Cyberversicherung für Unternehmen: Sinnvolle Absicherung oder verschwendetes Geld?

Mehr und mehr Unternehmen werden Opfer von Cyberangriffen, Datendiebstahl und Ransomware. Um sich vor den finanziellen Auswirkungen solcher IT-Sicherheitsvorfälle zu schützen, schließen viele Betriebe eine Cyberversicherung ab. Im Schadensfall kommt der Versicherer dabei für die Wiederherstellung von Systemen, Betriebsunterbrechungen und Schadensersatzforderungen auf. Klingt nach einem guten Deal? Aufgepasst: Wegen steigender Angriffszahlen setzen Versicherungsfirmen immer höhere Anforderungen an versicherte Betriebe. Wir sehen uns an, welche Vorraussetzungen Unternehmen für eine Cyberversicherung erfüllen müssen und ob der Versicherungsschutz eine sinnvolle Investition darstellt.

Cyberversicherung – was versteht man darunter?

Bei einer Cyberversicherung handelt es sich um eine Versicherungsform, mit der sich Unternehmen gegen Schäden durch Internetkriminalität, Datendiebstahl und Cyberangriffe absichern können. Eine typische Police deckt dabei neben Eigenschäden wie IT-Reperaturen und Ertragsausfällen auch Drittschäden wie Datenschutzverletzungen und damit verbundene Schadenersatzforderungen ab. Der Umfang der enthaltenen Haftpflicht- bzw. Rechtschutz-Leistungen hängt vom Anbieter ab. Einige Angebote umfassen auch Zusatzleistungen wie Unterstützung bei der Bereinigung des Firmennetzwerks und der Krisen-PR.

Da Hackerangriffe auf Unternehmen seit Jahren ansteigen, bildet der Versicherungsschutz gegen Cyberangriffe gemeinsam mit entsprechenden Sicherheitsmaßnahmen auf IT-Ebene einen wichtigen Baustein des digitalen Risikomanagements. Allerdings gilt es bei der Auswahl einer Cyberversicherung genau darauf zu achten, welche Schadensarten in der Deckung inkludiert sind, welche Ausnahmen der Versicherer definiert und welche Anforderungen das versicherte Unternehmen erfüllen muss.

Warum sind Cyberversicherungen so wichtig?

Die Digitalisierung von Wirtschaft und Gesellschaft schreitet voran, nicht zuletzt durch die Corona-Pandemie, welche die Nutzung von Cloud-Diensten wie Teams, OneDrive und SharePoint in Betrieben enorm verstärkt hat. Auch auf Seite der öffentlichen Verwaltung ist der Ausbau digitaler Dienstleistungen durch Regelungen wie das Onlinezugangsgesetz (OGZ) oder Patientendaten-Schutzgesetz (PDSG) ein riesiges Thema.

Die Schattenseite der digitalen Transformation ist der einhergehende Anstieg von Cyberkriminalität. Längst werden nicht nur große Player zum Ziel von Hackern und Kriminellen. Auch mittelgroße Unternehmen sind immer öfter betroffen. Betriebsausfälle als Ergebnis von verschlüsselten Daten und einer lahmgelegten IT sorgen Woche für Woche für neue Schlagzeilen. Die Konsequenzen für Firmen sind katastrophal: Der Branchenverband Bitkom schätzt den jährlichen Schaden durch Cyberangriffe für die deutsche Wirtschaft auf 203 Milliarden Euro. Von 1.066 befragten Unternehmen sieht fast die Hälfte ihre Existenz durch Cyberattacken bedroht.

Vor dem Hintergrund dieser erschreckenden Zahlen wird auch schnell klar, weshalb das Interesse an Cyberversicherungen so hoch ist: Um steigende Risiken abzufangen, suchen immer mehr Betriebe nach einem finanziellen Schutzschirm.

Wie viele Unternehmen haben eine Cyberversicherung?

