Drei von vier Unternehmen wurden im Jahr 2019 Opfer von Sabotage, Datendiebstahl oder Spionage. Damit entstand der deutschen Wirtschaft ein finanzieller Gesamtschaden von über 100 Milliarden Euro. Dies hat eine Umfrage des Digitalverbands Bitkom mit über eintausend befragten Unternehmen ergeben. Viele Firmen halten sich für zu klein, um ins Visier von kriminellen Hackern zu geraten. Dennoch werden vor allem kleine und mittelständische Unternehmen (KMU) Opfer von Cyberattacken. Nach einem Hackerangriff haben diese Firmen oftmals Schwierigkeiten, den Geschäftsbetrieb aufrecht zu erhalten und wieder zum Normalbetrieb zurückzukehren. Um sich vor den finanziellen Schäden durch Cyberkriminalität zu schützen, entscheiden sich Unternehmen daher zunehmend für den Abschluss einer Cyberversicherung.
Leistungen einer Cyber-Police
Unternehmen können sich gegen Cyberkriminalität entweder durch die Ergänzung einzelner Cyber-Komponenten in der betrieblichen Haftpflichtversicherung oder den Abschluss einer vollständigen Cyber-Police schützen. Das Leistungsspektrum einer Cyberversicherung erstreckt sich dabei über die Deckung von Eigenschäden, Drittschäden und zusätzlich vereinbarter Service-Leistungen. Zu Eigenschäden zählen die Kosten für die Reparatur von IT-Systemen, die Neubeschaffung von Hardware oder die Gehälter von Beschäftigten in Folge einer Betriebsunterbrechung. Drittschäden beziehen sich vor allem auf Datenschutzverstöße, bei denen personenbezogene Daten von Kunden oder anderen Geschäftspartnern versehentlich in die falschen Hände geraten sind. Eine Cyberversicherung übernimmt in dem Fall die Kosten für Sachverständige, die versuchen, die Daten wiederherzustellen. „Versicherungsunternehmen bieten zusätzlich zur Zahlung von Eigen- und Drittschäden auch Service-Leistungen an, die ein Unternehmen nach einem Hackerangriff beim Krisenmanagement unterstützen. Dazu zählen neben der Beweissicherung durch IT-Spezialisten auch die Begrenzung von Folgeschäden durch gerichtliche Auseinandersetzungen oder Imageschäden“, erklärt Dr. Christian Weber, Bereichsleiter für Öffentliche Sicherheit & Verteidigung beim Digitalverband Bitkom.
Sicherheit ist Chefsache
Obwohl eine Cyber-Police die Schäden eines Hackerangriffs auffangen kann, sind Unternehmen in der Pflicht, in ihrem Betrieb technische, organisatorische und personelle Sicherheit zu gewährleisten. „Sicherheit ist Chefsache. In der Geschäftsleitung sollten daher alle sicherheitsrelevanten Themen angesiedelt sein, die sich auf technischer, organisatorischer und personeller Ebene wiederfinden. Dazu gehört auch die Entscheidung für oder gegen eine Cyberversicherung“, erklärt der Sicherheitsexperte. Technische Sicherheit können Unternehmen durch einen professionellen Passwortschutz, Firewalls, Virenscanner, regelmäßige Software-Updates und Penetrationstests gewährleisten. „Auf der organisatorischen Ebene sollte unter anderem festgelegt werden, wer welche Zugriffsrechte hat, sodass der Zutritt zu wichtigen Bereichen auf einzelne Personen beschränkt ist, denen vorab die entsprechenden Kompetenzen zugesprochen wurden“, erläutert Christian Weber. Auf der personellen Ebene empfiehlt er, Beschäftigte entsprechend schulen zu lassen und ihnen regelmäßig aufzuzeigen, welche aktuellen Cybercrime-Risiken bestehen, damit sie im Zweifelsfall wissen, wie mit einem Cyberangriff umzugehen oder wie er zu verhindern ist.
Dr. Christian Weber, Bereichsleiter Öffentliche Sicherheit & Verteidigung beim Digitalverband Bitkom
© Bitkom e. V.
Für wen lohnt sich eine Cyberversicherung?
Mit der Bedrohungslage wächst auch der Markt für Cyberversicherungen. „Cyberkriminalität ist kein neues Phänomen, in den vergangenen Jahren haben die Attacken auf Unternehmen jedoch massiv zugenommen. Mit Cyber-Policen reagieren Versicherungen auf steigende Schadensfälle und den Bedarf an Versicherungsleistungen“, stellt Christian Weber fest. Ab wann eine Cyberversicherung sinnvoll ist, müssen Unternehmen individuell bei Vorlage eines konkreten Angebots abwägen. „Es kommt natürlich darauf an, inwiefern eine Versicherung eine Eigenbeteiligung beansprucht, wie hoch die Prämie ist und wie hoch der Schaden sein kann, von dem man ausgeht. Einen Cyberangriff kann man leider nicht vorhersehen und auch sein Ausmaß ist schwierig zu berechnen, daher müssen im Vorhinein klare Absprachen zwischen einem Unternehmen und seinem Versicherungsanbieter getroffen werden“, erklärt Weber. Zeit ist hier der entscheidende Faktor. Nach einem Angriff muss es schnell gehen und das Notfallmanagement reibungslos funktionieren. Die Erfahrungswerte und die eingespielte Vorgehensweise einer Cyberversicherung sind in der Praxis ein nicht zu unterschätzender Mehrwert für die betroffenen Unternehmen. Bei Großunternehmen stelle sich dagegen vielmehr die Frage, inwiefern ein einzelner Versicherungsanbieter den Schaden überhaupt tragen kann. Eine Möglichkeit bietet hier der Zusammenschluss mehrerer Versicherungen zu einem Konsortium, das die Schäden einer Cybercrime-Attacke gemeinsam zahlt.
Das Thema sichtbar machen
Eine gesetzliche Pflicht zur Cyberversicherung besteht aktuell nicht. Dennoch sieht Christian Weber großen Bedarf, das Thema bei den Unternehmen bekannter zu machen. „Es gibt vermutlich einige KMU, die noch nie von einer Cyberversicherung gehört haben. Daher wäre es schon ein erster Schritt, überhaupt zu zeigen, dass es Möglichkeiten zur Absicherung gegen Cyberkriminalität gibt.“ Er ist der Meinung, dass eine Cyberversicherung eine gute Ergänzung sein kann, die aber nicht die IT-Sicherheit ersetzt. „Cyberangriffe können jeden treffen, egal wie gut ein Unternehmen geschützt ist. Die Angreifer sind mit ihrer Technik immer ganz weit vorne und entdecken ständig neue Lücken, um Angriffe zu starten. Deswegen ist so eine Versicherung sicherlich eine sinnvolle Ergänzung“, erklärt er. Christian Weber ist sich sicher, dass das Thema Cyberversicherung und der dazugehörige Markt weiter wachsen werden.
(SBa/WL, 26.04.2021)