Deutschland
 

Cyberversicherung für Unternehmen

Absichern gegen das Risiko

Bei der Cyber-Risk-Versicherung steckt der Teufel im Detail. Unternehmen, die sich gegen finanzielle Schäden durch Cyberkriminalität schützen möchten, sollten eine Bestandsaufnahme ihrer Risiken durchführen.
Von 
CSO | 06. Dezember 2021 05:52 Uhr
Eine Cyberattacke kann für Unternehmen zu Reputationsverlust und finanziellen Schaden führen. Cyberversicherungen vermindern die Folgen.
Eine Cyberattacke kann für Unternehmen zu Reputationsverlust und finanziellen Schaden führen. Cyberversicherungen vermindern die Folgen.
Foto: Minerva Studio - shutterstock.com

In den letzten Jahren, konkret in den letzten Monaten der Pandemie, haben weltweit die Online-Aktivitäten nochmals deutlich zugenommen. Wir kommunizieren, arbeiten, konsumieren und verbringen einen Großteil unserer Zeit – ob privat oder beruflich – im Netz. Damit einher geht auch eine Zeitenwende in der Kriminalität. Die Anzahl der Cyberkriminalitätsfälle stieg im Jahr 2020 um 8,7 Prozent auf über 320.000 gemeldete Fälle in Deutschland, berichtet das Bundeskriminalamt (BKA) im aktuellen Bundeslagebild Cybercrime 2020 vom Mai 2021. Die Dunkelziffer ist vermutlich weit höher. Viele Cyberangriffe in Firmen werden zum Teil aus Reputationsgründen gar nicht erst gemeldet und manche Angriffe nicht sofort entdeckt. Die Folgen für das eigene Unternehmen können verheerend sein.

Sorglosigkeit wird bestraft

Unter den Oberbegriff „Cyberkriminalität“ fallen zwar vor allem der Handel mit illegalen Substanzen, aber eben auch Unterkategorien wie Online-Betrug, Diebstahl von Daten sowie Erpressung mit gestohlenen verschlüsselten Daten. Waren es früher vereinzelte Betrüger oder Hacker, so findet heute die Cyberkriminalität organisiert statt. Professionelle Banden nutzen dabei die Lücken und zum Teil auch die Sorglosigkeit der Anwender und Firmen. Auffällig ist dabei, dass sich immer mehr kriminelle Organisationen professionalisieren. Die Angriffe treffen nun auch Behörden, IT-Systeme der Industrien oder auch systemrelevante Infrastrukturen. Mitunter sind die Urheber solcher gezielten Angriffe sogar staatlich organisiert, was die Gegenmaßnahmen verkompliziert. Hinzu kommen vielfältige Angriffe auf sorglose Gewerbetreibende. Im privaten Bereich ist Phishing, also das Ausspähen von Kreditkartendaten und Passwörtern, immer noch die häufigste Form der Kriminalität. Es kommt aber immer häufiger auch für Angriffe auf Unternehmen zum Einsatz. Eines der aktuellen Beispiele ist der Möbelgigant Ikea.

Es liegt daher nahe, dass nicht nur ein Bedürfnis nach Sicherheit in der digitalen Welt entstanden ist, sondern es bereits auch zahlreiche Angebote gibt, die auf diesen Wunsch nach Absicherung reagiert haben. Doch bei Versicherungsangeboten gegen Cyberkriminalität steckt der Teufel wie überall im Detail. Unternehmen sollten in Zusammenhang mit Cyberversicherungen folgende Fragen klären:

  • Welchem Risiko bin ich und mein Betrieb oder mein Unternehmen eigentlich ausgesetzt?

  • Welcher Schaden kann entstehen?

  • Was ist Teil des Versicherungsschutzes?

Bei diesen wichtigen Fragestellungen gehen die Meinungen, wie auch die Angebote weit auseinander.

Die gängigsten Formen der Cyberkriminalität

Phishing: Kriminelle erstellen eine direkt adressierte E-Mail, die den Empfänger dazu auffordert, in einem offiziellen oder professionell wirkenden Rahmen vertrauliche Daten wie Benutzernamen und Passwörter in gutem Glauben offenzulegen oder einzugeben. Meistens erscheinen diese Mails als offizielle Information einer Bank oder eines Kreditinstitutes.

Social Engineering: Diese Form der Cyberkriminalität spielt sich im semi-privaten bis privaten Bereich ab. Sie trifft aber auch immer mehr Unternehmen, die Social Media als Marketingplattform nutzen. Mittels Social Engineering werden über Fake-Sites mit falschen Profilen Nutzer und Interessierte dazu verleitet, vertrauliche Daten und Benutzernamen wie auch Zugangsdaten oder Passwörter weiterzugeben.

