Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Cyberversicherung für kleine und mittlere Unternehmen

M.Sc. Jan Hörnemann

Die Zeit von KI und automatisierten Angriffsmethoden ist bereits eingeläutet und auch Ransomware-Attacken nehmen immer mehr zu. Schon längst stehen nicht mehr nur die ganz großen Organisationen im Fokus, vielmehr werden gezielt auch kleine und mittlere Unternehmen angegriffen, da diese in der Regel deutlich verwundbarer sind. Das nutzten Hacker gnadenlos aus. Eine Cyberversicherung scheint da nur der nächste sinnvolle Schritt zu sein.

Ransomware-Attacken gefährden mitunter nämlich die finanzielle Stabilität im Unternehmen. Bei Lösegeldforderungen muss sich zudem immer die Frage nach einer Zahlung gestellt werden, was im Normalfall die Liquidität eines Unternehmens in die Schieflage bringt. Nur selten liegen die Forderungen unterhalb von mehreren Millionen Euro, wohingegen die Maßnahmen, um angegriffene IT-Systeme nach solch einem Angriff abzusichern, sich auf ähnlich hohe Beträge summieren.

Zeit für uns, das Thema der Cyberversicherungen einmal aus der Nähe zu betrachten. Was ist eine Cyberversicherung überhaupt genau, welche Leistungen sind enthalten und lohnt sich eine Versicherung gegen Cyberangriffe auch dann, wenn es in Ihrem Unternehmen bislang noch keinen einzigen ernsthaften Angriff gegeben hat? Viele Fragen stehen im Raum und wir geben uns Bestes, um Ihnen die passenden Antworten zu liefern.

Was ist eine Cyberversicherung?

Cyberversicherungen sind dazu da, Unternehmen vor Cyberangriffen zu schützen. Genauer gesagt nicht vor den Angriffen selbst, sondern vor den finanziellen Auswirkungen, die ein Cyberangriff auf die jeweilige Organisation haben kann. Gerade bei Ransomware-Attacken und Hacks, entstehen nämlich hohe Folgekosten und speziell bei Ransomware bleibt stets die Frage im Raum, ob das Lösegeld gezahlt wird oder nicht.

Kleine und mittlere Unternehmen, die meist nicht über hohe finanzielle Rücklagen verfügen, schließen daher oft eine spezielle Versicherungspolice ab. Diese Cyberabdeckung, Cybersecurity-Versicherung oder eben einfach auch Cyberversicherung, soll Unternehmen dann vor den unangenehmen finanziellen Folgen eines Cyberangriffes schützen.

Größtenteils handelt es sich dabei um Versicherungsunternehmen, die entweder Ableger der großen Versicherer sind oder aber spezialisierte Cyber-Versicherer, die sich rein auf diese Art von Versicherungspolicen konzentrieren. Wir möchten an dieser Stelle jedoch keine Namen nennen, da sich Versicherungen immer nach dem Geschäftsfeld, dem Risikoprofil sowie dem verfügbaren Budget bemessen. Pauschale Empfehlungen kommen hier nicht infrage, finden wir, zumal gerade Cyberversicherungen oft auch individuelle Policen beinhalten, also kein Angebot von der Stange sind. Vielmehr richten sie sich nach dem Unternehmen und deren Bedürfnisse und erstellen auf dieser Basis ein individuelles Versicherungspaket.

Welche Bereiche deckt eine Cyberversicherung ab?

Im letzten Absatz haben wir bereits erwähnt, dass speziell die Cyberversicherungen oft auf Individualpolicen der jeweiligen Versicherung beruhen. Viele der Angebote sind also keine Versicherung aus dem Katalog, sondern richten sich nach dem realen Bedrohungsgrad, dem allgemeinen Risikoprofil sowie der Unternehmensgröße und dem genauen Aufgabengebiet. 

Wir können jedoch einige Punkte nennen, die typischerweise in die Deckungsbereiche einer Cyberversicherung fallen. Also Bereiche, die für gewöhnlich entsprechend versichert werden können oder die eben häufig automatisch mitversichert sind.

Ransomware: Wir hatten es hier im Artikel bereits erwähnt, dass viele Versicherungsfälle und Vorfälle Ransomware-Attacken betreffen. Cyberversicherungen übernehmen unter Umständen die Lösegeldforderung, sodass Unternehmen diese einfach bezahlen können und in der Folge dann hoffentlich wieder Zugriff auf ihre Daten erhalten. Auf der anderen Seite sind auch die Kosten für die Wiederherstellung und das Schließen der Schwachstelle gedeckt, die im Verlauf einer Ransomware-Attacke natürlich ebenfalls auftreten. Die Cyberversicherung kann Ihnen hier also tatsächlich das gesamte Risiko nehmen, welches Ihr Unternehmen ausgesetzt ist.

Datenschutzverletzungen: Im Zuge der DSGVO sind die Bußgelder für Datenschutzverletzungen empfindlich hoch. Sie richten sich zudem nach dem Umsatz eines Unternehmens und können bis zu vier Prozent des Jahresumsatzes betragen. Auch müssen alle Kunden, die von der Datenschutzverletzung betroffen sind, informiert und unter Umständen entschädigt werden. IT-Sicherheitsexperten sollten sich zudem um den Vorfall kümmern und die digitale Forensik sammelt Beweise und gibt Details für weitere Analysen preis. All das verursacht enorme Kosten. Kosten, die ohne Cyberversicherung selbst getragen werden müssten.

Betriebsausfälle: Kommt es zu einem Sicherheitsvorfall im eigenen Unternehmen, ist ein Betriebsausfall oft unumgänglich. Auch eine DDoS-Attacke kann dafür sorgen, dass der eigene Service oder Shop für viele Stunden und im schlimmsten Fall sogar mehrere Tage nicht mehr erreichbar ist. In solchen Fällen geht realer Umsatz flöten. Auch wenn Schwachstellen und Sicherheitslücken behoben werden müssen, weil diese ausgenutzt wurden, geht das eigene System oft für einige Zeit offline, ist also nicht länger zu erreichen. Hier können Cyberversicherungen einspringen, um derartige Ausfälle mit gezahlten Entschädigungen zumindest etwas abzumildern.

Anwaltskosten: Ob ein Verstoß gegen die DSGVO oder ein Sicherheitsvorfall mit Beweissammlung in Form digitaler Forensik, oft ist ein Anwalt im Verlauf unabdingbar. Wir müssen Ihnen sicherlich nicht mitteilen, wie schnell sich Anwaltskosten summieren und wie häufig die Kosten in ungeahnte Höhen steigen. Hängt eine rechtliche Auseinandersetzung mit einem Sicherheitsvorfall zusammen, also einer Cyberattacke, kann die Cyberversicherung einspringen und die Kosten für Ihr Unternehmen deckeln.

Gibt es Statistiken zu den Schadensfällen?

Viel zu wenig, um ehrlich zu sein. Auch wenn die Meldung derartiger Sicherheitsvorfälle heutzutage eigentlich relativ normal geworden ist, so war es lange Zeit eher an der Tagesordnung, diese unternehmensintern auszuwerten und nicht an die Öffentlichkeit gelangen zu lassen. Dementsprechend wenige Daten gibt es zu derartigen Ereignissen, auch wenn sich das, wie zuvor erwähnt, inzwischen glücklicherweise mehr und mehr ändert.

Cybervorfälle werden mittlerweile also an die Polizei und andere Strafverfolgungsbehörden gemeldet. Auch Versicherer, wie eben eine Cyberversicherung, stellt regelmäßige Statistiken auf, um das Risiko von Cyberangriffen entsprechend bewerten und infolgedessen überhaupt erst versichern zu können. Die Allianz-Industrieversicherungstochter AGCS hat zum Beispiel ein paar spannende Zahlen veröffentlicht.

Für die Zahlen und Statistiken konnten die AGCS Schadensmeldungen aus den Jahren 2015 bis 2020 genauer analysiert werden. Insgesamt wurden so 1.736 Schadensmeldungen an die Versicherung ein wenig genauer durchleuchtet. Herausgekommen ist dabei unter anderem, dass insgesamt immerhin 660 Millionen Euro von der Versicherung ausgezahlt wurden. Der größte Teil, der für die Zahlungen verantwortlich war, bezog sich dabei Attacken mit Ransomware. Von 100 Meldungen sind außerdem 85 auf Hacker zurückzuführen. Eines der beliebtesten Werkzeuge der Angreifer ist zudem die DDoS-Attacke, bei der mittels Überlastung ein Service vollständig lahmgelegt wird.

Was verursacht bei einem Sicherheitsvorfall die meisten Kosten?

Anders, als Sie nun vielleicht annehmen, ist es aber nicht die Lösegeldforderung mittels Ransomware, welche die höchsten Kosten verursacht. Vielmehr sind es die nachlaufenden Kosten, die aufgrund des Angriffes selbst entstehen. Genau das hatten wir in der Einleitung unseres Artikels auch bereits angedeutet. Diese Kosten sind es, die die Liquidität eines Unternehmens gefährden, speziell die von kleinen und mittleren Unternehmen.

Sechzig Prozent der entstehenden Kosten sind auf den reinen Betriebsausfall zu beziehen. Steht das Unternehmen still, kann es logischerweise kein Geld verdienen. Wurde es angegriffen, muss es zudem hohe Budgets und Investitionen für die IT-Sicherheit genehmigen, um die bestehenden Schwachstellen möglichst schnell zu schließen, den vorherigen Zustand wieder herzustellen und den Betrieb überhaupt erst wieder aufnehmen zu können. Egal, welche Art von Angriff also erfolgt, es wird eine Menge Geld dabei verbrannt.

Insbesondere dann, wenn zusätzlich ein Datendiebstahl stattfindet, summieren sich die Kosten in ungeahnte Höhen. Dabei sind es vorrangig die Bußgelder, die im Zuge der DSGVO fällig werden, welche einen hohen Kostenfaktor erzeugen. Versicherer einer Cyberversicherung müssen also ebenfalls mit entsprechenden Zahlungen rechnen und überlegen, welche Kostenpunkte tatsächlich von der angebotenen Cyberversicherung gedeckt werden können. Während kleine und mittlere Unternehmen darauf achten müssen, entsprechend versichert zu sein, um die finanzielle Stabilität ihres Unternehmens auch bei einem Angriff weiterhin gewährleisten zu können.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Lohnt sich eine Cyberversicherung?

Bleibt eine große Frage im Raum, nämlich die Frage, ob sich eine Cyberversicherung wirklich lohnt. Wir würden dies, wie so oft bei Versicherungen, mit einem »Jein« beantworten. Auch deshalb, weil große Unternehmen das Risiko kennen und sich selbst bereits dagegen absichern. Cyberversicherungen ergeben jedoch gerade bei kleinen und mittleren Unternehmen eine Menge Sinn, da diese sich selten vollumfänglich schützen können. Jedenfalls nicht, ohne eine entsprechende Versicherung abzuschließen.

Die haben nämlich oft gar nicht die Möglichkeiten, um das Risiko von Cyberangriffen gänzlich zu eliminieren. Außerdem sind die Kosten, die bei einem tatsächlichen Vorfall entstehen, immens. Diese hohen Kosten sind von kleinen und mittleren Unternehmen kaum zu stemmen, weshalb sie sich häufig auf eine Cyberversicherung verlassen. Das ergibt insofern auch Sinn, da schon allein die Verstöße gegen die DSGVO mitunter unglaublich kostspielig sein können.

Am Ende bleibt eine Risikominimierung, ein Schutz vor finanziellen Totalausfällen, die Absicherung in Bezug auf die Kosten für Rechtsstreitigkeiten sowie die Deckelung weiterer Maßnahmen, die im Anschluss an Cyberangriffe meist notwendig werden. Gegen die Versicherung spricht hingegen nur der Kostenfaktor selbst (der aufgrund des Nutzens jedoch vernachlässigbar erscheint) sowie etwaige Deckungsausschlüsse, die von vornherein verhindert oder bewusst wahrgenommen werden müssen. 

Da es sich bei Cyberversicherungen oft um Individualversicherungen handelt, besitzt zudem jedes Unternehmen seine eigene Versicherungspolice. Diese gilt es somit auch gut auf die eigenen Bedürfnisse abzustimmen. Dann kann im Grunde auch gar nicht mehr allzu viel schiefgehen. Wir hoffen, wir haben in Bezug auf die Cyberversicherungen für etwas mehr Klarheit sorgen können.

LiveHacking-Banner-Blog

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen