Cyberversicherungen: Wer zahlt, wenn Ihre IT ausfällt

IT-Ausfälle, Datenverluste und Wiederherstellung können im Fall von Angriffen oder Sabotage gewaltige Kosten für Unternehmen aufwerfen, von DSGVO-Geldbußen und Vertragsstrafen ganz zu schweigen. Doch dagegen gibt es Cyberversicherungen – möchte man meinen. Die sind aber gar nicht leicht zu bekommen.

Dieser Beitrag ist mehr als 1 Jahr alt.
Cyberversicherungen
Bild: © Egor – stock.adobe.com

Police erst nach Stresstest

Von Dirk Bongardt

Wer das Risiko eines IT-Ausfalls nicht selbst tragen will, zieht immer öfter eine Cyberversicherung in Betracht. Die spezifischen Risiken mögen von Unternehmen zu Unternehmen verschieden sein, hoch sind sie allemal. Das belegen Zahlen aus dem Hiscox Cyber Readiness Report 2022. Für diese Studie wurden insgesamt 5181 Unternehmen aus sieben Ländern zu ihrer Cyberbereitschaft sowie zu Cyberrisiken und Cyberattacken befragt.

Eines der Ergebnisse: In den zwölf vorangegangenen Monaten wurden 46 % aller deutschen Unternehmen mindestens einmal Opfer einer Cyberattacke. Der Anteil liegt damit auf Vorjahresniveau – oder höher. Denn weitere 7 % der Befragten müssen eingestehen, dass sie nicht mit Sicherheit sagen können, ob sie angegriffen wurden. Ein weiteres Ergebnis: Die mittleren Kosten einer Cyberattacke betragen in Deutschland 18.712 Euro. Darin sind noch nicht die schwer zu beziffernden indirekten Kosten enthalten, also z.B. ausbleibende Erlöse, weil Kunden abwandern und die Reputation nachhaltig Schaden nimmt.

Ausfall- und Wiederherstellungskosten

Der Schaden kann aber deutlich höher ausfallen. Das rechnen Experten der Signal Iduna an einem Beispiel vor: Ein Hacker knackt die Website eines Hotels und verschafft sich so Zugang zur dahinter liegenden Datenbank. Nun erhält er bei jeder Buchung die Zahlungsdaten der Kunden. Dabei erbeutet er 3000 Kundendatensätze und missbraucht 600 Kreditkartendaten. Die Kreditkartenunternehmen leiten daraus einen Anspruch auf vertraglich vereinbarte Strafzahlungen geltend.

Dieses – durchaus realistische – Rechenbeispiel zeigt, welche Leistungen eine Cyberversicherung in solchen Fällen erbringt. Andernfalls muss sie der Hotelier selbst aufbringen:

  • Nachforschungen: € 30.000
  • Säuberung von Schadsoftware: € 15.000
  • Kundenbenachrichtigungen: € 25.000
  • Forderungen der Kreditkartenunternehmen: € 76.000
  • Eigene Ertragsverluste durch entgangene Online-Reservierungen ab 24 Stunden: € 15.000
  • Rechtsanwalt: € 65.400
  • abzüglich der vereinbarten Selbstbeteiligung: − € 500
  • Gesamt: € 225.900

Wohlgemerkt: Es handelt sich hier um ein fiktives Beispiel. Die genannten Summen entsprechen aber der Realität und müssten von einem verantwortlich handelnden Hotelunternehmen selbst getragen werden, falls ein solcher Schaden nicht versichert ist.

Angriffsziele und Angriffsflächen

Ein Cyberangriff kann jeden treffen – egal wie groß oder klein das Unternehmen ist, egal wie mutmaßlich „uninteressant“, egal in welcher Branche. Diesen Befund des Hiscox-Reports bestätigt ein Blick auf die im vergangenen Jahr bekannt gewordenen Cyberangriffe: Unter den Opfern waren ein Lebensmittelgroßhändler aus Düsseldorf, ein Krankenhaus in Lippstadt, ein Medienunternehmen in Hannover, ein Möbelhaus in Gießen, ein Maschinenbauer in Magdeburg, ein Versicherer aus Darmstadt, eine Augenarztpraxis in Berlin – die Liste ließe sich noch seitenlang fortsetzen. Betroffen waren außerdem kirchliche und kommunale Einrichtungen sowie Vereine, und selbst IT-Dienstleister sind nicht gegen Cyberattacken gefeit.

Es gibt allerdings Branchen, die anfälliger für Cyberangriffe sind als andere. Hierzu zählen z.B. die öffentliche Verwaltung, der Technologiesektor und das Gesundheitswesen. Diese Wahrscheinlichkeit ist aber in der Gesamtrisikobetrachtung nur ein Faktor von vielen. So ist das Risiko, dass ein Finanzunternehmen Opfer einer Cyberattacke wird, zwar geringer als bei vielen anderen Branchen. Die Kosten, die ein erfolgreicher Angriff hier zur Folge haben könnte, sind dafür umso höher.

MW-Infografik Hiscox Cyber Readiness Report 2022 DE-1.jpg
Dem Cyber Readiness Report 2022 des Spezialversicherers Hiscox zufolge sind die durchschnittlichen Kosten von Cyberangriffen im vergangenen Jahr deutlich gestiegen. 64 % der Befragten hatten daher bereits eine Cyberversicherung abgeschlossen – deutlich mehr als noch vor zwei Jahren (58 %). (Quelle: Hiscox)

Ein weiterer Faktor ist die Angriffsfläche, die ein Unternehmen bietet. Die IT-Ausstattung eines freiberuflichen Architekten etwa beschränkt sich auf einige wenige Geräte und eine überschaubare Mange an Software, plus einige abgezählte Cloud-Dienste. Mit der Anzahl der Mitarbeiter, Systeme und Endgeräte wächst aber die Angriffsfläche aber exponentiell. Je größer und komplexer eine Organisation und ihre IT-Infrastruktur sind, desto höher ist auch die Wahrscheinlichkeit, Opfer eines Cyberangriffs zu werden.

Auch geografische Aspekte müssen in die Risikoüberlegungen einfließen: International operierende Unternehmen sehen sich an ihren einzelnen Standorten teils höchst unterschiedlichen Sicherheitsanforderungen und Regularien gegenüber und müssen organisatorische und technische Maßnahmen auf unterschiedlichste Gegebenheiten abstimmen. Zu den geografischen Aspekten gehört auch der Trend zum Homeoffice: Beschäftigte, die von zu Hause aus oder mobil und unter Umständen mit ihren eigenen Privatgeräten mit Unternehmensdaten arbeiten, öffnen damit eine Vielzahl von potenziellen Einfallstoren und stellen auch im Hinblick auf den Schutz sensibler Daten eine besondere Herausforderung dar.

Doch grundsätzlich gilt: Kein Betrieb ist zu unbedeutend, kein System ist unangreifbar. Zudem reichen die Folgen einer Cyberattacke praktisch immer über die Grenzen des eigenen Unternehmens hinaus.

MW-O0qBhJp08iHaGQDV-bar-horizontal-top-10-geschaeftsrisiken-in 1920x1080.jpg
Das Allianz Risk Barometer 2022 listet Cybervorfälle auf Platz 2 der Top-10-Geschäftsrisiken in Deutschland. Naturkatastrophen haben deutlich aufgeholt. (Quelle: Allianz Global Corporate & Specialty)

