ergänzender Schutz anzusehen.

Eine Frau arbeitet am Laptop im Home Office. Der Anbieter der Cyberversicherung wünscht eine sichere Verbindung. Bild: Pexels/George Milton

Anbieter von Cyberversicherungen achten auch auf sichere Verbindungen aus dem Home Office. Bild: Pexels/George Milton

Cyber-Versicherung: Standard-Leistungen

Die Leistungen der verschiedenen Cyberversicherungen am Markt variieren je nach Anbieter. Es gibt aber einige Leistungen, die bei Cyber-Versicherungen sozusagen Standard sind. Hier ein kurzer und knapper Überblick:

  • Entschädigung bei wirtschaftlichen Verlusten durch Betriebsausfälle
  • Erstattung der Kosten für Daten- und Systemwiederherstellung
  • Übernahme von Drittschäden (z.B. Schadensersatzforderungen durch Kunden)
  • Bezahlung der Kosten durch den Einsatz von IT-Forensik-Experten zur Analyse, Beweissicherung und Schadensbegrenzung
  • Erstattung der Kosten für eine Rechtsberatung durch Anwälte für IT- und Datenschutzrecht bei Datenschutzverstößen
  • Bezahlung für PR-Spezialisten für Krisenkommunikation zur Eindämmung des Image-Schadens

Was dagegen in der Regel nicht abgedeckt wird, sind potentiell entgangene Gewinne, finanzielle Schäden durch den Verlust von geistigem Eigentum, Kosten zur Wiederherstellung der Reputation sowie Kosten zur Verbesserung der internen IT als Reaktion auf einen Hackerangriff. Aber: Einige moderne Policen gehen mit ihrem Versicherungsschutz sogar über die genannten Standard-Leistungen hinaus – mehr dazu im nächsten Abschnitt.

Cyberversicherung und NIS2: Prävention wird Pflicht

Wichtig bei alldem ist auch: Durch neue Vorgaben wie der NIS2-Richtlinie steigt der regulatorische Druck auf Unternehmen spürbar. Besonders Betriebe in kritischen Infrastrukturen sind künftig verpflichtet, umfassende Maßnahmen zur IT-Sicherheit umzusetzen. Der Nachweis solcher Schutzmaßnahmen wird dabei auch zunehmend zur Grundlage für den Abschluss oder die Verlängerung einer Cyberversicherung.

In diesem Kontext gewinnen sogenannte aktive Cyberversicherungen an Bedeutung. Sie gehen über die reine Schadensregulierung hinaus, indem sie auf präventive Maßnahmen setzen: Kontinuierliche Sicherheitsüberwachung, automatisierte Schwachstellen-Scans, Echtzeit-Warnungen und technischer Support durch Sicherheitsexperten gehören vielfach zum Leistungsumfang.

Laut Daten von Allianz und Coalition lässt sich damit die Schadenhäufigkeit im Vergleich zum Marktdurchschnitt um bis zu 64 Prozent reduzieren. Unternehmen profitieren somit mehrfach: durch ein Plus an Sicherheit, die Erfüllung der Vorgaben der NIS2-Richtlinie und potenziell geringere Risiken – was sich auch positiv auf Versicherungsprämien auswirken kann.

Versicherungen reagieren auf Cyberattacken

Die erhöhte Anzahl an Cyberattacken bekommen natürlich auch die Versicherer zu spüren: Laut dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) mussten die zuständigen Versicherer im Jahr 2023 rund 180 Millionen Euro für Schäden durch Cyberangriffe zahlen – eine Steigerung um rund 50 Prozent im Vergleich zum Vorjahr. Insgesamt wurden etwa 4.000 Angriffe gemeldet, fast 19 Prozent mehr als im Jahr 2022. Besonders alarmierend: Der durchschnittliche Schaden pro Angriff stieg auf rund 45.370 Euro, ein Zuwachs von mehr als 8 Prozent.

Dabei ist laut GDV auch zu beobachten, dass mehr als zwei Drittel der befragten Firmen nicht einmal die Basisanforderungen an die IT-Sicherheit erfüllen – etwa bei der sicheren Aufbewahrung von Backups oder der Nutzung starker Passwörter. Solche gravierenden IT-Sicherheitslücken, besonders im Mittelstand, sind in der in der heutigen Zeit natürlich ein No-Go. Und da Versicherungen angesichts der gestiegenen Schadenssummen zunehmen an ihre Grenzen stoßen und die Prämieneinnahmen der Versicherungen nur noch gerade so die wachsenden Schäden decken, werden die IT-Security-Versicherungspolicen entsprechend angepasst.

Hier sind vor allem drei Bereiche zu nennen. Erstens: Beim Abschluss schauen die Versicherer im Zuge eines Sicherheitsaudits nun noch genauer hin und prüfen, ob Unternehmen ihren Kriterienkatalog erfüllen. Zweitens: Im Schadensfall wird häufig noch einmal eingehend bewertet, ob die gestellten Kriterien auch nach dem Abschluss der Versicherung durch das Unternehmen eingehalten worden sind. Drittens: Einige Versicherer ziehen die Versicherungsbeiträge deutlich an.

Ein Mann arbeitet am Laptop. Sein Unternehmen nutzt eine Cyberversicherung. Bild: Pexels/Kampus Production

Sind alle Kriterien für eine Cyberversicherung erfüllt? Die Versicherer achten darauf. Bild: Pexels/Kampus Production

Kriterienkatalog für Cyberversicherung

Stellt sich die Frage, welche Kriterien Unternehmen erfüllen müssen, um eine Cyberversicherung abschließen zu können. Bevor wir diese Kriterien auflisten, sei gesagt: Die Liste ist lang – und wird immer länger. Hier unsere Übersicht über die wichtigsten Punkte:

  • Backups:
    Unternehmen müssen vorweisen können, dass sie regelmäßig Sicherheitskopien ihrer Unternehmensdaten erstellen. Diese Kopien sind grundlegend dafür, nach einem erfolgreichen Hackerangriff verschlüsselte Daten wiederherstellen zu können. Dabei prüfen die Versicherungen auch, ob die Backups verschlüsselt und getrennt vom eigentlichen Netzwerk aufbewahrt werden. Auch die Frage danach, ob Backups offline oder in der Cloud hinterlegt sind, wird häufig gestellt.
  • Wiederherstellung:
    Hinsichtlich der Backups prüfen Versicherungen inzwischen auch, ob Unternehmen den Wiederherstellungsprozess beherrschen. Ziel dessen ist es, dass Unternehmen die Wiederherstellung im Ernstfall schnell durchführen können. Unternehmen sollten dafür einen Notfallwiederherstellungsplan vorhalten können.
  • Zwei-Faktor-Authentifizierung:
    Mit der Zwei-Faktor-Authentifizierung soll sichergestellt weren, dass nur befugte Nutzer per Fernzugriff auf das Firmennetzwerk zugreifen können. Auch für den Fall, dass Mitarbeiter von privaten Geräten auf ihr berufliches E-Mail-Konto zugreifen, verlangen Versicherer die Absicherung durch eine Zwei-Faktor-Authentifizierung. Zudem wird empfohlen, für externe Finanztransaktionen oder für Änderungen von Kontodaten die Zwei-Faktor-Authentifizierung zu implementieren.
  • Früherkennung:
    Anbieter von Cyberversicherungen legen Wert darauf, dass Unternehmen Systeme zur Früherkennung von Cyberangriffen einsetzen – sogenannte Intrusion-Detection- und Intrusion-Prevention-Systeme. Zudem gehören Antivirensoftware, die regelmäßige Suche nach veralteter Software und ein Rechte-Management zum Pflichtprogramm.
  • Mitarbeitersensibilisierung:
    75  Prozent aller erfolgreichen Cyberangriffe sind auf menschliches Fehlverhalten zurückzuführen sind – beispielsweise im Zuge von Phishing, Social Engineering. Damit die „Schwachstelle Mensch“ nicht zum Einfallstor für Hackerangriffe wird, empfehlen – oder verlangen – immer mehr Versicherer, Schulungen zur Mitarbeitersensibilisierung durchzuführen. Ziel ist es, die Security Awareness zu verbessern.
  • Office 365:
    Unternehmen, die Office 365 einsetzen, sind dazu angehalten Office 365 Advanced Threat Protection einzusetzen. Und auch hier sind die Zugänge der Mitarbeiter durch die Zwei-Faktor-Authentifizierung abzusichern.

