Pro und Con

Lohnt sich eine Cyber-Versicherung?

Was sind die Vorteile einer Cyber-Versicherung? Und was kostet sie? Lesen Sie, ob sich eine Cyber-Versicherung lohnt und was Experten empfehlen.
Von 
CSO | 27. Mai 2022 05:11 Uhr
Eine Cyber-Versicherung schützt Ihr Unternehmen vor finanziellen Schäden im Falle eines Cyberangriffs.
Eine Cyber-Versicherung schützt Ihr Unternehmen vor finanziellen Schäden im Falle eines Cyberangriffs.
Foto: Elnur - shutterstock.com

Versichern lassen kann man viel: das Auto, den Hausrat, die Haustiere. Einige Versicherungen sind Pflicht, andere freiwillig. Auch für Unternehmen gibt es viele gewerbliche Versicherungen und Haftpflichtversicherungen, die zwingend notwendig sind. Eine freiwillige Option ist es, eine Versicherung für einen Cybersicherheits-Vorfall abzuschließen.

Welche Leistungen erbringt ein Cyber-Versicherer?

Um zu entscheiden, ob eine Cyberversicherung lohnenswert ist, sollten Sie einen Blick auf die Leistungen werfen. Wie bei einer Krankenversicherung kann auch hier das Leistungsspektrum je nach Anbieter variieren. Generell werden unter anderem folgende Risiken abgedeckt:

  • Ertragsausfälle durch Betriebsunterbrechungen und Reputationsschäden

  • Schadensersatzansprüche gegenüber Dritten

  • Kosten für die Wiederherstellung eigener Daten und der Daten von Kunden

  • Lösegeldzahlungen für verschlüsselte Daten durch Ransomware

Was kostet eine Cyber-Versicherung?

Wie hoch die Prämie ist, die Unternehmen für ihren Versicherungsschutz bezahlen müssen, hängt von mehreren Faktoren ab, wie der Unternehmensgröße, der Branche oder der internationalen Aktivitäten. Bernd Eriksen, Leiter der Professional Lines beim Versicherungs- und Risikoexperten Südvers, gibt eine grobe Vorstellung der Kosten, die sich nur sehr abstrakt benennen lassen: "Ein Unternehmen mit einem Jahresumsatz von bis zu zehn Millionen Euro muss aktuell je eine Millionen Euro Versicherungssumme zwischen 1.800 und 3.500 Euro pro Jahr bezahlen. Bei Unternehmen mit einem Jahresumsatz bis 250 Millionen liegt die Nettojahresprämie zwischen 3.500 Euro und 5.500 Euro." Dabei handele es sich um eine Momentaufnahme. Es sei damit zu rechnen, dass die Prämien auch in den kommenden Monaten weiter steigen werden.

Allerdings rechnet Südvers damit, dass die Prämien und die Selbstbeteiligungen in den kommenden Monaten deutlich steigen werden. Dies liege daran, dass die Cyberrisiken immer mehr zunehmen. Treiber hierfür sind die Digitalisierung, Cloud Services sowie Remote-Arbeitsplätze. Auch Ransomware-Attacken nehmen zu, weswegen viele Versicherer die Versicherungssummen auf zehn oder sogar fünf Millionen Euro begrenzen.

"Immer häufiger gibt es in den Verträgen Deckungsbegrenzungen für den Fall eines Ransomware-Angriffs, falls die IT-Sicherheit der zu versichernden Unternehmen nicht den Anforderungen der Versicherer entspricht. Danach wird die Deckung im Ransomware-Fall auf eine kleinere Summe, meist maximal auf fünf Millionen Euro, reduziert. Davon muss der Versicherungsnehmer die Hälfte selbst tragen, so dass sich die eigentliche Versicherungsleistung nur noch auf zweieinhalb Millionen Euro beläuft", ergänzt Eriksen.