Hinsichtlich der Verbreitung von Cyberversicherungen gibt es starke Unterschiede je nach Branche und Unternehmensgröße. Während der Abschluss einer Cyberversicherung für große Firmen längst Standard ist, kommt die Gothaer KMU-Studie 2022 zum Ergebnis, dass nur 21 Prozent der kleinen und mittelständischen Unternehmen eine Cyberversicherung abgeschlossen haben. Und das obwohl 48% der Befragten einen Hackerangriff als größtes betriebliches Risiko betrachten.

Damit liegt Deutschland hinter dem internationalen Schnitt, wo bereits 69% aller SMB (small and medium businesses) angeben, eine Cyberversicherung abgeschlossen zu haben (Quelle: Datto State of Ransomware Report 2022). Etwas besser sehen die Zahlen im Bereich von IT-Dienstleistern aus: In einer Studie des Versichers Hiscox geben 36% der befragten IT-Firmen an, eine Cyberversicherung abgeschlossen zu haben. Noch höher liegt die Rate bei reinen Haftpflicht-Versicherungen, die keine Eigenschäden umfassen.

Mitarbeiter in einem Online Marketing Unternehmen. Bild in einem Artikel über die Notwendigkeit einer Cyberversicherung im Online-Business.
In vielen modernen Unternehmen laufen die Geschäfte überwiegend online ab. Foto: (c) Hero Images

Was kostet eine Cyberversicherung?

Wie bei fast allen Versicherungsmodellen sind die Prämien bei einer Cyberversicherung von mehreren Faktoren abhängig. Je nach Größe des Unternehmens, Jahresumsatz, Sicherheitsvorkehrungen, Versicherungsleistungen & -Konditionen liegen die Kosten einer Cyberversicherung im Schnitt zwischen wenigen hundert bis einigen tausend Euro pro Jahr.

Für große Firmen oder Betriebe mit besonders sensiblen Daten können die Kosten auch höher liegen. Grundsätzlich gilt: Je mehr Leistungen ein Paket umfasst und je höher die Versicherungssumme liegt, desto höher sind auch die monatlichen Beiträge.

Achtung: Aufgrund der hohen Zahl an Schadensfällen haben Versicherer die Prämien für Cyberversicherungen in den vergangenen Jahren zum Teil stark angehoben. Da eine Entspannung der Bedrohunglage nicht abzusehen ist, sollten Unternehmen auch weiterhin mit steigenden Kosten für Cyberversicherungen rechnen.

Sind Cyberversicherungen für Unternehmen sinnvoll?

Jede Versicherung verursacht zunächst einmal Kosten und hat erst im Schadensfall einen unmittelbaren Nutzen. Für Unternehmen ist es dennoch enorm wertvoll, für den schlimmsten Fall vorgesorgt zu haben. Insbesondere, da digitale Bedrohungen zu den am schwierigsten kalkulierbaren Risiken für Firmen zählen: Selbst Betriebe, die sich um vorbildliche IT-Sicherheit bemühen, können durch eine neu entdeckte Zero Day Schwachstelle oder Angriffe auf Zulieferer plötzlich zum Opfer werden.

Als Teil des geschäftlichen Risikomanagements ist eine Cyberversicherung eine sinnvolle Investition. Damit sich der Abschluss wirklich lohnt, müssen jedoch einige wichtige Kriterien erfüllt sein:

  • Die jeweilige Police muss den Anforderungen des Unternehmens entsprechen.

  • Alle relevanten Risiken (z.B. Datenschutz, Rechtsschutz) müssen eingeschlossen sein.

  • Die Deckungsumme muss erwartbare Schäden vollständig abdecken.

  • Die Kosten sollten sich in einem vertretbaren Rahmen bewegen.

Staatlich gestützte Cyberversicherung?

Viele Experten hegen Zweifel, ob Cyberversicherungen ein langfristig tragfähiges Geschäftsmodell für den privaten Versicherungsmarkt darstellen: Die Risiken scheinen zu groß und zu unberechenbar, Prämien und Schadenssummen klaffen zu weit auseinander. Für Aufsehen sorgte etwa Zurich-Chef Mario Greco mit der Aussage, dass Cyber-Risiken “unversicherbar” werden. Tatsächlich haben schon jetzt viele Firmen Schwierigkeiten, angemessene Versicherungsangebote im Bereich Cyber zu finden.

Als alternatives Modell für die Absicherung sensibler Bereiche wie kritischen Infrastrukturen und unabschätzbarer Risiken wie staatlicher Cyberkriegsführung gibt es nun viele Diskussionen um eine öffentliche Finanzierung für Cyberversicherungen. In den USA, wo eine staatliche Versicherung z.B. schon für Flutschäden existiert, spielt die neue Cybersecurity Strategy von Präsident Biden etwa mit dem Gedanken, auch digitale Attacken mit öffentlichen Mitteln zu versichern.

Eine solche Stütze könnte den Markt für Versicherer stabilisieren und es Unternehmen erleichtern, eine passende Versicherung zu finden. Allerdings ist bislang unklar, ob eine öffentliche Cyberversicherung in den USA Realität wird, wie sich das Modell bewährt und ob ähnliche Pläne in Europa zu erwarten sind.

Versicherungsnehmer beim Check von Vertragskonditionen am Firmenlaptop.
Vergleichen lohnt sich: Vor dem Abschluss einer Cyberversicherung unbedingt checken, welche Schadensarten abgedeckt sind. Adobe Stock, (c) Artur

Cyberversicherung Leistungen – Was ist abgedeckt?

Je nach abgeschlossenem Vertrag decken Cyberversicherungen finanzielle Schäden ab, die als Resultat eines Cyberangriffs entweder für das Unternehmen selbst oder für Drittparteien wie Kunden, Geschäftspartner und Zulieferer entstehen. Neben der Zahlung für Schäden enthalten viele Policen auch Service-Leistungen rund um die Bereinigung der IT und Wiederherstellung des normalen Betriebs, z.B. die Vermittlung von Security-Experten und IT-Forensikern.

Die drei Bereiche einer Standard-Cyberversicherung:

  • Eigenschäden

  • Drittschäden

  • Serviceleistungen

Eigenschäden

Nach einer Attacke steht der Betrieb im schlimmsten Fall für mehrere Tage oder sogar Wochen still. Bis die Firma wieder auf die Beine kommt, zahlt die Versicherung in diesem Fall einen im Vorfeld individuell vereinbarten Tagessatz, der sowohl für die entgangenen Gewinne entschädigt, als auch die laufenden Kosten deckt. Dieser Satz orientiert sich in der Regel am Jahresumsatz, der Umsatzrendite und den Jahreskosten.

In den meisten Fällen sind Cyberangriffe mit dem Verlust von Daten bzw. der Beeinträchtigung der Computersysteme verbunden. In solchen Fällen ersetzt die Versicherung die Kosten für die Rekonstruktion der Daten und die Wiederherstellung der Systeme. Wiederherstellung bedeutet in diesem Fall die Rückkehr zum vorherigen Zustand: Eine Verbesserung der IT-Systeme ist nicht vorgesehen.

Beispiele für Eigenschäden, die durch eine Cyberversicherung abgedeckt werden:

  • Untersuchung und Dokumentation des Sicherheitsvorfalls

  • Wiederherstellung verlorener Daten

  • Reparaturen von Software und Hardware

  • Ertragsausfälle bzw. Verluste durch Betriebsstillstand

Drittschäden

Neben eigenen Daten speichern Unternehmen in ihrem Netzwerk auch Daten von Kunden und Geschäftspartnern. Geraten diese durch einen Angriff oder ein Datenleck an die Öffentlichkeit, hat das rechtliche Konsequenzen: die sichere Verwahrung von personenbezogenen Daten ist durch die DSGVO, die Speicherung von Zahlungsdaten durch PCI DSS geregelt. Beide Regularien sehen bei Verstößen empfindliche Strafen vor.

Eine Cyberversicherung, die Haftpflicht und Drittschäden abdeckt:

  • wehrt unberechtigte Forderungen ab (Rechtsbeistand)

  • übernimmt die Kosten für Vertragsstrafen und Datenschutzverletzungen

  • bietet Rechtsschutz bei behördlichen Verfahren und Verbraucherschutz

Zwei Figuren, die eine dritte mit einem Rettungsnetz auffangen. Bild in einem Artikel über die Notwendigkeit einer Cyberversicherung im Online-Business.
Die Kommunikation nach außen ist im Falle einer Cyberattacke essentiell, um den Schaden zu begrenzen. (c) leremy

Service-Leistungen

Viele Versicherungen unterstützen Firmen unmittelbar nach einem Angriff durch Zusatzleistungen wie die Vermittlung von Spezialisten für die Bereinigung und forensische Untersuchung von IT-Systemen. Diese Analyse hilft nicht nur beim Schließen der Sicherheitslücke, durch die der Angreifer ins System gelangt ist, sondern kann auch rechtlich relevant werden. Beispielsweise, wenn bei einer Schadensersatzforderung der Nachweis vor Gericht erbracht werden soll, dass das Unternehmen nicht fahrlässig gehandelt hat.

Auch Rechtsberatung und der Kontakt zu spezialisierten Juristen ist deshalb ein häufiger Bestandteil von Versicherungspaketen. Ebenso wie Unterstützung im Rahmen der Krisen-PR, um den Image-Schaden für den Betrieb möglichst gering zu halten.

Zahlen Cyberversicherungen für Ransomware?

Zahlungen für Ransomware bzw. Cyber-Erpressung sind ein kontroverses Thema. Einerseits sehen viele Firmen im Zahlen von Lösegeldforderungen das geringere Übel, wenn sonst wochenlange Betriebsausfälle zu befürchten sind (auch wenn Erpresser die Daten längst nicht in jedem Fall wie versprochen wiederherstellen). Andererseits gilt der berechtigte Einwand, das Ransomware-Zahlungen das Geschäftsmodell der Cyberkriminellen am Laufen halten und damit weitere Angriffe finanzieren.

Grundsätzlich ist die Zahlung von Lösegeldforderungen nach einem Ransomwareangriff in vielen Cyberversicherungen enthalten – ebenso wie Unterstützung bei der Kontaktaufnahme, den Verhandlungen und der Überweisung selbst. Allerdings wird Erpressung von immer mehr Versicherern explizit ausgeschlossen, etwa dem französischen Versicherer Axa. Andere machen diese die Abdeckung zur separaten Sonderleistung. Ob der Ausschluss von Ransomware eine Kostenfrage oder Reaktion auf den steigenden Druck durch Regierungen und Sicherheitsbehörden ist, bleibt unklar.

Cyberversicherung Vorraussetzungen – Was müssen Firmen vorweisen?

Um eine Cyberversicherung abzuschließen, müssen Betriebe Grundlagen der IT-Security erfüllen, da das Risiko für den Versicherer andernfalls zu groß wäre. Je nach Größe des Unternehmens wird die Erfüllung der Anforderungen unterschiedlich überprüft: Die Möglichkeiten reichen hier vom Ausfüllen eines Fragebogens bis hin zu einem externen Security-Audit durch spezialisierte Sicherheitsfirmen. Auch die laufende Kontrolle der Vorgaben ist Teil des Vertrags.

Die Mindestanforderungen für eine Cyberversicherung, die Unternehmen im Bereich Informationssicherheit nachweisen müssen, sind:

  • Alle Mitarbeiter müssen eine Schulung hinsichtlich von Informationsrisiken und Sicherheitsrichtlinien durchlaufen.

  • Alle PCs im Unternehmen müssen mit einem Antivirus-Programm ausgestattet sein, das auf dem neuesten Stand gehalten wird.

  • Firmen müssen für das zeitnahe Einspielen von Sicherheitsupdates auf allen Geräten sorgen (Patchmanagement).

  • Das Firmennetzwerk muss durch eine Firewall nach außen abgesichert sein.

  • Geschäftsdaten müssen regelmäßig durch Backups auf externen Speichermedien oder Cloud-Diensten gesichert werden.

  • Firmen müssen durch automatische Angriffserkennnung und die Überwachung von Endgeräten Sicherheitsvorfälle identifizieren.

  • Benutzerkonten und Berechtigungen müssen aktiv verwaltet und regelmäßig überprüft werden.

  • Adminkonten und andere privilegierte Konten müssen durch Multi-Faktor-Authentifizierung abgesichert werden.

Neben steigenden Sicherheitsanforderungen und strengeren Kontrollen setzen immer mehr Versicherer unabhängige Zertifizierungen wie ISO 27001 oder den BSI IT Grundschutz für den Abschluss einer Police voraus.

Whitepaper

ISO 27001: Anforderungen an das Access Management

In unserem Whitepaper erfahren Sie alles über die ISO Vorbereitung, wichtige Dokumente und die Vorgaben an das Identity und Access Management.

Cyberversicherung Vorraussetzungen: Risiken bei Nichteinhaltung

Auch Firmen, die die Mindestanforderungen der IT-Sicherheit nicht erfüllen, können im Besitz einer aktiven Cyberversicherungs-Police sein. In seltenen Fällen mag dies an bewusster Manipulation liegen (etwa falschen Angaben bei Vertragsabschluss), meist kommt die Nichteinhaltung der Vorgaben jedoch im Laufe der Zeit zustande: Firmen erreichen zwar bei Vertragsabschluss das nötige Sicherheitsniveau, sorgen aber nicht für die Aufrechterhaltung der Maßnahmen über die gesamte Vertragsdauer.

Die geforderten Sicherheitsmaßnahmen nicht einzuhalten, ist für Unternehmen ein großes Risiko. Einerseits, weil die Anforderungen eine Versicherungspolice schon aus reinem Eigeninteresse eine sinnvolle Absicherung gegen digitale Bedrohungen darstellen. Und andererseits, weil die Versicherung Zahlungen verweigern kann, wenn sich herausstellt, dass der Versicherungsnehmer zum Zeitpunkt eines Angriffs die geforderten Maßnahmen nicht eingehalten hat.

Cyberversicherung – Prämie senken durch IT-Security

Neben Strafen und Pflichten setzen viele Versicherungsfirmen auch auf positive Anreize für Firmen: Wer die geforderten Vorgaben bzw. freiwillige zusätzliche Sicherheitsvorkehrungen umsetzt, kann dadurch die monatlichen Prämien senken. Und zwar spürbar! Vorraussetzung ist, dass ein Betrieb das Thema Cybersecurity ernst nimmt und sich an gängigen Best Practices und Standards orientiert.

Compliance-Anforderungen erfüllen

Versicherungsträger fordern von Unternehmen, ein Konzept für den Umgang mi Zugriffsberechtigungen zu implementieren. Unternehmen, die dieser Aufforderung nachkommen, können dadurch nicht nur die Konditionen der Police verbessern, sondern sie erfüllen damit auch eine gängige Anforderung im Rahmen vieler Sicherheitsstandards, wie der KRITIS-Verordnung oder dem NIST Cybersecurity Framework.

Je nach Branche und Unternehmensgröße ist es sogar möglich, dass die Implementierung eines Berechtigungskonzeptes durch andere, brancheninterne Compliance-Richtlinien (z.B. TISAX in der Automobilbranche oder MaRisk bzw. BAIT in der Finanzbranche) vorgeschrieben ist.

Männerhand, die fallende Dominosteine stoppt. Bild in einem Artikel über die Notwendigkeit einer Cyberversicherung im Online-Business.
IAM-Software sorgt dafür, dass der Schaden gar nicht erst katastrophale Ausmaße annehmen kann. Foto: (c) Gajus

Risiken minimieren mit Identity Access Management

Um die Anforderungen der Versicherungsanbieter zu erfüllen, müssen Unternehmen für sichere Berechtigungsverwaltung unter Einhaltung des sogenannten Least Privilege Prinzips sorgen. Diese Best Practice sieht vor, dass jeder Mitarbeiter nur jene Rechte erhält, die für die Erledigung seiner Aufgaben unbedingt notwendig sind. Entsprechend erhalten User keine überflüssigen Rechte, die von Hackern missbraucht oder zum Datendiebstahl zweckentfremdet werden können.

Das Problem an der Sache? Die Berechtigungen von Usern bei manueller Verwaltung auf dem laufenden Stand zu halten, entwickelt sich bei hunderten Mitarbeitern und dutzenden Systemen zur unlösbaren Mammutaufgabe. Die manuelle Benutzerverwaltung ist nicht nur extrem aufwändig, es passieren dabei auch zwangsläufig Fehler, die zu der schleichenden Ansammlung von überflüssigen Rechten, dem sogenannten Privilege Creep führt. Von gefährlichen Praktiken wie der Verwendung von Referenz Usern ganz zu schweigen.

Die Lösung: Eine Software für Identity und Access Management sorgt für die automatische Vergabe von Privilegien, ermöglicht zentrales Reporting und erleichtert die laufende Kontrolle bzw. Rezertifizierung von Rechten.

Warum IAM vor Cyberangriffen schützt

Zu viele Zugriffsberechtigungen sind nicht nur deshalb problematisch, weil sie Mitarbeitern den Datenmissbrauch und/oder -diebstahl ermöglichen. Sie können auch als Einfallstor für Hacker und Malware aller Art dienen.

Eine IAM Software kann zwar die Attacke nicht verhindern, aber sie verhindert katastrophale Folgen, indem sie die Fortbewegung durchs System unterbindet. So kann ein Hacker beispielsweise nur auf jene Ressourcen und Daten zugreifen, für die das gehackte Mitarbeiterkonto Berechtigungen hat. Darüber hinaus schützt das User Lifecycle Management zuverlässig vor Datendiebstahl, weil Konten und Rechte beim Abteilungswechsel und Firmenaustritt automatisch entfernt werden.

tenfold – die IAM-Software für den Mittelstand

Um die Anforderungen einer Cyberversicherung zu erfüllen und IT-Ressourcen sicher und effizient zu verwalten, brauchen Firmen Unterstützung in Form einer automatisierten IAM-Plattform. Hier stehen Unternehmen jedoch vor der gleichen Herausforderung, wie bei der Auswahl einer geeigneten Police: Das Produkt muss alle wesentlichen Features abdecken, gleichzeitig dürfen die Kosten den Nutzen nicht übersteigen.

tenfold ermöglicht Ihnen die zentrale und automatische Verwaltung von Konten und Rechten – und das in einem Bruchteil der Zeit, die Sie für die Inbetriebnahme einer Konkurrenz-Lösung einplanen müssen. Anders als Enterprise IAM-Systeme, in denen jede Anbindung an Ihre IT individuell programmiert werden muss, stellt tenfold vorgefertigte Plugins zur Verfügung. Dadurch sind Sie in wenigen Tagen startklar und profitieren unmittelbar von den Vorteilen unserer flexiblen und umfangreichen IAM-Lösung.

Warum tenfold?

Was macht tenfold zur besten IAM Software für mittelständische Organisationen?

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.