Neue Risiken durch die Lieferkette

Im Fall eines Supply-Chain-Angriffs greifen Kriminelle z.B. gezielt die Services eines IT-Dienstleisters an, um auf diese Weise Zugriff auf die Systeme von dessen Kunden zu bekommen. Ein bekanntes Beispiel war der indirekte Angriff auf die Coop-Märkte in Schweden im Juli 2021. Deren Kassen funktionierten vorübergehend nicht mehr, weil die Systeme mit einer Lösung des IT-Dienstleisters Visma Esscom arbeiteten, und diese Lösung wiederum nutzte eine RMM-Lösung (Remote Monitoring and Management) des IT-Dienstleisters Kaseya. Diesem Dienstleister hatte die primäre Attacke gegolten – mit der Folge, dass zwei Lieferkettenglieder weiter die Kunden ihren Einkaufswagen an der Supermarktkasse stehen lassen mussten. Ein Großteil der ca. 800 Coop-Filialen war tagelang geschlossen.

Angesichts von immer komplexeren Supply Chains ist absehbar, dass sich Auftraggeber künftig bei ihren Dienstleistern vertraglich den Abschluss einer Cyberversicherung zertifizieren lassen werden, die auch Haftungsschäden bei Dritten aufgrund von Cyberkriminalität abdeckt.

Die gute Nachricht: Waren Cyberversicherungen vor einem Jahrzehnt noch ein seltenes Nischenprodukt, bieten heute zahlreiche namhafte Versicherungen solche Policen an. Die schlechte Nachricht: Die drastische Zunahme an Cyberattacken ist an den Versicherungsprämien und den verschärften Bedingungen, unter denen Versicherungen überhaupt Schutz gewähren, abzulesen. Zwar sind die Kosten nur schwer vergleichbar, weil das Leistungsspektrum jeweils unterschiedlich ist, doch insgesamt haben sich die Prämien für Cyberversicherungen 2021 um etwa 30 bis 40 % verteuert. Konkret hängen die Kosten von einer Reihe von Faktoren ab, die das Unternehmen größtenteils selbst in der Hand hat.

Cyberversicherungen-2022.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Heise-Themenspecial „Cyberversicherungen – IT- und Digitalrisiken vertraglich absichern“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.

Stellschrauben der Police

Den größten Einfluss auf die Prämie hat die vereinbarte Deckungssumme. Die VHV etwa bietet für ihre Versicherung „Cyberprotect“ Deckungssummen ab 50.000 Euro bis hin zu 10 Millionen Euro. Die Inhaber einer überschaubaren Kanzlei z.B. würden sich hier möglicherweise für die niedrige Deckungssumme entscheiden, während ein Gewerbebetrieb mit 20 Mitarbeitern, der nach einem Cyberangriff eine Woche Produktionsausfall hinnehmen müsste, definitiv mehr Absicherung als die Mindestsumme benötigt.

Ein zweiter Faktor, der maßgeblich die Prämie bestimmt, ist der Selbstbehalt. Er kann auf zweierlei Art und Weise benannt werden: zum einen über einen konkreten Betrag – 1000 bis 5000 Euro stellen die Versicherer ihren Kunden häufig zur Wahl –, zum anderen über eine Ausfallzeit in Stunden, deren Kosten das Unternehmen dann selbst trägt. Vier bis 24 Stunden sind übliche Ausfallzeiten zur Selbstübernahme im Portfolio der Versicherer.

Weitere Faktoren, die mehr oder weniger großen Einfluss auf die Prämie haben, sind die vereinbarte Vertragslaufzeit, der Zahlungsrhythmus und natürlich der Leistungsumfang.

Und dann hat die ganze Sache unter Umständen noch einen gewaltigen Haken: Die Versicherer gewähren längst nicht mehr jedem Unternehmen Schutz. „Unsere Ablehnungsquote liegt derzeit aber bei 60 bis 70 %“, erklärte Jens Krickhahn von Allianz Global Corporate & Specialty in einem Interview 2021.

Selbstauskunft und Risikodialog

Bevor Versicherer eine Police abschließen, unterziehen sie das Unternehmen grundsätzlich einer Risikoprüfung. Art und Umfang dieser Prüfung hängen von der Deckungssumme, der Größe des Unternehmens und den individuellen Risiken ab. Mindestvoraussetzung ist in aller Regel eine Selbstauskunft, für die die Antragsteller einen mehr oder weniger umfangreichen Fragebogen ausfüllen müssen. Die Antworten auf die Fragen sind nicht auf die leichte Schulter zu nehmen: Wer die Sicherheit seines Unternehmens besser darstellt, als sie tatsächlich ist, verliert im Fall eines Schadens möglicherweise den Versicherungsschutz – etwa, wenn sich herausstellt, dass zwar regelmäßig Backups aller wichtigen Unternehmensdaten erstellt werden, diese aber – anders als bei Vertragsabschluss behauptet – noch nie auf Wiederherstellung getestet wurden.

Zur Risikoprüfung gehört auch ein Risikodialog zwischen den internen Sachverständigen des potenziellen Versicherungsnehmers und den IT- bzw. Forensik-Experten. Dabei geht es um den Gefährdungsgrad (Welche Risiken bestehen konkret und wie groß wäre der mögliche Schaden?) und den vorhandenen Schutz (Welche spezifischen Schutzmaßnahmen sind implementiert?). In manchen Fällen simulieren die Versicherer sogar Cyberattacken mit Penetrationstests, wenn sie sich ein realistisches Bild davon machen wollen, wie es um die technische und organisatorische Sicherheit eines Unternehmens bestellt ist.

Die Minimalvoraussetzungen sind aus Sicht der Versicherer in der Regel diese:

  • ein kontinuierlicher Virenschutz, der in Echtzeit aktualisiert wird;
  • Firewall-Strukturen an allen Übergängen zu externen Netzen;
  • regelmäßig durchgeführte Datensicherungen auf externe Systeme, samt sporadischer Wiederherstellungstests;
  • ein automatisierter oder organisatorisch geregelter Prozess für das Patch-Management;
  • ein Identitätskonzept mit klar definierten und abgestuften Zugriffsrechten.

Je nach Art und Größe des Unternehmens knüpfen die Versicherer oft noch weitere Bedingungen an den Abschluss einer Police, etwa regelmäßige Cybersicherheitsschulungen aller Beschäftigten. Fallweise müssen Unternehmen auch ein umfassendes Cybersicherheitskonzept nachweisen, bei dem Technologien, organisatorische Verfahren und Notfallkonzepte ineinandergreifen; das senkt die Erfolgswahrscheinlichkeit eines Angriffs und minimiert die Zeit bis zur Erkennung und Behebung eines Vorfalls, sodass im Ernstfall die Schäden möglichst gering bleiben.

Maßnahmen zur Absicherung der Systeme und eine Versicherung gegen Cyberattacken sind also keine Alternativen, sondern eher als komplementäre Konzepte zu betrachten. Ebenso kann ein Autofahrer zwar die Deckungssumme seiner Haftpflichtversicherung erhöhen, aber die defekte Bremse muss er trotzdem reparieren lassen.

Bausteine im Leistungskatalog

Die direkt bezifferbaren Kosten eines Cybervorfalls liegen zwar im Durchschnitt bei 18.712 Euro, im Einzelfall kann der Schaden aber schnell in die Millionen gehen. Dabei ist zu bedenken: Die Versicherungen übernehmen nicht alles, was Geld kostet. Soweit über die Police abgedeckt, leisten sie gewöhnlich das Folgende:

  • Entschädigung bei Betriebsunterbrechungen: Muss aufgrund eines Cybervorfalls die Produktion stillgelegt oder die administrative Arbeit vorübergehend eingestellt werden, zahlt die Versicherung einen in der Police vereinbarten Tagessatz. Praktikabel kann die folgende Formel sein: Tagessatz = Jahresumsatz/365 × Umsatzrendite × Jahreskosten/365. Bei Unternehmen mit saisonal stark schwankenden Umsätzen, z.B. bei großer Abhängigkeit vom Weihnachtsgeschäft, können auch variable Tagessätze vereinbart werden.
  • Erstattung der Kosten für die Datenwiederherstellung: Die Wiederherstellung von Daten, z.B. nach einer Ransomware-Attacke, ist eine Aufgabe, die teure Spezialisten erfordert. Je mehr Daten wiederhergestellt werden müssen und je aufwendiger die Rekonstruktion ist, desto teurer kann solch ein Einsatz werden. Tagessätze von 1000 Euro sind für IT-Techniker durchaus üblich und angemessen.
  • Übernahme von Drittschäden: Gelingt es Angreifern, sensible Daten Dritter von den Systemen des Unternehmens zu entwenden, kann das Unternehmen für daraus resultierende Schäden haftbar gemacht werden. Auch durch Lieferausfälle können Kunden des Unternehmens Schäden entstehen, für die eine Cyberversicherung dann eintritt. Die Versicherung wehrt außerdem unberechtigte Forderungen für das versicherte Unternehmen ab.
  • Übernahme von Kosten für IT-Forensik: Versicherungen beauftragen nach Schadenseintritt Forensik-Fachlaute mit der Untersuchung des Angriffs. Sie klären den genauen Ablauf des Vorfalls, um das Ausmaß des Schadens abzuschätzen und mögliche Folgeschäden zu verhindern. Außerdem sichern sie gerichtsfeste Beweise, die bei Strafverfolgung und Schadenersatzforderungen gegen ermittelte Verantwortliche genutzt werden können.
  • Rechtsberatung bei Datenschutzverletzungen: Die Datenschutzbehörden können empfindliche DSGVO-Bußgelder verhängen, wenn sie Unternehmen in der Mitverantwortung für eine Datenschutzverletzung sehen. Eine Cyberversicherung stellt Anwälte, die sich im IT- und Datenschutzrecht genau auskennen. Die Kosten für die Beratung übernimmt die Versicherung und hilft so, das Risiko hoher Geldbußen zu senken. Die Bußgelder selbst zahlen die Versicherungen allerdings nicht.
  • Übernahme der Kosten für Krisenkommunikator und Callcenter: Ein Cyberangriff beschädigt oft auch die Reputation des Unternehmens. Um diesen Schaden gering zu halten, bezahlen Cyberversicherer auf Krisenkommunikation geschulte Fachleute, die sich vorübergehend um die Medienarbeit für die geschädigten Unternehmen kümmern, sofern es die Cyberattacke betrifft. Auch ein Callcenter kann nötig werden, wenn etwa bei einer umfangreichen Datenschutzverletzung massenhaft Kundenfragen zeitnah beantwortet werden müssen.

Unversichert kommt am teuersten

Die Zahl der Cyberangriffe hat in den vergangenen Jahren exponentiell zugenommen. Die Täter haben längst nichts mehr mit den Hobbyhackern des frühen Internets gemein. Viele Cyberkriminelle sind hochgradig organisiert und finanziell oft sogar besser ausgestattet als die Unternehmen, die sie ins Visier nehmen. Nicht selten genießen sie sogar Rückendeckung und Unterstützung durch andere Staaten. Durch den Krieg in der Ukraine ist dies vielen Unternehmen auch bewusst geworden – „nicht ob, sondern wann“ lautet derzeit die Parole.

Cyberversicherungen sind insofern kein Luxus, sondern eventuell überlebensnotwendig. Dass einige Versicherungen mehr als die Hälfte der beantragten Vertragsabschlüsse ablehnen, ist indes ein Alarmsignal: Wer mit einer solchen Antwort beschieden wird, sollte schleunigst einen ebenso kritischen Blick auf die Security-Organisation und die technische Ausstattung des eigenen Hauses werfen wie die Experten der angefragten Versicherung – und möglichst schnell die Stellschrauben auf „maximale Sicherheit“ anziehen.

Dirk Bongardt-Quadrat.jpg

Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.

Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de

Nützliche Links