DDoS-Attacken werden immer gefährlicher, Hacker nutzen digitale Sicherheitslücken immer schamloser aus, der Online-Handel ist gerade im wichtigen Weihnachtsgeschäft das beliebteste Ziel für Cyberkriminelle. Und sogar Interpol sieht Cyberkriminalität mittlerweile als größte Bedrohung. Für Privatpersonen ist es schlimm genug, wenn sie von Phishing-Mails genervt werden, dabei im schlimmsten Fall auf Betrüger hereinfallen und bares Geld verlieren. Auch der Diebstahl persönlicher und sensibler Daten ist kein Kavaliersdelikt und längst keine Ausnahme mehr.
Unternehmen – kleine wie große – sind von dieser gar nicht mehr so neuen Art der Kriminalität aber noch auf einer ganz anderen Ebene betroffen. Datendiebstähle ruinieren das Image, DDoS-Angriffe legen das Geschäft lahm und Lösegeldforderungen können Millionen kosten – von den indirekten Kosten, die ein mehrtägiger Totalausfall mit sich bringt, ganz zu schweigen. Zur Veranschaulichung: Laut Bitkom entsteht der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage – oft in Verbindung mit Cyberattacken – jährlich ein Schaden von 223 Milliarden Euro. Jedes zehnte Unternehmen sieht seine geschäftliche Existenz durch Cyberattacken bedroht. Ein Drittel der Unternehmen meldet Angriffe mit Schadsoftware, DDoS-Attacken betreffen 27 Prozent, von Phishing berichten 18 Prozent.
Kurzum: Die Gefahr durch Cyberangriffe ist so groß wie nie und wächst stetig. Unternehmen müssen sich also sinnvoll davor schützen. Eine Möglichkeit sind dabei Cyberversicherungen. Wobei hier schon der erste Trugschluss liegt: Denn Cyberversicherungen schützen nicht vor Angriffen.
Was sind Cyberversicherungen?
Grundsätzlich handelt es sich bei Cyberversicherungen um Produkte zur Absicherung von Cyberrisiken. Sie funktionieren ähnlich wie Haftpflicht-, KFZ- oder Hausratversicherung. Das heißt: Im Schadensfall springen die Versicherungsunternehmen ein. Die Leistungen sind dabei so mannigfaltig wie die Anbieter der entsprechenden Versicherungen:
- Entschädigungszahlungen für Betriebsunterbrechungen
- Übernahme von finanziellen Schäden Dritter (also oft der Nutzer des eigenen Angebots)
- Übernahme von Gerichtskosten
- Übernahme von Schäden durch Erpressung (etwa bei einer Ransomware-Attacke)
Darüber hinaus bieten Versicherungen auch Krisenmanager, Telefonsupport oder Unterstützung bei der Wiederherstellung von verloren gegangenen Daten an.
Wie es aber in der Natur von Versicherungen liegt: Sie greifen erst im Schadensfall. Sie können im Nachgang – vor allem finanzielle – Folgen abfedern, werden in der Regel aber erst wirksam, wenn das Kind sprichwörtlich schon in den Brunnen gefallen ist. Es gibt zwar vereinzelt mittlerweile auch Angebote, die Unterstützung und Know-How bei der Cyberabwehr bieten, grundsätzlich gilt aber: Wer eine Cyberversicherung für sein Unternehmen abschließt, muss sich bewusst sein, dass man sich damit nicht proaktiv vor den Gefahren schützen kann.
Sind Cybersicherungen sinnvoll?
Nichtsdestotrotz kann eine Cyberversicherung ein wertvolles Werkzeug im IT-Sicherheitsmix sein. Denn allein die durch eine Cyberattacke verursachten Kosten können gerade für kleine und mittlere Unternehmen existenzbedrohend hoch sein. Ob es sinnvoll ist, eine Cyberversicherung abzuschließen, hängt dabei aber von diversen Faktoren ab. Unternehmen, in denen Informationstechnologie eine Rolle spielt, sollten aber auf jeden Fall über eine entsprechende Absicherung nachdenken.
Online-Händler, IT-Unternehmen und letztlich alle, für die das Internet unerlässlich ist, sind die erste Zielgruppe. Aber nicht nur diese gehen heutzutage mit (persönlichen) Daten um. Kanzleien, Arztpraxen, Hotels können genauso gut von Cyberkriminalität betroffen sein. Auch wer Mitarbeiter im Homeoffice hat, sensible Daten speichert oder Mobilgeräte wie Smartphones dienstlich nutzt, kann Opfer von Angriffen werden.
Privatpersonen sollten sich damit bislang eher nicht auseinandersetzen müssen. Natürlich kann man auch privat von Identitätsdiebstahl, Phishing oder Schadsoftware auf dem heimischen PC betroffen sein. Die Kosten-Nutzen-Rechnung dürfte hier jedoch schnell in Schieflage geraten. Zudem wird vieles, was eine Cyberversicherung abdeckt, auch von anderen Angeboten abgedeckt, etwa wenn es um Diebstahl geht.
