IT-Sicherheit

Cyberversicherung für Unternehmen

Das ist bei der Cybercrime-Versicherung zu beachten

von 24.01.2022
Zu sehen ist ein Laptop im Sonnenlicht. Es geht um das Thema Cyberversicherung. Bild: Pexels/Lukas

Die Zahl von Cyberangriffen steigt, die Nachfrage nach einer Cyberversicherung ebenfalls. Allerdings: Eine Cyberversicherung für Unternehmen ist zwar sinnvoll; sie ist aber nicht immer die Rettung. 

Wir erklären, was eine Cyberversicherung ist und was Unternehmen dabei beachten müssen.

Cybercrime: steigende Bedrohung

Im BSI-Lagebericht 2021 ist von „Alarmstufe Rot“ die Rede, der Branchenverband bitkom spricht von einem Schaden in Höhe von mehr als 220 Milliarden Euro, der der deutschen Wirtschaft unter anderem durch Cyberkriminelle entstanden ist, und auch die Cyberattacken 2021 sprechen Bände, was die Lage der IT-Sicherheit anbelangt. Um es kurz und knapp zusammenfassenden: Cybercrime stellt eine steigende Bedrohung für Unternehmen dar – und der durch die Pandemie bedingte Digitalisierungsschub ist daran nicht ganz unschuldig.

Dementsprechend hat auch die Nachfrage nach sogenannten Cyberversicherungen (auch: Cyber-Versicherungen) einen ordentlichen Schub bekommen. Unternehmen wollen sich mit dem Abschluss einer solchen Cyberversicherung vor der Bedrohung durch Cyberangriffe absichern. Allerdings dürfen sich Unternehmen nicht völlig darauf verlassen. Denn: Auch IT-Security-Versicherungen reagieren auf die neue Situation und passen ihre Kriterienkataloge an die gestiegene Bedrohungslage an. Für Unternehmen gilt es, diese Kriterien zu erfüllen.

Aber was ist eine Cyberversicherung genau? Ist eine Cyber-Versicherung sinnvoll? Und was gilt es bei einer Cyberversicherung für Unternehmen zu beachten? Wir geben Antworten!

Zu sehen ist eine Büroszene mit Mitarbeitern am PC. Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Viele Unternehmen wollen sich mit einer Cyberversicherung absichern. Bild: Pexels/Lex Photography

Was ist eine Cyberversicherung?

Eine Cyberversicherung ist – wie alle anderen Versicherungen auch – dazu da, im Schadensfall die finanziellen Folgen für den Geschädigten zu begrenzen. Die Spezifikation dabei ist es, dass der Schadensfall durch einen Hacker- und Cyberangriff ausgelöst wird. Vor dem Hintergrund einer zunehmenden Anzahl an Cyberattacken wird das Risiko eines solchen Schadensfalls für Unternehmen derzeit immer größer. Zur Veranschaulichung: Laut bitkom sind in den Jahren 2020/2021 neun von zehn befragten Unternehmen attackiert worden.

Inzwischen scheint es sich bei Cyberversicherungen daher auch um einen Milliardenmarkt zu handeln. Jedenfalls geht der weltweit größte Rückversicherer Munich Re, früher als Münchener Rück bekannt, davon aus, dass dieser Markt bis 2025 ein Wachstum auf 20 Milliarden Dollar hinlegen wird. Björn Blender, Leiter Maklervertrieb bei der Plattform CyberDirekt, geht sogar davon aus, dass die Cyber-Versicherung die Kfz-Versicherung zukünftig als volumenstärkste Sparte ablösen könnte.

Der Versicherungsmarkt hat sich darauf bereits eingestellt: Inzwischen tummeln sich zahlreiche Anbieter am Markt, mit sehr unterschiedlichen Tarifen in Bezug auf Preis und Leistung.

Ist eine Cyberversicherung sinnvoll?

Es ist bereits durchgeklungen: Vor allem vor dem Hintergrund der steigenden Bedrohung durch Cyberattacken ist der Abschluss einer Cyberversicherung sinnvoll. Schließlich sind die Folgen einer solchen Attacke weitreichend. Es kann zu Betriebs- und Produktionsausfällen, zu Datenverschlüsselung und Datendiebstahl, zu Datenschutzverstößen und Imageverlusten kommen. Unterm Strich sind finanzielle Schäden die Konsequenz. Eine Cyberversicherung macht dementsprechend Sinn, denn viele dieser möglichen Folgen deckt sie mit den Standard-Leistungen ab. Dazu gehen wir nachfolgend noch ausführlicher sein.

Nicht zu vergessen ist dabei allerdings, dass sich Unternehmen nicht allein auf die Cyberversicherung verlassen sollten. Der Grund dafür ist, dass sie viele grundlegende Probleme nicht verhindert. Dazu zählt beispielsweise der Reputationsverlust, den Unternehmen erleiden, wenn ein erfolgreicher Cyberangriff publik wird; und dazu gehört auch, dass bei einem erfolgten Datendiebstahl auch eine Cyberversicherung nicht davor schützt, dass die Daten möglicherweise im Darkweb verkauft werden.

Das wiederum bedeutet, dass die IT-Sicherheit auch beim Abschluss einer Cyberversicherung keinesfalls zu vernachlässigen ist. Eine IT-Security-Versicherung ist also lediglich als zusätzlicher Schutz zu verstehen. Das zeigt auch der Blick auf die Standard-Leistungen.

Eine Frau arbeitet am Laptop im Home Office. Der Anbieter der Cyberversicherung wünscht eine sichere Verbindung. Bild: Pexels/George Milton

Anbieter von Cyberversicherungen achten auch auf sichere Verbindungen aus dem Home Office. Bild: Pexels/George Milton

Cyber-Versicherung: Standard-Leistungen

Wie erwähnt, variieren die Leistungen der verschiedenen Cyberversicherungen am Markt je nach Anbieter. Es gibt aber einige Leistungen, die bei Cyber-Versicherungen sozusagen Standard sind. Hier einmal kurzer und knapper Überblick:

  • Entschädigung bei wirtschaftlichen Verlusten durch Betriebsausfälle
  • Erstattung der Kosten für Daten- und Systemwiederherstellung
  • Übernahme von Drittschäden (z.B. Schadensersatzforderungen durch Kunden)
  • Bezahlung der Kosten durch den Einsatz von IT-Forensik-Experten zur Analyse, Beweissicherung und Schadensbegrenzung
  • Erstattung der Kosten für eine Rechtsberatung durch Anwälte für IT- und Datenschutzrecht bei Datenschutzverstößen
  • Bezahlung für PR-Spezialisten für Krisenkommunikation zur Eindämmung des Image-Schadens

Was dagegen in der Regel nicht abgedeckt wird, sind potentiell entgangene Gewinne, finanzielle Schäden durch den Verlust von geistigem Eigentum, Kosten zur Wiederherstellung der Reputation sowie Kosten zur Verbesserung der internen IT als Reaktion auf einen Hackerangriff.

Versicherungen reagieren auf Cyberattacken

Die erhöhte Anzahl an Cyberattacken hat inzwischen dazu geführt, dass Versicherungen ihre IT-Security-Versicherungspolicen und die Anforderungen dazu anpassen. Hier sind vor allem drei Bereiche zu nennen. Erstens: Beim Abschluss schauen die Versicherer im Zuge eines Sicherheitsaudits nun noch genauer hin und prüfen, ob Unternehmen ihren Kriterienkatalog erfüllen. Zweitens: Im Schadensfall wird häufig noch einmal eingehend bewertet, ob die gestellten Kriterien auch nach dem Abschluss der Versicherung durch das Unternehmen eingehalten worden sind. Drittens: Einige Versicherer ziehen die Versicherungsbeiträge deutlich an.

Eigentlich ist diese Reaktion eine sehr logische Konsequenz. Schließlich führt die erhöhte Angriffszahl dazu, dass Versicherungen immer häufiger in die Bresche springen müssen. Zudem verhindern sie durch dieses Vorgehen, dass sich Unternehmen nach dem Abschluss einer Cyberversicherung dazu verleitet fühlen könnten, es an anderer Stelle schleifen zu lassen und das Augenmerk nicht mehr ganz so stark auf ausgeklügelte IT-Sicherheitsmechanismen zu legen. Und so eine Haltung würde sowohl den Versicherern als auch dem Unternehmen selbst schaden.

Ein Mann arbeitet am Laptop. Sein Unternehmen nutzt eine Cyberversicherung. Bild: Pexels/Kampus Production

Sind alle Kriterien für eine Cyberversicherung erfüllt? Die Versicherer achten darauf. Bild: Pexels/Kampus Production

Kriterienkatalog für Cyberversicherung

Stellt sich die Frage, welche Kriterien Unternehmen erfüllen müssen, um eine Cyberversicherung abschließen zu können. Bevor wir diese Kriterien auflisten, sei gesagt: Die Liste ist lang – und wird immer länger. Hier unsere Übersicht über die wichtigsten Punkte:

