Frau unterschreibt eine Cyberversicherung

Manchmal braucht es nur einen einzigen Klick auf eine infizierte E-Mail, damit der Dominoeffekt des Grauens einsetzt: Schadsoftware wie Trojaner oder Keylogger dringt ins System ein und breitet sich, sofern die Endpoints nicht ausreichend abgesichert sind, lateral aus.

Kein Wunder also, dass immer mehr Unternehmen versuchen, sich mittels Cyberversicherungen für katastrophale Folgen zu wappnen. Wir schauen uns an, wie sinnvoll Cyberversicherungen tatsächlich sind, und welche Voraussetzungen Unternehmen für den vollen Versicherungsschutz erfüllen müssen.

Inhalte (verbergen)

Was leistet eine Cyberversicherung?

Die steigende Cyberkriminalität ist eine der Schattenseiten der rasant fortschreitenden Digitalisierung. Je abhängiger ein Unternehmen von der Computer- und Telekommunikations-technik ist, desto gravierender können die Folgen eines Angriffs sein.

Das Manipulieren von Daten, das unbefugte Eindringen in Systeme oder die Verbreitung von Schadsoftware können nicht nur zum Verlust von sensiblen Daten führen, sondern auch Schadenersatzansprüche im Millionenbereich nach sich ziehen.

Eine Cyberversicherung verhindert zwar nicht, dass ein Hacker ins System eindringt oder ein Mitarbeiter Datendiebstahl begeht, aber sie mindert die finanziellen Folgen eines solchen Angriffs.


Je nach Vereinbarung bietet sie außerdem weitere Serviceleistungen, die den Betroffenen dabei helfen, den Schaden zu begrenzen.

Milliarden-Schäden durch Cyber-Attacken

Laut bitkom belaufen sich die Schäden für die deutsche Wirtschaft durch Cyber-Angriffe jährlich auf mehr als 100 Milliarden Euro. Experten gehen jedoch davon aus, dass die Dunkelziffer deutlich höher ist. Viele Unternehmen würden Angriffe aus Angst vor Reputationsverlusten gar nicht erst melden.

Und selbst wenn der finanzielle Schaden (z.B. durch Lösegeldforderungen) das Unternehmen nicht in den Ruin treibt: Auch der Angriff selbst kann existenzvernichtende Folgen haben.

Dies ist z.B. der Fall, wenn ein Virus das Computersystem lange genug lahmlegt und die Firma handlungsunfähig macht. 2017 ist genau das Lukaskrankenhaus in Neuss (Deutschland) passiert: Ein Erpressungs-Trojaner, der über einen infizierten E-Mail-Anhang ins System gelangt war, verschlüsselte innerhalb von Sekunden sämtliche Daten.

Das Krankenhaus brauchte damals einen vollen Monat, bis die Systeme wieder voll einsatzbereit waren. Und das, obwohl in der Nacht vor dem Angriff sogar noch ein Daten-Backup gemacht worden war.

Warum Cyberversicherungen sinnvoll sind

Die Wunder der Digitalisierung machen Unternehmen effizienter, aber auch anfälliger. Laut Allianz.de belaufen sich die Schäden für deutsche Unternehmen durch Cyber-Attacken auf rund 100 Milliarden Euro. Und das jedes Jahr. In Österreich hat schon jedes vierte Unternehmen in den letzten fünf Jahren konkrete Angriffe auf sensible Daten gemeldet.

Mehr als die Hälfe dieser Angriffe wird durch sog. Insider Threats verübt. In vielen Fällen handelt es sich bei den Angreifern um ehemalige Mitarbeiter, deren Zugänge nicht vollständig gesperrt wurden. Cyber-Risiken gelten aktuell als größtes Risiko für Unternehmen weltweit, gleichauf mit Betriebsunterbrechungen.

Wer braucht eine Cyberversicherung?

Von Cyber-Attacken wie Phising bzw. Whaling, Hacking und anderem Datendiebstahl sind grundsätzlich Unternehmen und Organisationen jeder Größe und aus jeder Branche betroffen. Laut Allianz.de gibt es allerdings Zielgruppen, die stärker gefährdet sind als andere.

