Cyber-Versicherung

Cyber-Versicherung

Wusstest du, dass Experten davon ausgehen, dass es heutzutage nur noch eine Frage der Zeit ist, bis dein Unternehmen Opfer eines Cyber-Angriffs wird? Und wusstest du, dass viele der Cyber-Schäden direkt oder indirekt durch die eigenen Mitarbeiter verursacht werden? Erfahre hier, was eine Cyber-Versicherung ist und was sie leistet. Eine gute Cyber-Versicherung kann dir nämlich sogar schon helfen, bevor ein Schaden entsteht und dadurch die Wahrscheinlichkeit eines schädlichen Cyber-Angriffs verkleinern.


Inhalt

Cyber-Versicherung

Die Cyber-Versicherung ist eine Versicherung, die dir im Idealfall vor, während und nach einem Schaden durch Cyber-Kriminalität hilft. Zu Cyber-Kriminalität zählen z.B. Hacker-Angriffe, DoS-Attacken, Ransomeware, Social Engineering oder Innentäter, d.h. Cyber-Kriminalität durch eigene Mitarbeiter (Sabotage, Datendiebstahl, etc.). Sie kann die Risiken eines Cyber-Angriffs nicht per se verhindern. Aber eine gute Cyber-Versicherung kann dir dabei helfen, das Risiko zu minimieren. Außerdem bietet sie Leistungen, die den Schaden in Grenzen halten und deine finanzielle Existenz (bzw. die deines Unternehmens) retten können. Sie bietet also - anders als andere Versicherungen - schon aktive Hilfe während eines Schadenfalles und nicht nur den nachgelagerten Schadenausgleich.

Eine Cyber-Versicherung ist ein sehr komplexes Produkt. Denn die rasanten technologischen Fortschritte sorgen für wechselnde Risiken, die in der Versicherung berücksichtigt werden müssen. Sie ist eine relativ neue Versicherung. Cyber-Angriffe sind erst mit dem verbreiteten Einsatz von Computern, dem Internet und mobilen Endgeräten zu einer Bedrohung geworden. Je mehr Technologie mit Schnittstellen zur digitalen Welt in unserem Alltag zum Einsatz kommt, desto höher wird das Risiko durch Cyber-Angriffe. Da immer mehr Technologien in unseren Alltag integriert werden und immer mehr Prozesse digitalisiert werden, steigen sowohl das Risiko als auch die Abhängigkeit der Unternehmen. Diese teilweise 100%tige Abhängigkeit gilt es zu schützen. Deshalb nimmt die Bedeutung der Cyber-Versicherung zu. Sie wird aus gutem Grund auch schon als „Feuerversicherung des 21. Jahrhunderts“ bezeichnet. In den USA, wo die Cyber-Versicherung ihren Ursprung hat, ist sie mittlerweile fast zu einer Standardversicherung geworden.

Die Cyber-Versicherung ist, wie gesagt, ein noch relativ junges Produkt. Die erste Cyber-Versicherung gab es 2011 in Deutschland. Erst seit 2016 hat sie mit ca. 40 Anbietern ihren Durchbruch in Deutschland. Deshalb gibt es vergleichsweise wenig Erfahrungswerte, auf die die Versicherer zurückgreifen können. Das führt dazu, dass Inhalte, Leistungen und Prämien bei den Cyber-Versicherungen stark variieren. Dadurch fällt es schwer, sie untereinander zu vergleichen. Es gibt aber Bestandteile, die viele Versicherer im Rahmen der Cyber-Versicherung anbieten. Je nach Anbieter variieren die Bestandteile in Bestand und Leistungsumfang.

Die Cyber-Versicherung sollte diese 3 Bestandteile beinhalten:

  • Cyber-Eigenschäden
  • Cyber-Drittschäden (Haftpflicht)
  • Cyber-Betriebsunterbrechung

Eigenschäden können auf vielfältige Art und Weise durch einen Cyberangriff entstehen. Deren Beseitigung kann schnell sehr hohe Kosten verursachen. Wenn dein Unternehmen auf den Einsatz von Computern, sonstiger Technik oder Maschinen und auf die Daten angewiesen ist, dann ist es unerlässlich, dass alle Systeme und Daten wiederhergestellt werden. Und das auch noch möglichst schnell. Je nach Art des erfolgten Cyber-Angriffs kann das kompliziert sein und teure IT Spezialisten erfordern. Vor der Beseitigung muss allerdings als erstes die Ursache identifiziert werden, damit die richtigen Maßnahmen getroffen werden könne. Die Ursachenfindung wird von einem IT-Forensiker durchgeführt. Bei der Identifizierung der Schadensursache, handelt es sich um eine sehr spezielle Kernkompetenz, die in der Regel in den seltensten Fällen in internen IT-Abteilungen von Unternehmen vorhanden ist.