  • Backups:
    Unternehmen müssen vorweisen können, dass sie regelmäßig Sicherheitskopien ihrer Unternehmensdaten erstellen. Diese Kopien sind grundlegend dafür, nach einem erfolgreichen Hackerangriff verschlüsselte Daten wiederherstellen zu können. Dabei prüfen die Versicherungen auch, ob die Backups verschlüsselt und getrennt vom eigentlichen Netzwerk aufbewahrt werden. Auch die Frage danach, ob Backups offline oder in der Cloud hinterlegt sind, wird häufig gestellt.
  • Wiederherstellung:
    Hinsichtlich der Backups prüfen Versicherungen inzwischen auch, ob Unternehmen den Wiederherstellungsprozess beherrschen. Ziel dessen ist es, dass Unternehmen die Wiederherstellung im Ernstfall schnell durchführen können. Unternehmen sollten dafür einen Notfallwiederherstellungsplan vorhalten können.
  • Zwei-Faktor-Authentifizierung:
    Mit der Zwei-Faktor-Authentifizierung soll sichergestellt weren, dass nur befugte Nutzer per Fernzugriff auf das Firmennetzwerk zugreifen können. Auch für den Fall, dass Mitarbeiter von privaten Geräten auf ihr berufliches E-Mail-Konto zugreifen, verlangen Versicherer die Absicherung durch eine Zwei-Faktor-Authentifizierung. Zudem wird empfohlen, für externe Finanztransaktionen oder für Änderungen von Kontodaten die Zwei-Faktor-Authentifizierung zu implementieren.
  • Früherkennung:
    Anbieter von Cyberversicherungen legen Wert darauf, dass Unternehmen Systeme zur Früherkennung von Cyberangriffen einsetzen – sogenannte Intrusion-Detection- und Intrusion-Prevention-Systeme. Zudem gehören Antivirensoftware, die regelmäßige Suche nach veralteter Software und ein Rechte-Management zum Pflichtprogramm.
  • Mitarbeitersensibilisierung:
    Damit die „Schwachstelle Mensch“ nicht zum Einfallstor für Hackerangriffe wird, empfehlen immer mehr Versicherer, Schulungen zur Mitarbeitersensibilisierung durchzuführen. Ziel ist es, die Security Awareness zu verbessern.
  • Office 365:
    Unternehmen, die Office 365 einsetzen, sind dazu angehalten Office 365 Advanced Threat Protection einzusetzen. Und auch hier sind die Zugänge der Mitarbeiter durch die Zwei-Faktor-Authentifizierung abzusichern.

Die Kriterienliste ist also recht lang. Und jetzt Hand aufs Herz: Können Sie die einzelnen Punkte für Ihr Unternehmen problemlos abhaken? Oder sehen Sie noch Handlungsbedarf?

Mit IT-Experten zur Cyber-Versicherung

Falls aus Ihrer oder der Sicht einer Versicherungsgesellschaft noch ein solcher Handlungsbedarf bestehen sollte, können Sie sich ganz einfach Hilfe zur Seite holen. Denn: Es gibt spezialisierte IT-Dienstleister, die IT-Sicherheit im Allgemeinen und die zuvor genannten Kriterien im Besonderen für ihre Unternehmenskunden kompetent realisieren.

Fündig werden Sie bei der Suche nach solchen IT-Fachleuten zum Beispiel bei uns im IT-SERVICE.NETWORK. Bundesweit sind unserem Netzwerk mehr als 400 IT-Systemhäuser angeschlossen. Sie alle haben sich auf Firmenkunden fokussiert. Wir können Ihnen versichern: Sicherlich ist auch ganz in Ihrer Nähe ein Experte aus dem IT-SERVICE.NETWORK ansässig – nutzen Sie für Ihre Recherche ganz einfach unsere Dienstleistersuche.

Übrigens: Viele der IT-Systemhäuser in unserem Netzwerk arbeiten auch mit Anbietern von Cyberversicherungen zusammen und können Ihnen die entsprechenden Kontakte vermitteln. Klingt interessant? Dann melden Sie sich bei uns!


Weiterführende Links:
tagesschau, Versicherungswirtschaft HEUTE, Versicherungsbote, CyberDirekt, gdv, Security Insider, Security Insider

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Verschlüsselungstrojaner sind Gefahr Nr. 1

Alle 11 Sekunden erfolgt ein Ransomware-Angriff

von • 18.05.2022

Verschlüsselungstrojaner stellen mittlerweile die größte Bedrohung für deutsche Unternehmen dar. Neben der Anzahl an Attacken steigt aber auch die Aggressivität, mit der die Hacker vorgehen.  ...

Weiterlesen
IT-Sicherheit

Fakecall Trojaner

Banking-Malware leitet auf falsches Callcenter um

von • 11.05.2022

Der Trojaner Fakecall treibt bislang nur in Asien sein Unwesen, aber höchstwahrscheinlich ist es nur eine Frage der Zeit, bis auch hierzulande Nutzer von der neuen Banking-Malware betroffen sind. ...

Weiterlesen
IT-Sicherheit

Data Protection Report 2022

Besserer Schutz vor Datenverlust gefordert

von • 04.05.2022

Der Data Protection Report 2022 wird jährlich durch den Sicherheitssoftware-Anbieter Veeam veröffentlicht. Darin zeichnen sich die aktuellen Entwicklungen und Trends rund um die Datensicherheit ab. ...

Weiterlesen