Was kostet das?
Die Preise für Cyberversicherung sind schwierig einzugrenzen. Kaum ein Anbieter bietet Fixpreise an, wie bei Versicherungen üblich, sind die Preise von vielen Faktoren abhängig.
- Unternehmensgröße
- Branche
- Versicherungssumme
- Versicherungspaket (was ist enthalten)
Darüber bewerten die Versicherungen das Risiko. Ein großer Online-Händler mit Millionen Kundendaten, der einen Rundumschutz sucht, muss in anderen Dimensionen rechnen als eine Arztpraxis mit digitalen Akten von 150 Patienten. Eine Cyberversicherung kann bei 20 Euro im Monat anfangen, sie kann jedoch auch mehrere tausend Euro im Jahr kosten.
Der Preis ist auch davon abhängig, wie es um die IT-Sicherheit im Unternehmen bestellt ist. Wer sein Auto regelmäßig zu Schrott fährt, muss für die Kfz-Versicherung mehr zahlen als jemand, dessen Auto sowieso nur in der Garage steht. Ganz ähnlich ist es bei Cyberversicherungen. Die Versicherer prüfen im Vorfeld sehr genau, was sie da eigentlich versichern sollen – und machen gewisse Standards daher zur Voraussetzung.
Aktuelle Viren-Software auf allen Geräten, eine vernünftige Firewall, regelmäßige Daten-Backups sind die Mindeststandards. Zudem muss sichergestellt werden, dass die Arbeit aus dem Homeoffice ebenfalls entsprechend abgesichert ist, Zugriffsrechte müssen klar definiert sein und im besten Fall nehmen die Mitarbeiter an regelmäßigen Trainings und IT-Weiterbildungen teil. Wer all diese Punkte vorweisen und auch belegen (!) kann, hat gute Chancen, die Versicherungssumme im besten Fall zu drücken.
Wer bietet Cyberversicherungen an?
Wo bekommt man eine Cyberversicherung? Wie bei allen Versicherungen gilt: Vergleichen ist wichtig. Laut Für-Gründer gibt es in Deutschland mittlerweile etwa 40 Anbieter, die Cyberversicherungen im Portfolio haben. Die großen Versicherungen in Deutschland bieten mittlerweile fast flächendeckend entsprechende Angebote: Allianz, Ergo, Axa, Helvetia, HDI oder VHV. Es gibt aber auch spezialisierte Anbieter wie etwa die Hiscox, die sich besonders auf Online-Händler, Blogger und die Online-Branche fokussiert. Hiscox bietet bereits seit 2011 eine Cyberversicherung an und gilt damit als Vorreiter des Konzepts. Für Unternehmen ist es sinnvoll, zunächst den Anbieter des Vertrauens zu kontaktieren und dann entsprechend mit anderen Versicherungen zu vergleichen.
Fazit: Es kommt drauf an
Ob eine Cyberversicherung für ein Unternehmen sinnvoll ist oder nicht, ist eine individuelle Abwägung. Wer vornehmlich analog arbeitet, ist kaum bedroht. Unternehmen, die vorrangig im Internet tätig sind, mit Daten arbeiten und eine umfangreiche IT-Infrastruktur benötigen, sollten aber durchaus Angebote prüfen. Zwar schützt die Cyberversicherung nicht vor kriminellen Machenschaften, sie kann die negativen Nachwirkungen aber abfedern. Der finanzielle Schaden eines Cyberangriffs ist nicht zu unterschätzen. Das gilt vor allem für kleine und mittlere Unternehmen, die nicht mit Gewinnmargen arbeiten wie die Milliardenkonzerne aus den USA.
Interessenten muss dabei bewusst sein: Versicherer verlangen Transparenz! Versicherer wollen genau wissen, was sie versichern, bevor sie es versichern. Und wenn tatsächlich der Verdacht eines Cyberangriffs besteht, muss man dies umgehend der Versicherung melden, wenn man nicht will, dass sie die Schadensregulierung verweigert. Wenn man als Unternehmen tatsächlich von einem Angriff betroffen ist, dann kann man den Streit mit der Versicherung nicht auch noch gebrauchen.
In Kürze:
- 9 von 10 Unternehmen haben schon mit Cyberangriffen zu tun gehabt
- Internetkriminalität verursacht jedes Jahr Milliardenschäden
- Eine Cyberversicherung schützt nicht vor Angriffen, kann aber die finanziellen Verluste ausgleichen
- Die Kosten für eine Cyberversicherung hängen von der Größe des Unternehmens und von der Branche ab
- Fast alle großen deutschen Versicherer bieten Cyberversicherungen an
- Die Cyberversicherung ersetzt keine IT-Sicherheitsstandards!
Kommentar schreiben