Bei der Wiederherstellung der Systeme und Daten hören die Kosten für die Beseitigung der Eigenschäden aber nicht auf. Falls Kundendaten von dem Cyberangriff betroffen sind, muss die Verletzung des Datenschutzes gemeldet und die Betroffenen müssen benachrichtigt werden. Dazu gibt es in Deutschland eine gesetzlich geregelte Verpflichtung. Wird dieser Verpflichtung nicht nachgekommen, kann es rechtliche Folgen nach sich ziehen. Da dein Unternehmen unter Umständen dafür haftbar gemacht wird oder ein Reputationsschaden entstehen kann, wird die Zusammenarbeit mit einem Datenschutzanwalt und einem PR- bzw. Krisen-Berater empfohlen. Eine gute Cyberversicherung deckt auch die Kosten für diese Beratungsleistungen ab.

Zu verursachten Drittschäden zählt z.B., wenn sensible Kundendaten gestohlen werden und die betroffenen Kunden für diesen Missbrauch von dir einen Schadenersatz verlangen. Oder wenn du oder deine Mitarbeiter unabsichtlich ein Virus weiterleiten, dass sich auf deinem Computer befindet. Diese Schäden werden unter einer Cyber-Haftpflichtversicherung gefasst und von dieser übernommen. Bei einigen Vermögensschadenhaftpflichtversicherungen ist eine Versicherung von Cyber-Drittschäden sogar schon bereits Teil des Versicherungsschutzes. Wenn du Hilfe bei der Prüfung deiner Versicherung benötigst, melde dich gerne bei uns. Wir helfen dir dabei.

Bei einer Betriebsunterbrechung handelt es sich zwar auch um einen Schaden, der bei deinem Unternehmen entsteht – also ein eigener Schaden – aber trotzdem wird die Betriebsunterbrechung über einen separaten Bestandteil auf Grund von Cybergefahren abgedeckt. Gerade für Onlineshops, die ihre Einnahmen zum ganzen oder größten Teil über einen Onlinekanal erwirtschaften, ist eine Versicherung, die eine Betriebsunterbrechung abdeckt, überlebensnotwendig. Eine DoS Attacke führt nämlich dazu, dass der Onlineshop nicht mehr erreichbar ist und dadurch keine Produkte mehr verkauft werden können. DoS Attacken haben laut einer Studie von Accenture und dem Ponemon Institute allein von 2017 zu 2018 um 3% zugenommen. Dabei sind allerdings die Kosten der DoS Attacken um ganze 11% von 1,6 Mio. auf 1,7 Mio. US$ gestiegen.


„Jedes Unternehmen muss jederzeit mit einem Cyberangriff rechnen und sich ausreichend davor schützen – koste es, was es wolle. Das allerdings passiert viel zu selten. […] Wer seinen wertvollsten Rohstoff – Patente, Ideen, Baupläne – nicht ausreichend vor fremden Blicken schützt, wird schon in Kürze bedeutungslos werden.“Frankfurter Rundschau 


Was eine gute Cyber-Versicherung noch leisten sollte

Jede gute Cyber-Versicherung sollte aber nicht nur die Möglichkeit bieten die oben genannten Bereiche abzudecken. Sie sollte Leistungen anbieten, bevor überhaupt ein Schaden eintritt. Sie sollte präventive Maßnahmen anbieten, die den Eintritt eines Schadens minimiert. Und sie sollte in dem Moment unterstützen, wenn der Schaden passiert oder ein Risiko erkannt wurde.

Das bedeutet konkreter:

Präventive Maßnahmen

  1. Die Weiterbildung der Mitarbeiter (auch IT Abteilung): Der Mensch stellt die größte Sicherheitslücke dar. Um diese Lücke so klein wie möglich zu machen, müssen Mitarbeiter für Risiken sensibilisiert und in deren Umgang geschult werden, z.B. durch Awareness-Schulungen.
  2. Der Risiko-Check: Wie ist der Status quo im Unternehmen? Welche Sicherheitsmaßnahmen gibt es schon und was kann verbessert werden? Hier werden Schwachstellen identifiziert und Empfehlungen zur Verbesserung der Sicherheit gegeben.
  3. Die Entwicklung eines Krisenplans: Wie sollen sich Mitarbeiter im Falle eines identifizierten Risikos oder Angriffs verhalten? Wie sind die Abläufe? Wenn der Schadenfall eintritt, musst du nicht mehr lange überlegen, was zu tun ist. Der Krisenplan gibt dir und deinen Mitarbeitern Tipps, wie ihr euch am besten verhaltet.

Unterstützung im Schadensfall

  1. Ansprechpartner, die Soforthilfe leisten: Speziell kleinen und mittelständischen Unternehmen fehlt oft das Fachpersonal, um nach einem Schadensfall Beweise zu sichern, den Umfang des Schadens zu bestimmen und die Geschäftstüchtigkeit wieder herzustellen. Da ist es gut, wenn deine Versicherung dir direkt ein Team aus IT-Spezialisten, wie z.B. einen IT-Forensiker, zur Seite stellt. Das ist ein weiteres gutes Argument für eine Cyber-Versicherung, selbst wenn dein Unternehmen IT-Fachpersonal beschäftigt. Denn bedenke: Das Team des Versicherers ist auf solche Vorfälle spezialisiert. Es gehört zu ihrem Arbeitsalltag Hacker aufzuspüren und in Unternehmen wieder den Arbeitsalltag herzustellen. Sie sind die „digitale Feuerwehr“ und können über eine 24/7 Hotline auch bereits bei Verdachtsverfällen kontaktiert werden.
  2. Beratung beim Krisenmanagement: Sollte ein Angreifer Zugang zu Kundendaten oder Daten anderer Dritter erlangen, stellt dies eine Datenschutzverletzung dar und muss nach §33 Abs. 1 DSGVO innerhalb von 72 Stunden den Datenschutzbehörden gemeldet werden. Das kann die Notwendigkeit nach sich ziehen, Mitarbeiter oder Kunden von dem Vorfall benachrichtigen zu müssen. Hier ist es hilfreich Experten für Krisenkommunikation und einen Fachanwalt für rechtliche Beurteilung an der Seite zu haben, die dir helfen. Damit aus der Krise keine Katastrophe wird, unter der die Reputation leidet.


Beispiele von Cyber-Risiken und warum sie jeden betreffen

Die Cyber-Risiken sind zahlreich. Und durch jede technologische Neuentwicklung und verbesserte Angriffsstrategien der Hacker, kommen weitere Risiken hinzu. Und wie bereits mehrfach gesehen, machen die Angreifer vor nationalen Grenzen keinen Halt. Außerdem muss die eingesetzte Schadsoftware niemals eine Ruhepause machen und lässt sich in ihrer Effizienz auch noch durch zusätzliche Rechenleistung steigern.

Der Hacker-Angriff ist wohl das häufigste Risiko, an das die Menschen im Kontext von Cyber-Kriminalität oder Cyber-Schäden denken. Es sind auch die Fälle, die bisher die meiste Aufmerksamkeit von den Medien bekommen. Es gibt gezielte und nicht gezielte Angriffe. Im Speziellen sind es die ungezielten Angriffe, die keinen Halt bei vermeintlich „unwichtigen“ Unternehmen oder Daten machen. Diese werden meistens von Ransomeware verursacht und sind dann mit Lösegeldforderungen verbunden. Die Lösegeldforderung ist oft relativ gering. Aber die Kosten der Folgeschäden (IT-Forensik, Wiederherstellung, Betriebsunterbrechung, Krisenkommunikation etc.) sind enorm.

Viele Geschäftsführer sehen keine Bedrohung für ihr Unternehmen, wenn sie der Meinung sind, dass ihre Daten nicht spannend oder von keinem ersichtlichen Wert sind. Am Ende entscheidest allerdings nicht du darüber, ob deine Daten interessanten sind, sondern der Hacker oder der Algorithmus einer KI (künstlichen Intelligenz). Und dass Cyber-Risiken auch für kleine oder mittelständische Unternehmen zu einer echten Bedrohung werden können, haben leider zahlreiche Beispiele bereits bewiesen. Laut Untersuchungen der Telekom gab es allein im April 2019 durchschnittlich 31 Millionen Angriffe auf deutsche Firmen pro Tag! Der Spitzenwert lag bei 46 Millionen Angriffen pro Tag.

Und selbst wenn ein Angreifer bei deinem Unternehmen keine spannenden oder wertvollen Daten findet, stellt dies einen guten Ausgangspunkt für den Täter dar. Denn mit Hilfe von Ransomeware können die Daten geklaut oder der Zugang zu ihnen versperrt werden. Damit kann dein Betrieb außer Gefecht gesetzt werden oder du musst darum bangen, dass ein Reputationsschaden entsteht, falls die Daten veröffentlicht werden. Diese Situation ist für die Täter eine gute Gelegenheit für eine Erpressung. Ohne Fachpersonal oder spezielles Knowhow stehst du dann vor der Entscheidung die geforderte Erpressungssumme zu zahlen und zu hoffen, die Daten wiederzubekommen. Oder nicht zu zahlen und den oft noch höheren und vielschichtigen Schaden in Kauf zu nehmen.


Dein Mitarbeiter als einer der größten Sicherheitsrisiken

Zu Cyber-Risiken zählen nicht nur Hacker als Täter. Laut der Bitkom Studie aus 2019 waren die Täter bei 33% der befragten Unternehmen ehemalige Mitarbeiter, die sogar vorsätzlich handelten. Das ist schon eine recht hohe Zahl. Diese wird aber noch durch die Mitarbeiter erhöht, die „nur“ fahrlässig handelten oder ausversehen Fehler begingen. Den Angreifern, die an deine Daten wollen, ist es egal aus welchem Grund deine Mitarbeiter Daten weitergeben oder Zugang gewähren. Hauptsache, sie tun es. Und leider tun die Mitarbeiter das relativ oft und stellen damit eines der höchsten Sicherheitsrisiken in deinem Unternehmen dar.

Das haben auch viele Angreifer erkannt und haben deshalb spezielle Methoden entwickelt, mit denen sie sich auf das schwächste Glied in der Sicherheitskette konzentrieren: den Menschen. Auf Grund der immer besser werdenden Sicherheitssystemen in den Unternehmen, ist es heutzutage einfacher, Menschen zu kontaktieren und diese zu beeinflussen. Genau das passiert beim sogenannten Social Engineering. Dabei werden Mitarbeiter beeinflusst, mit dem Ziel, Daten herauszugeben oder den Zugang zu ihnen zu gewähren. Diese Beeinflussung kann auf viele unterschiedliche Weisen passieren.

Zum einen können Mitarbeiter ausspioniert, angeschrieben oder angerufen werden. Dabei wird ihnen zum Beispiel vorgetäuscht, dass ein Dienstleister oder Experte aus der IT-Sicherheit am Telefon ist. Um einen großen Schaden zu vermeiden, soll der Mitarbeiter nun sofort Passwörter übermitteln oder Zugang zum Computer gewähren. Zum anderen kann es aber auch so weit gehen, dass Mitarbeiter vor Ort angesprochen oder dazu benutzt werden, sich auf bequeme Art und Weise Zugang zu den Serverräumen in den Büros des Unternehmens zu verschaffen.

Manchmal ist es aber auch ganz simpel und es werden lediglich E-Mails versendet, in denen der Mitarbeiter aufgefordert wird auf einen Link zu klicken. Oder es werden im oder um das Unternehmen herum, leicht zu findende USB Sticks verteilt, auf denen sich Schadsoftware befindet. Und wer kann schon der Versuchung widerstehen, nachzuschauen, was sich wohl auf dem USB Stick befinden mag?

Und zu all dem oben Genannten, kommt auch noch nachlässiges Verhalten hinzu. Damit ist die Verwendung von unsicheren Passwörtern oder die Verweigerung der Durchführung von Updates gemeint. Da ist es nicht mehr verwunderlich, dass es 2019 in Deutschland ca. 17,7 Millionen Opfer von Internetkriminalität gab (laut den Angaben von Statista). Dabei handelt es sich aber natürlich nur um die Taten, die entdeckt und auch gemeldet wurden. In Deutschland stiegen die Kosten im Zusammenhang mit Cyberangriffen 2018 um 18%. In den letzten 5 Jahren war sogar ein Anstieg von sage und schreibe 40% zu verzeichnen.


Warum du besser heute als morgen eine Cyber-Versicherung abschließt

Eine Cyber-Versicherung kann nicht einfach so von jedem abgeschlossen werden. Unternehmen, die ein erhöhtes Risiko aufweisen oder bereits mehrfach Opfer von Cyber-Kriminalität wurden, können keine oder nur noch unter erschwerten Bedingungen eine Cyber-Versicherung abschließen. Je nach Risiko oder bereits in der Vergangenheit eingetretenen Schäden, wird die Prämie der Cyber-Versicherung dann auch sehr hoch sein.

Deshalb ist es wichtig, möglichst früh eine Cyberversicherung abzuschließen. Damit sparst du dir bzw. deinem Unternehmen später exorbitant hohe Versicherungsprämien. Aber noch viel wichtiger: mit der Unterstützung deiner Cyber-Versicherung wirst du vielleicht deine Mitarbeiter sensibilisieren, deine IT verbessern und dadurch den einen und anderen Cyber-Angriff verhindern und es den Hackern schwerer machen. Übrigens ist die Eintrittswahrscheinlichkeit eines Cyber-Schadens höher als beispielsweise Feuergefahr. Wer hätte das gedacht?


FAQs zu Cyber-Versicherung

Was kostet eine Cyber-Versicherung?

Die Kosten für eine Cyber-Versicherung hängen von verschiedenen Faktoren ab. Bei einem Unternehmen z.B. vom Umsatz, der Größe und den existierenden Sicherheitsmaßnahmen. Kontaktiere uns und wir errechnen dir gerne den Beitrag für deine Cyber-Versicherung.

Wenn ich sehr gute IT-Systeme in meinem Unternehmen einsetze, brauche ich dann noch eine Cyber-Versicherung?

Ja. Denn kein IT-System ist immer 100%tig sicher. Außerdem stellen die Mitarbeiter des Unternehmens ein hohes und oft unterschätztes Risiko dar. Deshalb ist eine Cyber-Versicherung sehr wichtig und stellt einen elementaren Baustein eines ganzheitlichen Risikomanagements dar.

Wenn ich eine Cyber-Versicherung abgeschlossen habe, muss ich mich dann noch um die IT-Sicherheit kümmern?

Es ist super gut, wenn du eine Cyber-Versicherung abgeschlossen und als Bestandteil deines Risikomanagements berücksichtigt hast. Sie ersetzt aber keinesfalls die Notwendigkeit deiner IT-Sicherheit. Vielmehr sind gewisse IT-Sicherheitsvorkehrungen sogar Voraussetzung, damit du dein Unternehmen gegen Cyber-Risiken absichern kannst. Eine gute IT-Sicherheit kann Schutz vor Cyber-Angriffen bieten. Eine Cyber-Versicherung greift, wenn dein Unternehmen trotz IT-Sicherheitsvorkehrungen durch eine Cyber-Attacke geschädigt wurde.

Warum ist eine Cyber-Versicherung für kleine und mittelständische Unternehmen von besonderer Bedeutung?

Viele kleine und mittelständische Unternehmen unterschätzen die Gefahren, die von Cyber-Angriffen ausgehen. Gleichzeitig verfügen sie in den seltensten Fällen über die Ressourcen, die für eine umfängliche Absicherung und Eingrenzung von Schäden notwendig sind. Ein erfolgreicher Cyber-Angriff kann in solchen Fällen noch gravierendere Schäden verursachen. Im schlimmsten Fall sogar die Existenz kosten. Deshalb ist eine Cyber-Versicherung für kleine und mittelständische Unternehmen besonders wichtig.


Dieser Artikel ist ein Informationsangebot und ersetzt keine persönliche und individuelle Beratung.

Dein Ansprechpartner für das Fachgebiet Cyber-Versicherung

Holger HegemannHintergrundmuster Punkte. Corporate Design von GründerFinanz dem unabhängigen Versicherungsmakler
Holger Hegemann
Geschäftsinhaber

Warum eine Cyber-Versicherung so wichtig ist:

  • Die Cyber-Versicherung greift, wenn dein Unternehmen (trotz bestehender IT-Sicherheitsvorkehrungen) Opfer einer Cyber-Attacke geworden ist
  • Sie bietet im Idealfall präventive Maßnahmen bevor etwas passiert und bietet umfangreiche Leistungen im Schadensfall
  • Auch wenn dein Unternehmen ein sehr gutes IT-Sicherheitssystem hat, wird es niemals 100%tig sicher sein. Eines der größten und unterschätzten Risiken stellen deine Mitarbeiter dar
  • Die Cyber-Versicherung hilft die schwer einzuschätzenden Folgeschäden einer Cyber-Attacke abzusichern. Die Folgen einer solchen Attacke sind in den meisten Fällen gravierend und können die Existenz deines Unternehmens bedrohen
Hast du noch Fragen?
Hintergrundmuster Punkte. Corporate Design von GründerFinanz dem unabhängigen VersicherungsmaklerGründerFinanz unabhängiger Versicherungsmakler Köln shutterstock_1182169849_1 KontaktHintergrundmuster Punkte. Corporate Design von GründerFinanz dem unabhängigen Versicherungsmakler
Wir freuen uns auf dich
+49 (0) 221-5727 34 00
Eigelstein 123
50668 Köln
Unser Blog
In unserem Blog versorgen wir dich mit spannenden Infos & News aus der Versicherungswelt. Waaas? Du glaubst nicht, dass Versicherungen spannend sein können? Ließ unseren Blog und überzeuge dich selbst.
Webdesign by
Logo Friendventure
Friendventure