Malware: Beim Klassiker der Cyberkriminalität schleusen Kriminelle Computer-Programme ein, die im Zielsystem – beim Anwender – unerwünschte Prozesse anstoßen und ausführen. Diese können dann Systeme beschädigen oder einen Zugang zu vertraulichen Systemen schaffen. Als Resultat werden Systeme beschädigt oder ein Zugang zu vertraulichen Informationen - ein sogenanntes Data Leak - geschaffen.

App/Web-Applikationen: Hier nutzen die Cyberverbrecher die neuesten Tools für eine Cyberattacke aus, beispielsweise auf die Kunden-Website eines Unternehmens. Das kann dazu führen, dass ein unerwünschtes Programm in die Kommunikation mit den Kunden eingreift, Daten aus der Kommunikation abzieht oder Informationen zur späteren kriminellen Verwendung abgreift.

Die Schäden, die durch Cyberattacken verursacht werden, beginnen bei einigen zehntausend Euro, können aber je nach Unternehmen sehr schnell in die Millionen gehen. Eine genaue Analyse der eigenen Situation, neudeutsch Vulnerabilität, ist daher das A und O in der Cyberversicherung. Denn hierbei entsteht die Grundlage für die Ausgestaltung der Police.

Lesetipp: Mehr Ransaomware - größere Schäden

Umsatzausfall, der schnell die Existenz bedrohen kann

Eine Cyberversicherung sollte mehrere Dinge auf einmal können, das erklärt auch ihre Komplexität. Im allerersten Schritt muss nach einem Angriff schnellstmöglich das Problem behoben werden. Hier entstehen Kosten und nicht jeder verfügt über das notwendige Know-how. Gute Cyberversicherungen bieten dafür oft ein Experten-Netzwerk an und kümmern sich – neben dem finanziellen Schadenersatz – auch um die operative Schadensbegrenzung und -behebung.

Im zweiten Schritt müssen die direkten Folgen einer Cyberattacke für das Geschäft minimiert werden. Ein Cyberangriff kann schnell Ausmaße annehmen, die einen Betrieb für Tage oder Wochen außer Gefecht setzen. Zentrale Funktionen können eingeschränkt oder gar nicht mehr zur Verfügung stehen – für Geschäftspartner und Kunden. Es kommt zum Umsatzausfall, der schnell die Existenz bedrohen kann.

Im dritten Schritt sollten Versicherungen für den Fall eintreten, dass beschädigte Systeme ersetzt oder wiederhergestellt werden. Auch die Neuetablierung bzw. Vervollständigung von angegriffenen Datensätzen muss dabei angegangen werden. Quasi das digitale Aufräumen nach dem Cyberangriff. Auch das kennen wir aus der normalen, analogen Versicherungswelt: Die Übernahme von Aufräum- und Sanierungskosten.

Vertragsbestandteile, die Sinn machen können

Es gibt neben den direkten Gefahren durch Cyberangriffe noch ein indirektes, nicht zwingend selbstverschuldetes Risiko. Verbreitet beispielsweise ein infizierter PC über ein Bot-Netzwerk wie Emotet eine Schadsoftware weiter, könnte dessen Betreiber, auch wenn er davon keine Kenntnis hat, in gerichtlichen Auseinandersetzungen involviert werden. Eine Haftpflichtversicherung gegen solche Fälle sollte also auch Teil der Cyber-Absicherung sein, ebenso die Unterstützung bei der Abwehr von Klagen bei „vermeintlichen“ Cyber-Verstößen. In einem ähnlichen Bereich deckt eine Vermögensschadenhaftpflicht Risiken ab. Sie kommt dann zum Tragen, wenn anderen ein durch einen Cyberangriff verursachter finanzieller Schaden entsteht, beispielsweise durch den Diebstahl sensibler Bankdaten.

Letztendlich bleibt es leider so, dass der Bereich der Cyberkriminalität ständig wächst. Daher ist es entscheidend, bei der Auswahl einer passenden Cyberversicherung sein eigenes Risiko gut zu kennen und - gegebenenfalls gestützt durch professionelle Beratung - eine Analyse der möglichen Angriffspunkte durchzuführen, um danach die optimale Absicherung auszuwählen. (bw)

Stephen Voss ist Gründer und Vorstand Marketing und Vertrieb der Neodigital Versicherung AG. Er hat über 20 Jahre Erfahrung in der Versicherungswirtschaft und selbst für große Konzerne in unterschiedlichen Positionen gearbeitet.
Folgen: