IT-Sicherheit

Cyberversicherung für Unternehmen

Das ist bei der Cybercrime-Versicherung zu beachten

von 24.01.2022
Zu sehen ist ein Laptop im Sonnenlicht. Es geht um das Thema Cyberversicherung. Bild: Pexels/Lukas
Bedeutet eine Cyberversicherung im Ernstfall die Rettung? Bild: Pexels/Lukas

Die Zahl von Cyberangriffen steigt, die Nachfrage nach einer Cyberversicherung ebenfalls. Allerdings: Eine Cyberversicherung für Unternehmen ist zwar sinnvoll; sie ist aber nicht immer die Rettung. 

Wir erklären, was eine Cyberversicherung ist und was Unternehmen dabei beachten müssen.

Cybercrime: steigende Bedrohung

Der BSI-Lagebericht 2021 sieht genauso wenig rosig aus wie der BSI-Lagebericht 2o22; der Branchenverband bitkom spricht von Schäden in Höhe von mehr als 200 Milliarden Euro in den Jahren 2021 und 2022, der der deutschen Wirtschaft unter anderem durch Cyberkriminelle entstanden ist, und auch die Cyberattacken 2021 und die Cyberangriffe 2022 sprechen Bände, was die Lage der IT-Sicherheit anbelangt. Um es kurz und knapp zusammenfassenden: Cybercrime stellt eine steigende Bedrohung für Unternehmen dar – und der zuletzt durch die Pandemie bedingte Digitalisierungsschub ist daran nicht ganz unschuldig.

Dementsprechend hat auch die Nachfrage nach sogenannten Cyberversicherungen (auch: Cyber-Versicherungen) einen ordentlichen Schub bekommen. Unternehmen wollen sich mit dem Abschluss einer solchen Cyberversicherung vor der Bedrohung durch Cyberangriffe absichern. Allerdings dürfen sich Unternehmen nicht völlig darauf verlassen. Denn: Auch IT-Security-Versicherungen reagieren auf die neue Situation und passen ihre Kriterienkataloge an die gestiegene Bedrohungslage an. Für Unternehmen gilt es, diese Kriterien zu erfüllen.

Aber was ist eine Cyberversicherung genau? Ist eine Cyber-Versicherung sinnvoll? Und was gilt es bei einer Cyberversicherung für Unternehmen zu beachten? Wir geben Antworten!

Zu sehen ist eine Büroszene mit Mitarbeitern am PC. Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Was ist eine Cyberversicherung?

Eine Cyberversicherung ist – wie alle anderen Versicherungen auch – dazu da, im Schadensfall die finanziellen Folgen für den Geschädigten zu begrenzen. Die Spezifikation dabei ist es, dass der Schadensfall durch einen Hacker- und Cyberangriff ausgelöst wird.

Vor dem Hintergrund einer zunehmenden Anzahl an Cyberattacken wird das Risiko eines solchen Schadensfalls für Unternehmen derzeit immer größer. Zur Veranschaulichung: Laut bitkom sind in den Jahren 2020/2021 neun von zehn befragten Unternehmen attackiert worden; 2021/2022 hat es so ziemlich jedes Unternehmen getroffen. Kein Wunder, dass sich immer mehr Unternehmen mit einer Cyberversicherung absichern wollen und dass es sich bei Cyberversicherungen inzwischen um einen Milliardenmarkt handelt.

Der weltweit größte Rückversicherer Munich Re, früher als Münchener Rück bekannt, geht davon aus, dass dieser Markt bis 2025 ein Wachstum auf 20 Milliarden Dollar hinlegen wird. Björn Blender, Leiter Maklervertrieb bei der Plattform CyberDirekt, vermutet sogar, dass die Cyber-Versicherung die Kfz-Versicherung zukünftig als volumenstärkste Sparte ablösen könnte. Der Versicherungsmarkt hat sich darauf bereits eingestellt: Inzwischen tummeln sich zahlreiche Anbieter am Markt, mit sehr unterschiedlichen Tarifen in Bezug auf Preis und Leistung.

Ist eine Cyberversicherung sinnvoll?

Es ist bereits durchgeklungen: Vor allem vor dem Hintergrund der steigenden Bedrohung durch Cyberattacken ist der Abschluss einer Cyberversicherung sinnvoll. Schließlich sind die Folgen einer solchen Attacke weitreichend. Es kann zu Betriebs- und Produktionsausfällen, zu Datenverschlüsselung und Datendiebstahl, zu Datenschutzverstößen und Imageverlusten kommen. Unterm Strich sind finanzielle Schäden die Konsequenz. Eine Cyberversicherung macht dementsprechend Sinn, denn viele dieser möglichen Folgen deckt sie mit den Standard-Leistungen ab. Dazu gehen wir nachfolgend noch ausführlicher sein.

Nicht zu vergessen ist dabei allerdings, dass sich Unternehmen nicht allein auf die Cyberversicherung verlassen sollten. Der Grund dafür ist, dass so eine Versicherung viele grundlegende Probleme nicht verhindert. Dazu zählt beispielsweise der Reputationsverlust, den Unternehmen erleiden, wenn ein erfolgreicher Cyberangriff publik wird; und dazu gehört auch, dass bei einem Datendiebstahl auch eine Cyberversicherung nicht davor schützt, dass die Daten möglicherweise im Darkweb verkauft werden.

Das wiederum bedeutet, dass die IT-Sicherheit auch beim Abschluss einer Cyberversicherung keinesfalls zu vernachlässigen ist. Eine IT-Security-Versicherung ist also lediglich als zusätzlicher Schutz zu verstehen. Das zeigt auch der Blick auf die Standard-Leistungen.

Eine Frau arbeitet am Laptop im Home Office. Der Anbieter der Cyberversicherung wünscht eine sichere Verbindung. Bild: Pexels/George Milton

Anbieter von Cyberversicherungen achten auch auf sichere Verbindungen aus dem Home Office. Bild: Pexels/George Milton

Cyber-Versicherung: Standard-Leistungen

Wie erwähnt, variieren die Leistungen der verschiedenen Cyberversicherungen am Markt je nach Anbieter. Es gibt aber einige Leistungen, die bei Cyber-Versicherungen sozusagen Standard sind. Hier ein kurzer und knapper Überblick:

  • Entschädigung bei wirtschaftlichen Verlusten durch Betriebsausfälle
  • Erstattung der Kosten für Daten- und Systemwiederherstellung
  • Übernahme von Drittschäden (z.B. Schadensersatzforderungen durch Kunden)
  • Bezahlung der Kosten durch den Einsatz von IT-Forensik-Experten zur Analyse, Beweissicherung und Schadensbegrenzung
  • Erstattung der Kosten für eine Rechtsberatung durch Anwälte für IT- und Datenschutzrecht bei Datenschutzverstößen
  • Bezahlung für PR-Spezialisten für Krisenkommunikation zur Eindämmung des Image-Schadens

Was dagegen in der Regel nicht abgedeckt wird, sind potentiell entgangene Gewinne, finanzielle Schäden durch den Verlust von geistigem Eigentum, Kosten zur Wiederherstellung der Reputation sowie Kosten zur Verbesserung der internen IT als Reaktion auf einen Hackerangriff.

Versicherungen reagieren auf Cyberattacken

Die erhöhte Anzahl an Cyberattacken hat inzwischen dazu geführt, dass Versicherungen ihre IT-Security-Versicherungspolicen und die Anforderungen dazu anpassen und verschärfen. Hier sind vor allem drei Bereiche zu nennen. Erstens: Beim Abschluss schauen die Versicherer im Zuge eines Sicherheitsaudits nun noch genauer hin und prüfen, ob Unternehmen ihren Kriterienkatalog erfüllen. Zweitens: Im Schadensfall wird häufig noch einmal eingehend bewertet, ob die gestellten Kriterien auch nach dem Abschluss der Versicherung durch das Unternehmen eingehalten worden sind. Drittens: Einige Versicherer ziehen die Versicherungsbeiträge deutlich an.

Eigentlich ist diese Reaktion eine sehr logische Konsequenz. Schließlich führt die erhöhte Angriffszahl dazu, dass Versicherungen immer häufiger in die Bresche springen müssen. Zudem verhindern sie durch dieses Vorgehen, dass sich Unternehmen nach dem Abschluss einer Cyberversicherung dazu verleitet fühlen könnten, es an mancher Stelle schleifen zu lassen und das Augenmerk nicht mehr ganz so stark auf ausgeklügelte IT-Sicherheitsmechanismen zu legen. Und so eine Haltung würde sowohl den Versicherern als auch dem Unternehmen selbst schaden.

Ein Mann arbeitet am Laptop. Sein Unternehmen nutzt eine Cyberversicherung. Bild: Pexels/Kampus Production

Sind alle Kriterien für eine Cyberversicherung erfüllt? Die Versicherer achten darauf. Bild: Pexels/Kampus Production

Kriterienkatalog für Cyberversicherung

Stellt sich die Frage, welche Kriterien Unternehmen erfüllen müssen, um eine Cyberversicherung abschließen zu können. Bevor wir diese Kriterien auflisten, sei gesagt: Die Liste ist lang – und wird immer länger. Hier unsere Übersicht über die wichtigsten Punkte:

  • Backups:
    Unternehmen müssen vorweisen können, dass sie regelmäßig Sicherheitskopien ihrer Unternehmensdaten erstellen. Diese Kopien sind grundlegend dafür, nach einem erfolgreichen Hackerangriff verschlüsselte Daten wiederherstellen zu können. Dabei prüfen die Versicherungen auch, ob die Backups verschlüsselt und getrennt vom eigentlichen Netzwerk aufbewahrt werden. Auch die Frage danach, ob Backups offline oder in der Cloud hinterlegt sind, wird häufig gestellt.
  • Wiederherstellung:
    Hinsichtlich der Backups prüfen Versicherungen inzwischen auch, ob Unternehmen den Wiederherstellungsprozess beherrschen. Ziel dessen ist es, dass Unternehmen die Wiederherstellung im Ernstfall schnell durchführen können. Unternehmen sollten dafür einen Notfallwiederherstellungsplan vorhalten können.
  • Zwei-Faktor-Authentifizierung:
    Mit der Zwei-Faktor-Authentifizierung soll sichergestellt weren, dass nur befugte Nutzer per Fernzugriff auf das Firmennetzwerk zugreifen können. Auch für den Fall, dass Mitarbeiter von privaten Geräten auf ihr berufliches E-Mail-Konto zugreifen, verlangen Versicherer die Absicherung durch eine Zwei-Faktor-Authentifizierung. Zudem wird empfohlen, für externe Finanztransaktionen oder für Änderungen von Kontodaten die Zwei-Faktor-Authentifizierung zu implementieren.
  • Früherkennung:
    Anbieter von Cyberversicherungen legen Wert darauf, dass Unternehmen Systeme zur Früherkennung von Cyberangriffen einsetzen – sogenannte Intrusion-Detection- und Intrusion-Prevention-Systeme. Zudem gehören Antivirensoftware, die regelmäßige Suche nach veralteter Software und ein Rechte-Management zum Pflichtprogramm.
  • Mitarbeitersensibilisierung:
    Damit die „Schwachstelle Mensch“ nicht zum Einfallstor für Hackerangriffe wird, empfehlen immer mehr Versicherer, Schulungen zur Mitarbeitersensibilisierung durchzuführen. Ziel ist es, die Security Awareness zu verbessern.
  • Office 365:
    Unternehmen, die Office 365 einsetzen, sind dazu angehalten Office 365 Advanced Threat Protection einzusetzen. Und auch hier sind die Zugänge der Mitarbeiter durch die Zwei-Faktor-Authentifizierung abzusichern.

Die Kriterienliste ist also recht lang. Und jetzt Hand aufs Herz: Können Sie die einzelnen Punkte für Ihr Unternehmen problemlos abhaken? Oder sehen Sie noch Handlungsbedarf?

Mit IT-Experten zur Cyber-Versicherung

Falls aus Ihrer oder der Sicht einer Versicherungsgesellschaft noch ein solcher Handlungsbedarf bestehen sollte, können Sie sich ganz einfach Hilfe zur Seite holen. Denn: Es gibt spezialisierte IT-Dienstleister, die IT-Sicherheit im Allgemeinen und die zuvor genannten Kriterien im Besonderen für ihre Unternehmenskunden kompetent realisieren.

Fündig werden Sie bei der Suche nach solchen IT-Fachleuten zum Beispiel bei uns im IT-SERVICE.NETWORK. Bundesweit sind unserem Netzwerk mehr als 400 IT-Systemhäuser angeschlossen. Sie alle haben sich auf Firmenkunden fokussiert. Wir können Ihnen versichern: Sicherlich ist auch ganz in Ihrer Nähe ein Experte aus dem IT-SERVICE.NETWORK ansässig – nutzen Sie für Ihre Recherche ganz einfach unsere Dienstleistersuche.

Übrigens: Viele der IT-Systemhäuser in unserem Netzwerk arbeiten auch mit Anbietern von Cyberversicherungen zusammen und können Ihnen die entsprechenden Kontakte vermitteln. Klingt interessant? Dann melden Sie sich bei uns!


Weiterführende Links:
tagesschau, Versicherungswirtschaft HEUTE, Versicherungsbote, CyberDirekt, gdv, Security Insider, Security Insider

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen