Cyberattacken und IT-Fehler tauchen meist auf dem Nichts auf, wie am 19. Juli 2024 als an Flughäfen wie München oder Hamburg nichts mehr ging. Grund dafür war ein Software-Update-Fehler des Datenanbieters Crowdstrike (Pfefferminzia berichtete), und zwar mit weltweiten Folgen. Experten sprechen von dem größten Cyberunfall, der nicht durch einen IT-Angriff ausgelöst wurde.
Noch nicht; denn Cyberangriffe und deren Schäden nehmen immer mehr zu – auch in Deutschland. Acht von zehn Unternehmen hierzulande hatten in den vergangenen zwölf Monaten häufiger mit Cyberattacken zu tun. Zu diesem Ergebnis kommt eine Umfrage des Digitalverbands Bitkom unter 1.003 Unternehmen.
Mit teuren Folgen: Das Bundeskriminalamt schätzt, dass die gesamtwirtschaftlichen Schäden 2023 bei 148 Milliarden Euro lagen. Deutsche Firmen mussten sich in den vergangenen zwölf Monaten vor allem mit Ransomware-Attacken herumärgern. Bei diesen Angriffen verschlüsseln Kriminelle Daten des Unternehmens. 31 Prozent der befragten Firmen der Bitkom-Umfrage waren davon betroffen.
Aktuell fließt ein Großteil der Cybersicherheitsbudgets in Sicherheitssoftwares und lediglich ein Bruchteil davon in die Fortbildung der Mitarbeiter, kritisiert der Experte.
Vor allem bei Phishing-Attacken können Mitarbeiter schnell mal einen Fehler machen. Bei dieser Betrugsmasche nutzen Kriminelle unter anderem betrügerische E-Mails, Telefonanrufe, QR-Codes oder Webseiten, um Mitarbeiter dazu zu verleiten, sensible Daten weiterzugeben oder Malware herunterzuladen. 26 Prozent der Befragten der Bitkom-Umfrage hatten solch einen Fall bereits erlebt.
Der durchschnittliche Schaden einer Cyberattacke ist laut einer Cybersecurity-Studie von HDI von 67.000 auf 99.000 Euro für kleinere und mittlere Unternehmen gestiegen.
Nach all den schlechten Nachrichten aber auch mal eine gute: Firmen können sich vor den finanziellen Folgen einer Cyberattacke schützen, und zwar über eine Cyberversicherung.
Nach Cyberattacken sind die Policen von unschätzbarem Wert. Denn der Cyberversicherer schickt Experten zur Hilfe:
Der Cyberversicherer tut also alles, um dem Unternehmen so schnell wie möglich wieder sicher auf die Beine zu helfen.
Der Markt für Cyberpolicen in Deutschland ist noch recht neu – und findet sich gerade. Das passiert unter hohem Druck, weil die Schadenbelastung hoch ist und weiter steigt.
Auf dem deutschen Markt gibt es laut den Statistiken des GDV 41 Versicherer, die Cyberversicherungen anbieten. Die Versicherungsbeiträge sind von 2022 auf 2023 von 249 Millionen auf 309 Millionen Euro gestiegen.
Das ist problematisch. Denn die Leistungen sind im gleichen Zeitraum von 121 Millionen auf 180 Millionen Euro gestiegen, also um knapp 50 Prozent. Auch die Schadenquote ist von 2022 auf 2023 von knapp 49 Prozent auf 58 Prozent gewachsen.
Dadurch hat sich auch die Schaden-Kosten-Quote nach Abwicklung in Relation zu den verdienten Bruttobeiträgen von 78 auf 97 Prozent erhöht. Das heißt also, dass die Versicherer im vergangenen Jahr nur ganz knapp noch in der Profitzone waren.
Das führt zu noch mehr Bewegung im Markt. „Etwa 85 Prozent der Anbieter haben allein in diesem Jahr im Cyber-Direkt-Marktvergleich ihre Produktkonzepte aktualisiert“, erklärt Ole Sieverding, Geschäftsführer von Cyber-Direkt.
„Was die Fragenkataloge bei der Risikoprüfung betrifft, so befinden wir uns regelrecht in einem Dschungel an Anforderungen“, bemängelt Sieverding. Beinahe zwei Drittel der Versicherer packen laut Sieverding diverse technische sowie nicht-technische Anforderungen in eine Risikofrage.
Auch das Maß und die Qualität der Fragen unterscheiden sich enorm. Ein erster oberflächlicher Blick auf die Zahl der Risikofragen reicht aus Sicht des Cyber-Experten daher nicht aus. Während ein Anbieter 21 Anforderungen an Unternehmen mit einem Jahresumsatz bis zu 50 Millionen Euro stellt, formuliert ein anderer beinahe genauso viele Anforderungen für Unternehmen mit einem Jahresumsatz bis zu 10 Millionen Euro.
Bei Cyberversicherungen denken viele vor allem an Cyberattacken. Den Aspekt, den viele hier vergessen, sind Kundendaten, erklärt Versicherungsmakler Stefan Rumpp.
Als ein Mitarbeiter seinen Firmenlaptop mit sensiblen Daten im Zug vergessen hat, belief sich der Gesamtschaden für das Unternehmen auf einen hohen sechsstelligen Betrag. Denn auf dem Laptop waren personenbezogene Daten gespeichert.
Alle Firmen müssen Verstöße gegen die DSGVO melden. Die Kosten für die im Nachgang erforderlichen Maßnahmen wie die fortlaufende Information an Betroffene, die Öffentlichkeitsarbeit gegen Reputationsschäden oder deren Abmilderung kostet zwischen 30 und 50 Euro pro betroffenem Datensatz.
Prävention gegen Cyberattacken ist hier der Schlüssel. „Eine Versicherung bietet eine Möglichkeit, die Auswirkungen eines Cyberangriffs abzumildern, aber die beste Möglichkeit, eine Sicherheitsverletzung zu minimieren, besteht darin, sie ganz zu vermeiden“, erklärt Sosafe-Chef Hellemann.
Hier kommen dann Maßnahmen wie System-Patches, Backups, Multifaktor-Authentifizierung und Schulungen für das Sicherheitsbewusstsein der Mitarbeiter ins Spiel. Versicherungsmakler Rumpp geht mit Gewerbekunden eine Liste mit 50 Punkten durch, um deren Cyberversicherungsbedarf festzustellen. Dazu zählen Anforderungen wie Krisenberater, eine 24/7-Hotline, IT-Audits im Vorfeld oder danach.
Der Cyberversicherer Hiscox ist spezialisiert auf kleine und mittlere Unternehmen bis 100 Millionen Euro Umsatz. Deckungssummen stellt Hiscox bis 15 Millionen Euro zur Verfügung. „Bei kleineren Unternehmen, die bis etwa 25 Millionen Euro Umsatz generieren, arbeiten wir überwiegend mit Antragsmodellen beziehungsweise mit Antragsfragen“, sagt Gisa Kimmerle, Head of Cyber von Hiscox Deutschland.
Je nach Unternehmensgröße stellt Hiscox zwischen vier und sechs Fragen zur IT-Sicherheit sowie allgemeine Risikofragen. „Wegen der gestiegenen Gefahrenlage haben wir uns als Versicherer 2022 entschieden, technische Obliegenheiten einzuführen“, sagt Kimmerle.
Diese bilden die Mindestanforderungen über alle Unternehmensgrößen. „Die Anforderungen sind bewusst sehr kurz und klar formuliert, um Transparenz zu schaffen“, so Kimmerle. In der Vergangenheit lagen die Produktzyklen von Hiscox zwischen 18 und 24 Monaten.
Bei der HDI können Firmen mit einem Jahresumsatz von bis zu 10 Millionen Euro einen Cyberversicherungsschutz beantragen. Sie müssen dafür neun Risikofragen beantworten.
„Beim Underwriting-Prozesses führen wir Systemscans durch“, erklärt Sören Brokamp, Leiter Produktmanagement & Underwriting Cyber der HDI-Versicherung. Kunden können außerdem einen Cyber-Security-Baustein abschließen. Dieser beinhaltet, dass der IT-Dienstleister Perseus einmal jährlich die IT-Sicherheit überprüft.
„Ein signifikanter zweistelligen Prozentanteil unseres Portfolios führt diesen Check jährlich durch“, sagt Brokamp. Die HDI plant aktuell mit einem anstehenden Update die Obliegenheiten leicht anzupassen und teilweise mit den Musterbedingungen des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) zu arbeiten.
Ein guter Cyberversicherer checkt die Systeme und gibt der IT-Abteilung des Versicherten einen konkreten Plan vor, um die IT der Firma zu schützen. Maßnahmen in diesem Plan gegen Cyberattacken können beispielsweise Vorgaben sein, wie oft Mitarbeiter die Passwörter erneuern sollten. Vor allem im Ernstfall, wenn die IT wiederhergestellt werden muss, ist es wichtig, dass die Kommunikation gut funktioniert.
Zu den typischen Stolperfallen beim Abschluss einer Cyberversicherung gehört die Frage, ob Kunden die Obliegenheiten mit verhältnismäßigem Aufwand erfüllen können. Sollte das nicht der Fall sein, kann es ratsamer sein, einen teureren Anbieter auszuwählen, der weniger hohe Anforderungen stellt.
Sehr wichtig ist laut Versicherungsmakler Rumpp auch der Unterschied, ob es sich um technische Voraussetzungen bei oder vor dem Vertragsabschluss handelt oder ob der Kunde fortlaufend technische oder organisatorische Obliegenheiten erfüllen muss.
Ein weiterer wichtiger Punkt sind Sublimits und Ausschlüsse. Diese ist laut Rumpp wichtiger als die Deckungssumme.