Das spricht für eine Cyber-Versicherung

Wenn es um die Kosten geht, die sich aus einem Sicherheitsvorfall ergeben können, denken die meisten Menschen direkt an Lösegeldzahlungen bei einem Ransomware-Befall. Doch auch andere Cyberangriffe wie eine DDoS-Attacke können zu teuren Betriebsunterbrechungen und Reputationsschäden führen. Ebenso ist eine Datenschutzverletzung ein indirekter Kostenpunkt eines Incidents, der auf betroffene Unternehmen zukommen kann.

Je nach Anbieter und Vertrag, decken einige Cyber-Versicherungen diese Kosten vollständig oder teilweise ab. Durch die Laufzeit von einem Jahr sind Cyber-Policen wiederkehrende Ausgaben, die Versicherungsnehmer einplanen können, und sie im Ernstfall vor großen finanziellen Schäden schützen. Außerdem erhalten Unternehmen von den meisten Anbietern juristische Beratung und Unterstützung während des Sicherheitsvorfalls.

Grundsätzlich eignen sich Cyber-Versicherungen für alle Unternehmen, die ihre kritischen Geschäftsprozesse zusätzlich zu einer Sicherheitslösung absichern wollen. "Wenn ein kleines Unternehmen keine besonders sichere Infrastruktur aufweist und wenig in IT-Sicherheitssysteme investiert hat, weil schlichtweg das Budget dafür fehlt, ist es nachvollziehbar, dass das Unternehmen sich mit einer Cyber-Versicherung absichern will", sagt Martin Braun, Cybersecurity Consultant und CEO von Rimian. "So ist es wenigstens im Falle eines Cyberangriffs, mit dem jedes Unternehmen langfrisitig rechnen muss, vor finanziellen Schäden geschützt."

Wie bekommt man eine Cyber-Versicherung?

Wenn Sie sich dafür entscheiden, eine Cyber-Versicherung abzuschließen, gibt es einige Anforderungen, die Ihr Unternehmen dafür erfüllen muss. Laut Eriksen gehören hierzu je nach Anbieter unter anderem folgende Punkte:

Einige Organisationen, die der KRITIS-Verordnung unterliegen, tun sich meist schwerer, eine Cyber-Versicherung zu bekommen, da für sie ein erhöhtes Risiko besteht. Sie müssen neben den Vorgaben durch das BSI oftmals weitere Kriterien erfüllen, um sich versichern zu können.

Den richtigen Cyber-Versicherer finden

Braun empfiehlt Unternehmen, die über eine Cyber-Versicherung nachdenken, darauf zu achten, welche Freiheiten und Handlungsfähigkeiten sie laut Vertrag im Falle eines Cyberangriffs haben. "Versicherungen arbeiten mit Security-Dienstleistern zusammen, mit denen sich betroffene Unternehmen nach einem Angriff abstimmen müssen, um die Maßnahmen zu ergreifen, die mit ihrer Versicherungspolice im Einklang sind. Das bedeutet, je strikter die Maßnahmen im Vertrag festgehalten wurden, desto weniger Handlungsspielraum haben die angegriffenen Firmen", erklärt der Consultant.

Dadurch kann es zu einem extremen Zeitverzug kommen, der entsteht, wenn das Unternehmen auf Anweisungen des Versicherers warten muss und nicht selbstständig Maßnahmen ergreifen kann. Zeit, in der im Falle eines Hackerangriffs viel Schaden angerichtet werden kann.

Des Weiteren sollten Interessenten überprüfen, ob in ihren bestehenden Versicherungen Cyberrisiken bereits abgedeckt werden. In einigen gewerblichen Haftpflicht- und Rechtsschutzversicherungen sind Kosten für Datendiebstahl und Gerichtsverhandlungen bereits enthalten. Doch Achtung: Urheberrechtsverletzungen sind meistens nicht mitversichert.

Braun gibt einen weiteren Tipp: "Sie sollten darauf achten, dass Ihre Cyber-Verischerung einen individuellen Schutz bietet. Wichtig ist hier, dass bestimmte Systeme und Geschäftsprozesse mitversichert sind, die es vielleicht nur in Ihrem Unternehmen gibt."

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.