Besonders häufig zur Zielscheibe von Internetkriminalität werden KMU (kleine und mittelständische Unternehmen), Arztpraxen, Handwerksbetriebe, Rechts- und Wirtschaftskanzleien, Hotels, IT-Dienstleister und der Online-Handel.

Mitarbeiter in einem Online Marketing Unternehmen. Bild in einem Artikel über die Notwendigkeit einer Cyberversicherung im Online-Business.

Was kostet eine Cyberversicherung?

Bei Versicherungen gegen die Folgen von Angriffen aus dem Internet ist es wie mit allen Versicherungen: Die Kosten variieren. Je nach Jahresumsatz, Branche, Unternehmensart, Versicherungssumme und Selbstbehalt gibt es Cyberversicherungen schon ab wenigen Euro im Monat. Je größer die Versicherungssumme und je umfänglicher der Schutz, desto höher sind die monatlichen Beiträge.

Was deckt eine Cyberversicherung?

Eine Cyberversicherung leistet mehr als “nur” finanzielle Hilfe, denn nach einem Angriff zählt jede Minute. Sind neben dem eigenen Betrieb auch Dritte betroffen, ist es umso wichtiger, dass das Unternehmen handlungsfähig bleibt, um sofort mit der Schadensbegrenzung beginnen zu können. Aus diesem Grund deckt eine Standard-Cyberversicherung drei Bereiche ab:

  • Eigenschäden

  • Drittschäden

  • Serviceleistungen

Eigenschäden durch Cyber-Angriffe

Nach einer Attacke steht der Bürobetrieb im schlimmsten Fall für mehrere Tage oder sogar Wochen still. Bis die Firma wieder auf die Beine kommt, zahlt die Versicherung in diesem Fall einen im Vorfeld individuell vereinbarten Tagessatz, der sowohl für die entgangenen Gewinne entschädigt, als auch die laufenden Kosten deckt. Dieser Satz orientiert sich in der Regel am Jahresumsatz, der Umsatzrendite und den Jahreskosten.

In den meisten Fällen sind Cyberangriffe mit dem Verlust von Daten bzw. der Beeinträchtigung der Computersysteme verbunden. In solchen Fällen ersetzt die Versicherung die Kosten für die Rekonstruktion der Daten und die Wiederherstellung der Systeme.

Versicherung gegen Drittschäden

Wenn Unternehmen nach einem Hacker-Angriff nicht wieder auf die Beine kommen, liegt dies in vielen Fällen an den verursachten Drittschäden. Das Unternehmen ist den Betroffenen gegenüber haftbar, wenn sensible Kundendaten aus dem Firmennetzwerk gestohlen bzw. in der Cloud nicht ausreichend geschützt wurden.

Die Schadensersatzansprüche übersteigen in vielen Fällen die finanziellen Möglichkeiten des haftenden Unternehmers und führen nicht selten dazu, dass ein Unternehmen Insolvenz anmelden muss. Eine Cyberversicherung

  • ersetzt den betroffenen Kunden den entstandenen Schaden,

  • wehrt unberechtigte Forderungen ab (Rechtsbeistand) und

  • ersetzt auch Ansprüche, die nicht durch, sondern infolge eines Angriffs auftreten (z.B. Verzögerungen in der Belieferung von Kunden).

Serviceleistungen zur Schadensbegrenzung

Bevor die Arbeit nach einem Cyberangriff wieder aufgenommen werden kann, müssen zunächst einmal die technischen Folgen beseitigt werden. Die Versicherung zahlt eine IT-forensische Untersuchung, um das Ausmaß der Schäden abschätzen zu können. Diese Ursachenforschung ist u.a. erforderlich, um Folgeschäden (z.B. durch Reste von Malware im System) ausschließen und die Sicherheitslücke, durch die der Schaden entstanden ist, ausfindig machen zu können.

WICHTIG! Darüber hinaus fällt es auch in den Aufgabenbereich der IT-Forensiker, Beweise für die Cyberattacke sicherzustellen, die vor Gericht standhalten können.

Rechtsberatung nach Cyberangriff

Schäden gegen Dritte sind nicht das Einzige, was betroffene Unternehmen nach einer Attacke in den Ruin treiben kann. Beim Diebstahl von sensiblen Daten müssen Betroffene sich auch der Datenschutzbehörde gegenüber verantworten. Warum waren die Daten überhaupt zugänglich? Waren die Mindestanforderungen an den Datenschutz erfüllt?

Die Cyberversicherung deckt die gerichtlichen Kosten und übernimmt den Rechtsbeistand durch auf Datenschutz spezialisierte Rechtsanwälte.

Krisen-PR: Imageschaden eingrenzen

Spätestens seit dem Solarwinds-Hack Ende 2020 ist klar, wie wichtig eine gute PR-Beratung nach einem schwerwiegenden Cyberangriff ist. Um den Imageschaden einzugrenzen, vermittelt die Versicherung im Schadensfall den Kontakt zu Experten für Krisenkommunikation und übernimmt die Kosten für Beratung und Tätigkeit.

Je nach Vereinbarung mit dem Versicherungsträger kann die Cyberversicherung auch die Kostenübernahme für den Einsatz von Callcenter-Kräften beinhalten, die z.B. besorgte Kundenanfragen beantworten.

Zwei Figuren, die eine dritte mit einem Rettungsnetz auffangen. Bild in einem Artikel über die Notwendigkeit einer Cyberversicherung im Online-Business.

Schutz vor Erpressungsversuchen

Viele Firmen schließen eine Cyber-Versicherung ab, um im Ernstfall gegen Erpressungsversuche und Lösegeldforderungen gewappnet zu sein. Je nach Größe der Firma, Versicherungssumme und Umfang des Schadens bedeuten diese Versicherungen aber auch für den jeweiligen Träger erhebliche Risiken. Aus diesem Grund hat sich jetzt bereits einer der größten Versicherungskonzerne (der französische Konzern Axa) dazu entschlossen, keine Versicherungen mehr zu verkaufen, die Zahlungen an Cyber-Kriminelle abdecken.

Voraussetzungen für eine Cyberversicherung

Am Beginn der Cyberversicherung steht die Risikoanalyse. Denn bevor der Versicherungsträger überhaupt eine Police ausstellt und sich mit dem Unternehmen auf die Versicherungssumme und die inkludierten Leistungen einigt, muss der Versicherer eine Bestandsaufnahme durchführen und sich vergewissern, dass das Unternehmen die notwendigen Voraussetzungen erfüllt.

Voraussetzung für eine betriebliche Cyberversicherung ist nämlich, dass das Unternehmen ein Mindestmaß an IT-Security aufweist.


Maßnahmen, die das Unternehmen ergriffen haben muss, um eine Versicherung gegen Cyberattacken abschließen zu können, sind:

  • Es muss ein zuverlässiger Virenschutz installiert und es muss sichergestellt sein, dass dieser stets am aktuellsten Stand ist.

  • Das Unternehmensnetzwerk muss durch eine Firewall geschützt sein.

  • Es muss sichergestellt sein, dass die Daten regelmäßig und vollständig auf externe Systemen gesichert werden (Datensicherung).

  • Es muss ein Konzept implementiert sein, das die Zugriffe auf sämtliche Ressourcen im Unternehmen zuverlässig und nachvollziehbar regelt.

Cyberversicherung – Prämie senken durch IT-Security

Cyberversicherungen ersetzen ein ausgereiftes Konzept für Cybersecurity nicht, sie ergänzen es lediglich. Aus diesem Grund ist der Abschluss einer entsprechenden Police an ein Mindestmaß an IT-Sicherheit geknüpft. Je mehr Maßnahmen zur Risikominimierung das Unternehmen trifft, desto kostengünstiger fällt die Prämie für die Cyberversicherung aus.

Risiken minimieren und Compliance erfüllen

Versicherungsträger fordern von Unternehmen, ein Konzept für den Umgang mit Zugriffsberechtigungen zu implementieren. Unternehmen, die dieser Aufforderung nachkommen, können dadurch nicht nur die Konditionen der Police verbessern, sondern sie erfüllen damit auch eine der Anforderungen im Rahmen des BSI-IT-Grundschutzes.

Je nach Branche und Unternehmensgröße ist es sogar möglich, dass die Implementierung eines Berechtigungskonzeptes durch die Kritisverordnung des BMI bzw. durch andere, brancheninterne Compliance-Richtlinien (z.B. TISAX in der Automobilbranche oder MaRisk bzw. BAIT in der Finanzbranche) vorgeschrieben ist.

[GRATIS WHITEPAPER] tenfold und BSI IT Grundschutz

In unserem Whitepaper finden Sie sämtliche Informationen darüber, welche Bausteine des BSI-Grundschutz-Kompendiums Sie mit der Implementierung von tenfold abdecken, noch einmal zusammengefasst.

Zum Download

[GRATIS WHITEPAPER] tenfold und BSI IT Grundschutz

In unserem Whitepaper finden Sie sämtliche Informationen darüber, welche Bausteine des BSI-Grundschutz-Kompendiums Sie mit der Implementierung von tenfold abdecken, noch einmal zusammengefasst.

Zum Download

Sicherheitslücken schließen mit Identity Access Management

Eine Möglichkeit, diese Forderung umzusetzen, ist das sog. Least-Privilege-Prinzip. Konsequent angewendet sorgt es dafür, dass ein Mitarbeiter zu jedem Zeitpunkt seiner Zugehörigkeit zum Unternehmen immer nur über exakt jene Berechtigungen verfügt, die er tatsächlich benötigt.

Das Problem: Bei manueller Umsetzung dieses Prinzips gibt es sehr viel Raum für menschliche Fehler. Unternehmen, die Sicherheitslücken schließen möchten, BEVOR sie zum Problem werden, sollten das Berechtigungsmanagement daher automatisieren.

Dies gelingt durch den Einsatz einer entsprechenden Software für Berechtigungsmanagement bzw. Identity und Access Management (IAM).

Warum IAM vor Cyber-Attacken schützt

Zu viele Zugriffsberechtigungen (ein sog. Privilege Creep) sind nicht nur deshalb problematisch, weil sie Mitarbeitern den Datenmissbrauch und/oder -diebstahl ermöglichen. Sie können auch als Einfallstor für Hacker und Malware aller Art dienen.

Eine IAM-Software kann zwar die Attacke nicht verhindern, aber sie verhindert katastrophale Folgen, indem sie die Fortbewegung durchs System unterbindet. So kann ein Hacker beispielsweise nur auf jene Ressourcen und Daten zugreifen, für die das gehackte Mitarbeiterkonto Berechtigungen hat. Und ein Virus kann sich nur so lange im System ausbreiten, bis er an einen abgesicherten Endpunkt gerät.

Darüber hinaus schützt sie zuverlässig vor Datendiebstahl durch (ehemalige) Mitarbeiter, weil sämtliche Berechtigungen bei Abteilungswechsel oder Austritt automatisch angepasst bzw. entzogen werden.

Männerhand, die fallende Dominosteine stoppt. Bild in einem Artikel über die Notwendigkeit einer Cyberversicherung im Online-Business.

tenfold – die IAM-Software für den Mittelstand

IAM-Software wie tenfold hilft Unternehmen dabei, ihre IT-Zugriffsrechte optimal einzustellen und die Vergabe von Berechtigungen gemäß geltender Compliance-Richtlinien zu organisieren und zu dokumentieren. Dadurch lassen sich viele Schwachstellen, die bei Cyber-Angriffen ausgenutzt werden, managen.

Restlos beseitigen können Sie die Risiken selbstverständlich nie. Doch durch den Einsatz einer IAM-Software können Sie bestehende Sicherheitslücken schließen und die Angriffsflächen signifikant reduzieren.

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!