Die Kriterienliste ist also recht lang. Und jetzt Hand aufs Herz: Können Sie die einzelnen Punkte für Ihr Unternehmen problemlos abhaken? Oder sehen Sie noch Handlungsbedarf?

Mit IT-Experten zur Cyber-Versicherung

Falls aus Ihrer oder der Sicht einer Versicherungsgesellschaft noch ein solcher Handlungsbedarf bestehen sollte, können Sie sich ganz einfach Hilfe zur Seite holen. Denn: Spezialisierte IT-Dienstleister und Systemhäuer haben heute eine strategische Beratungsfunktion, die weit über die technische Umsetzung von Sicherheitsmaßnahmen hinausgeht. Als Fachleute unterstützen sie bei Risikobewertungen, Schulungskonzepten und sogar beim Versicherungsabschluss.

Fündig werden Sie bei der Suche nach solchen IT-Fachleuten zum Beispiel bei uns im IT-SERVICE.NETWORK. Bundesweit sind unserem Netzwerk mehr als 400 IT-Systemhäuser angeschlossen. Sie alle haben sich auf Firmenkunden fokussiert. Wir können Ihnen versichern: Sicherlich ist auch ganz in Ihrer Nähe ein Experte aus dem IT-SERVICE.NETWORK ansässig – nutzen Sie für Ihre Recherche ganz einfach unsere Dienstleistersuche.

Übrigens: Viele der IT-Systemhäuser in unserem Netzwerk arbeiten auch mit Anbietern von Cyberversicherungen zusammen und können Ihnen die entsprechenden Kontakte vermitteln. Klingt interessant? Dann melden Sie sich bei uns!

Weiterführende Links:
bitkom, SZ, tagesschau, Versicherungswirtschaft HEUTE, Versicherungsbote, CyberDirekt, gdv, Security Insider, Security Insider, Security Insider, Security Insider, Security Insider, Security Insider

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Fake-Captchas locken in die Falle

BSI warnt akut vor Angriffen mit gefälschten Captchas

von • 02.04.2025

Fake-Captchas sind ein gefährlicher Trick, mit dem Cyberkriminelle Nutzer gezielt in die Falle locken. Hinter harmlos wirkenden Sicherheitsabfragen verbirgt sich in Wahrheit ein Malware-Angriff. W...

Weiterlesen
IT-Sicherheit

Privileged-Access-Management

Warum Unternehmen nicht darauf verzichten sollten

von • 19.03.2025

Privileged-Access-Management (kurz: PAM) schützt Unternehmen vor unautorisierten Zugriffen auf Daten. Ohne ein solches System können Angreifer Zugriff auf IT-Umgebungen erhalten – mit fatalen Folg...

Weiterlesen
IT-Sicherheit

E-Mail-Bombing-Angriffe auf Unternehmen

Cyberkriminelle wollen über Microsoft Teams Schadsoftware einschleusen

von • 05.03.2025

Erst werden Postfächer mit E-Mails geflutet, dann melden sich falsche Support-Mitarbeiter. Das Ziel dieser kombinierten E-Mail-Bombing- und Vishing-Angriffe: Malware über Microsoft Teams einschleuse...

Weiterlesen